サプライチェーンにおけるサイバーセキュリティ対策、雇用、予算、K8、ランサムウェアに関するインサイト

人材確保の課題、重要インフラへの国家支援による攻撃、サプライチェーンにおけるサイバーセキュリティ対策のためのヒント、ランサムウェアに対する脆弱性、Kubernetes セキュリティ、などに関するトピックの最新情報をお届けします。 

11 月 11 日までの 1 週間の 6 つの最重要トピックについて詳しくお伝えします。

1 - サイバーセキュリティ予算は増加、しかし雇用は依然として困難

サイバーセキュリティチームに割り当てられた予算は大幅に増額され、その中から群を抜いて高額の予算がスタッフの報酬に充てられているものの、セキュリティリーダーは人材の雇用と定着に苦慮し続けています。

これは、IANS Research and Artico Search が米国とカナダで 502 名の CISO を対象に行った調査に基づく2022 Security Budget Benchmark Report (セキュリティバジェットのベンチマークレポート 2022 年) に記載されている調査結果の 1 つです。

Artico Search の共同設立者である Steve Martano 氏は、このことを「ばらつきのある給与、最新ではない市場データ、セキュリティのあらゆるレベルの市場における競争」によるものと考えています。

^{(ソース: IANS Research and Artico Search「Security Budget Benchmark Summary Report」(2022 年 10 月))}

具体的には、サイバーセキュリティ予算は平均で 17 % 増額されており、ほとんどの回答者 (80 %) は増額したと回答していました。減額したと回答したのはわずか 3 % でした。

サイバーセキュリティ予算を押し上げた要因は以下のとおりです。

^{(ソース: IANS Research and Artico Search「Security Budget Benchmark Summary Report」(2022 年 10 月))}

サイバーセキュリティ予算の詳細については、以下をご覧ください。

• 5 key considerations for your 2023 cybersecurity budget planning (CSO Online)
• Cybersecurity budget breakdown and best practices (TechTarget)
• How 2023 cybersecurity budget allocations are shaping up (CSO Online)
• Cybersecurity Tops the CIO Agenda as Threats Continue to Escalate (Wall Street Journal)

こちらの動画もご覧いただけます。

2 – Kubernetes のセキュリティに関する簡単なチェック

コンテナの利用拡大に伴い、コンテナ化されたアプリケーションの管理のオーケストレーションを行うためのオープンソースシステムである Kubernetes が、多くの企業で導入されています。 ですが、Kubernetes 環境のセキュリティを確保するにはどうすればよいでしょうか。 

最近の Tenable ウェビナーではこのトピックが取り上げられ、参加者の皆様には Kubernetes の使用状況と、ポリシーのコード化 (PaC) についてどれだけご存知かについて、アンケートに回答していただきました。PaC とは、プログラムのコードを使用して、Kubernetes 環境でセキュリティポリシーを遵守できるようにする手法です。

Kubernetes のセキュリティと PaC の詳細については、以下の Tenable リソースをご覧ください。

• The Four Pillars of Kubernetes Security (ウェビナー)
• 包括的な Kubernetes セキュリティを実現するための 4 つのステップ (ホワイトペーパー)
• 企業のためのポリシーのコード化ガイド: 設計とビルドからランタイムまで (ホワイトペーパー)
• How to Establish Cyber Resilience with Policy as Code (ブログ)
• Agentless Assessment と Live Results を備えた Tenable Cloud Security のリリースのお知らせ (ブログ)

3 – ソフトウェアサプライヤー向けに発行されたサプライチェーンにおけるサイバーセキュリティ対策ガイド

新たに作成されたガイドに、ソフトウェアベンダーのサプライチェーンのセキュリティを確保し、SolarWinds 社が受けたような、ハッカーがソフトウェアの開発環境とリリース環境に侵入して悪意のあるコードを顧客に密かに配信するタイプの攻撃を防止するための推奨事項について概要が記載されました。

これは国家情報長官室、アメリカ国家安全保障局、サイバーセキュリティ インフラストラクチャセキュリティ庁によって発行された 45 ページのガイドであり、これに先行して開発者向けのガイドが発行されており、今後、顧客向けのガイドが発行される予定です。

ベンダーがすぐに実践できる推奨事項には、以下のものがあります。

• 安全なソフトウェアの提供のためのポリシーを策定し、企業としての対策を講じる。

• 以下によってソフトウェアを保護する。 
  • 不正アクセスからすべてのコードを保護し、ソフトウェア開発ライフサイクル全体を通して最小権限の概念を適用
  • デジタル署名コードによってソフトウェアリリースの完全性を精査する仕組みを保持
  • 災害復旧やインシデント調査などのユースケースに向けた、すべてのソフトウェアリリースのアーカイブと保護
• 以下によって「セキュリティが確保された」ソフトウェアを生産する。
  • セキュリティ要件に準拠するソフトウェアの設計
  • サードパーティソフトウェアがセキュリティ要件を満たしていることを検証
  • コンパイルプロセスとビルドプロセスの設定
  • 脆弱性対策とポリシー準拠のための、人間が読めるコードの確認と実行可能コードのテスト
• 既知の脆弱性の継続的な特定、分析、修正

ソフトウェアサプライチェーンにおけるサイバーセキュリティ対策の詳細については、以下をご覧ください。

• What is supply chain security (TechTarget)
• 3 post-SolarWinds supply chain security best practices (TechTarget)
• Best practices for boosting supply chain security (ComputerWeekly)
• When Securing Your Software Supply Chain, Don't Forget the Cloud (ITPro Today)

こちらの動画もご覧いただけます。

4 – ロシアとウクライナの戦争が変える EU のサイバー脅威状況

欧州連合サイバーセキュリティ機関 (ENISA) は、EU で最も多かったサイバー脅威、主要な動き、悪意のある攻撃者、攻撃手法に関する年次レポートをつい先日公開しました。 同レポートは、ロシアのウクライナ侵攻と今も続く戦争を取り上げ、ハクティビズム、サイバー犯罪、偽情報、軍を狙ったサイバー攻撃が戦争を機に増加し、EU の脅威状況が変化したと述べています。

^{(ソース: 欧州連合サイバーセキュリティ機関「ENISA Threat Landscape 2022」レポート (2022 年 10 月))}

2021 年 7 月から 2022 年 7 月までの期間を対象とする同レポートで明言されたその他の主要な動きには、以下のものがあります。

• 企業が既知のバグに的確にパッチを適用するようになったため、サイバー犯罪者がゼロデイ脆弱性の悪用に注目
• 毎月合計 10 テラバイトものデータを盗みつつ、解散してはグループ名を変更することで法執行機関から巧妙に逃れようとする、ランサムウェアグループに共通した戦略
• 「サービスとしてのハッカー」プロバイダーの需要の増加
• 2020 年の 1% から増加して 2021 年には侵害の 17% を占めるまでになった、ソフトウェアサプライチェーン攻撃の激化
• より複雑で大規模になり、モバイルネットワークと IoT システムにより狙いを定めるようになった分散型サービス拒否 (DDoS) 攻撃の急増
• ますます巧妙化するフィッシング手法
• 恐喝手法の進化
• データ窃取への大きな関心
• 敵対的機械学習攻撃への関心の高まり
• 偽情報の拡散と「ディープフェイク」作成のための人工知能の使用 

この図が示すように、具体的な業種を見ると、政府機関とデジタルサービスプロバイダーが最も標的となっています。

標的となった業種あたりのインシデント数

^{(ソース: 欧州連合サイバーセキュリティ機関「ENISA Threat Landscape 2022」レポート (2022 年 10 月))}

この 150 ページのレポートには、防御と緩和に関する推奨事項も記載されており、それぞれから ISO/IEC 27001 フレームワークや NIST サイバーセキュリティフレームワークへのマッピングも示されています。

詳細については、ENISA のインフォグラフィックや、Infosecurity Magazine、CSO Online、Help Net Security、Reuters の分析や記事をご覧ください。

5 - 国家支援を受けている攻撃者が重要インフラへのサイバー攻撃を激化

Microsoft は「Digital Defense Report 2022」を公開し、その中でサイバー犯罪の現状、国家支援による脅威、インフラとデバイスのセキュリティ、悪意あるサイバープロパガンダキャンペーンなど、複数のサイバーセキュリティ分野について触れています。

この 114 ページのレポートの要点をいくつかご紹介します。

• 国家支援を受けている攻撃者が重要インフラを標的としたサイバー攻撃をさらに重要視するようになり、今やそうした攻撃が国家支援による攻撃のうち 40 % を占め、昨年の 20 % から増加している。 Microsoft は、中国、イラン、北朝鮮、ロシアによる脅威を取り上げ、特にロシアがウクライナとの戦争でサイバー兵器を使用していることを強調している。

• ランサムウェア攻撃の被害者は、アイデンティティ管理、セキュリティ運用、データ保護が不十分であることが多く、88 % が特権アカウントで多要素認証を設定しておらず、68 % が効果のない脆弱性管理とパッチ管理を行っており、92 % が効果的なデータ損失防止のための制御を行っていない。

• インターネット接続デバイスの増加により、アタックサーフェスが拡大している。現在これに含まれる弱点には、モノのインターネット (IoT) デバイス、オペレーショナルテクノロジー (OT) デバイスなどがあり、どちらもサービスとしてのマルウェアツールを使用した攻撃の標的となっている。

このレポートには、基本的なサイバー衛生の実践、脅威と脆弱性の事前対応的な検出、分離と分割の使用といった、サイバーレジリエンスを高めるための推奨事項が含まれています。

詳細については、このレポートに関するブログや、TechTarget、SC Magazine、The Register、ZDnet の記事や分析をご覧ください。

6 - 中小企業のサイバーセキュリティ投資の増大と侵害の減少

以前より多くの米国の中小企業が、今年になってセキュリティツールやトレーニングに対する投資を増やしたことで、ソーシャルメディアアカウントの乗っ取りという 1 つのカテゴリを除き、サイバー侵害が減少しています。

この調査結果は、個人情報窃盗リソースセンター (ITRC) が従業員 500 人以下の企業に在籍する 447 名の IT 専門家とビジネスリーダーを対象に調査を行った「2022 Business Impact Report」によるものです。

侵害を防ぐためにどのような措置を講じたかという質問には、56 % が新しいセキュリティツールを購入したと回答しており、2021 年の 47 % から増加しています。 一方、48 % が IT スタッフへの新たなトレーニングを実施しており、これも 44 % から増加しています。 また、4 分の 1 を超える 29 % がセキュリティ予算を増額しており、これも 27 % から増加しています。 

全体として、中小企業での対策は功を奏しており、セキュリティ侵害またはデータ漏洩、あるいはその両方があったと回答したのは 45 % でした。これは、2021 年の 58 % から減少しています。 

ただし、中小企業はソーシャルメディアアカウントのセキュリティ確保に苦慮しており、50 % が過去 12 か月以内にアカウントの乗っ取りがあったと回答しています。 結果として、その中の 87 % が収益を失い、うち 39 % の損失額は 2,500 ドル以上に上りました。

これらのアカウントの乗っ取りは、社員によるフィッシングリンクのクリック、ダイレクトメッセージへの返信、または詐欺師とのアカウント資格情報の不用意な共有、あるいはそのすべてが原因で発生しています。

詳細については、レポートをご覧ください。こちらのウェビナーもご覧いただけます。

中小企業向けのサイバーセキュリティのベストプラクティスについては、以下のリソースをご覧ください。

• Cybersecurity for Small Businesses (米国 連邦通信委員会)
• Cybersecurity Toolkit for Small Business (Global Cyber Alliance)
• Protect Your Small Business」 (米国 連邦取引委員会)
• CyberSecure My Business」 (National Cybersecurity Alliance)
• Strengthen your cybersecurity (米国 中小企業庁)