ゼロ トラスト導入ガイダンスの一部として、この記事では、サイバーセキュリティ侵害によるビジネス上の損害を防止または軽減するビジネス シナリオについて説明します。 このシナリオでは、次のようなゼロ トラスト 違反の想定 に関する基本原則に対処します。
- ブラスト半径とセグメントアクセスを最小限に抑える
- エンドツーエンドの暗号化を確認する
- 分析を使用して可視性を取得し、脅威検出を推進し、防御を改善する
ハイブリッド IT インフラストラクチャ モデルを使用すると、組織の資産とデータはオンプレミスとクラウドの両方に配置され、悪いアクターはさまざまな方法で攻撃できます。 組織は、これらの攻撃を可能な限り防ぎ、侵害された場合は攻撃の被害を最小限に抑える必要があります。
組織のプライベート ネットワーク境界内のすべてのユーザーを信頼するオンプレミスの境界ベースのセキュリティの確立に焦点を当てた従来のアプローチは、関連性がなくなりました。 攻撃者がプライベート ネットワークにアクセスすると、適切なアクセス許可を持って、その中のデータ、アプリケーション、またはリソースにアクセスできます。 ユーザーの資格情報を盗んだり、セキュリティの脆弱性を利用したり、マルウェアの感染を引き起こしたりすることで、ネットワークが侵害される可能性があります。 このような攻撃により、収益が失われ、サイバー保険料が高くなる可能性があります。これは、組織の財務の健全性と市場の評判に大きな後退を与える可能性があります。
フォレスターは2021年に以下を締結しました。
- 過去 1 年間に侵害された組織の 3 分の 2 近くが、侵害ごとに平均 240 万ドルのコストがかかります。 – フォレスター、エンタープライズ侵害の 2021 年の状態 (2022 年 4 月)。
クラウドでは、不適切なアクターがプライベート ネットワーク境界を物理的に侵害する必要はありません。 クラウド ベースのデジタル資産を世界中のどこからでも攻撃できます。
組織の正常性と評判は、セキュリティ戦略によって異なります。 クラウドベースのエンタープライズ環境の普及とモバイルワークフォースの増加に伴い、データフットプリントは企業ネットワークの従来の境界を超えて存在します。 次の表は、ゼロ トラストを使用した従来の脅威保護と最新の脅威保護の主な違いをまとめたものです。
| プライベート ネットワーク制御による従来の脅威保護 | ゼロ トラストによる最新の脅威保護 |
|---|---|
| 従来の保護は、プライベート ネットワーク内のすべてのユーザーを信頼する境界ベースのセキュリティに依存します。 境界ネットワークには、次のものが含まれます。 - ネットワークセグメント化やセキュリティ境界が少なく、オープンでフラットなネットワーク。 - 最小限の脅威保護と静的トラフィック のフィルター処理。 - 暗号化されていない内部トラフィック。 |
ゼロ トラスト モデルは、静的なネットワーク ベースの境界からネットワーク防御を移動して、ユーザー、デバイス、資産、およびリソースに焦点を当てます。 侵害が発生する可能性があり、発生すると仮定します。 セキュリティ リスクは、ネットワークの内外に存在する可能性があり、常に攻撃を受け、セキュリティ インシデントはいつでも発生する可能性があります。 包括的で最新の脅威保護インフラストラクチャは、タイムリーな攻撃の検出と対応を提供できます。 セキュリティ インシデントの爆発半径を最小限に抑え、一緒に損傷の程度と拡散速度を減らす保護レイヤーを使用します。 |
重大なインシデントの影響を軽減するには、次のすべてが不可欠です。
- 侵害のビジネス リスクを特定する
- 侵害対応のためのリスクベースのアプローチを計画する
- 組織の評判や他の組織との関係に与える損害を理解する
- 多層防御レイヤーを追加する
この記事のガイダンスでは、侵害による損害を防ぎ、軽減するための戦略を開始する方法について説明します。 2 つの追加の記事では、次を使用してその戦略を実装する方法の詳細について説明します。
堅牢なセキュリティ体制に向けた最初のステップは、リスク評価を通じて組織がどのように脆弱であるかを判断することです。
リスクとセキュリティ体制の評価
侵害を防ぎ、侵害による損害を減らす戦略を採用する場合は、リスクのメトリックを考慮して定量化することが重要です。 戦略的に、リスクを定量化する演習では、リスクに対する食欲のメトリックを設定できます。 そのためには、ビジネスに影響を与える可能性のあるビジネスクリティカルな侵害の分析と共に、ベースライン リスク評価を実施する必要があります。 侵害シナリオに対する文書化されたリスクアペタイトと、対応する意思のあるシナリオの組み合わせが、侵害準備および修復戦略の基礎を形成します。
侵害を絶対に防ぐことは事実上不可能であることに注意してください。 「攻撃者の投資収益率」で説明されているように、防御可能な攻撃者が攻撃から実行可能な投資収益率を得ることができなくなるまで、サイバー攻撃に対する摩擦を段階的に増加させることを目的としています。 攻撃の種類と防御の経済的実行可能性は、リスク分析の一部としてキャプチャする必要があります。
侵害による損害を減らすと、侵害中や侵害後のオプションにかなりのエネルギーが与えられます。これにより、組織は予想される侵害や種類の侵害から迅速に回復できます。 これらの侵害の種類と回復の準備については、この記事の以降のセクションで定義します。
侵害の意図を認識することは、侵害の準備の一部である必要があります。 すべての侵害には悪意や犯罪目的の要素が付いていますが、経済的に主導された侵害は、"ドライブバイ"や日和見違反に比べてはるかに大きな損害を与える可能性があります。
セキュリティ体制とリスク評価の詳細については、「セキュリティ体制 を迅速に最新化する」を参照してください。
ビジネス タイプ別のリスクの例
ビジネス要件は、ビジネスタイプの結果のリスク分析に依存します。 次に、いくつかのビジネスの業種と、その特定のニーズがセグメント化されたリスク分析をどのように推進するかを説明します。
採掘
鉱山業界は、運用技術 (OT) システムで使用される手動プロセスが少なくなる未来の鉱山に向けて、より多くのことを検討しています。 たとえば、アプリケーション インターフェイスを利用して処理プラント内のジョブとタスクを完了するヒューマン マシン インターフェイス (HMI) の使用があります。 これらの HMI はアプリケーションとして設計されているため、この業界の垂直的なサイバー セキュリティ リスクは高くなる可能性があります。
この脅威は、データの損失や会社の資産の盗難の 1 つではなくなりました。 この脅威は、ID 盗難を使用して重要なシステムにアクセスし、運用プロセスに干渉する外部アクターの 1 つになります。
小売
小売業界内の侵害に関連する主要なリスクは、同じテナント内に存在する複数のブランドに対して複数のドメインがある場合に発生する可能性があります。 オンプレミスまたはクラウドベースの ID の管理が複雑な場合、脆弱性が発生する可能性があります。
医療セクター
医療セクター内の主なリスクは、データ損失です。 機密医療記録の不正開示は、患者やクライアントのために予約されているデータおよび情報プライバシー法に対する直接的な脅威であり、現地の規制に基づいて、大幅なペナルティが発生する可能性があります。
政府機関部門
政府機関は、情報セキュリティに対して最も高いリスクをもたらします。 評判の損害、国家安全保障、データ損失が懸念されています。 これが主に、 政府機関が国立標準技術研究所 (NIST) などのより厳しい基準をサブスクライブする必要がある理由です。
侵害の準備と対応の一環として、 Microsoft Defender 脅威インテリジェンス を利用して、垂直的に最も関連性の高い攻撃の種類と脅威ベクトルを検索して学習します。
一般的な種類の攻撃のリスク
サイバーセキュリティ侵害によるビジネス上の損害の防止または削減には、最も一般的な種類の攻撃の認識が含まれます。 現在、次の攻撃の種類が最も一般的ですが、サイバーセキュリティ チームは新しい種類の攻撃を認識する必要があります。その一部は、攻撃を強化または置き換える可能性があります。
アイデンティティーズ
通常、サイバー セキュリティ インシデントは、何らかの資格情報の盗難から始まります。 資格情報は、さまざまな方法を使用して盗まれる可能性があります。
フィッシング
攻撃者は信頼できるエンティティを装い、従業員をだまして電子メール、テキスト、またはインスタントメッセージを開かせます。 スピア フィッシングを含めることもできます。攻撃者は、ユーザーに関する情報を特に使用して、より妥当なフィッシング攻撃を構築します。 ユーザーが URL または MFA フィッシング攻撃をクリックすると、技術的な資格情報の盗難が発生する可能性があります。
Vishing
攻撃者はソーシャル エンジニアリングの方法を使用して、ヘルプデスクなどのサポート インフラストラクチャをターゲットにして資格情報を取得または変更します。
パスワード スプレー
攻撃者は、特定のアカウントまたは一連のアカウントに対して考えられるパスワードの大規模なリストを試みます。 考えられるパスワードは、ソーシャル メディア プロファイルの生年月日など、ユーザーに関するパブリック データに基づくことができます。
いずれの場合も、フィッシング攻撃の対象となるユーザーと、攻撃の対象となるヘルプデスクの両方にとって、スキルと教育が不可欠です。 ヘルプデスクは、ユーザー アカウントまたはアクセス許可に対して機密性の高いアクションを実行する前に、要求ユーザーを認証するためのプロトコルを用意する必要があります。
デバイス
ユーザー デバイスは、通常、ウイルス、スパイウェア、ランサムウェア、同意なしにインストールされるその他の不要なソフトウェアなどのマルウェアをインストールするためにデバイスの侵害に依存する攻撃者にとっては別の方法です。
攻撃者は、デバイスの資格情報を使用して、アプリケーションとデータにアクセスすることもできます。
ネットワーク
攻撃者はネットワークを使用して、システムに影響を与えたり、機密データを特定したりすることもできます。 一般的なネットワーク攻撃の種類は次のとおりです。
分散型サービス拒否 (DDos)
サービスを動作不能にするために、トラフィックでオンライン サービスを圧倒することを目的とした攻撃。
盗聴
攻撃者はネットワーク トラフィックを傍受し、パスワード、クレジット カード番号、およびその他の機密情報を取得することを目的としています。
コードと SQL インジェクション
攻撃者は、フォームまたは API を介して、データ値の代わりに悪意のあるコードを送信します。
クロス サイト スクリプティング
攻撃者はサード パーティの Web リソースを使用して、被害者の Web ブラウザーでスクリプトを実行します。
ビジネス リーダーがビジネス上の損害を防止または侵害から減らすことについてどのように考えるか
技術的な作業を開始する前に、侵害によるビジネスの損害の防止と削減に投資するためのさまざまな動機を理解することが重要です。これらの動機は、成功のための戦略、目標、および対策を通知するのに役立ちます。
次の表は、組織全体のビジネス リーダーが侵害による損害の防止または削減に投資する必要がある理由を示しています。
| 役割 | 侵害によるビジネス上の損害の防止または削減が重要である理由 |
|---|---|
| 最高経営責任者 (CEO) | ビジネスは、サイバーセキュリティの環境に関係なく、戦略的な目標と目標を達成するために権限を与える必要があります。 インシデントや侵害のために、ビジネスの機敏性とビジネスの実行を制限しないでください。 ビジネス リーダーは、セキュリティがビジネス上の不可欠な要素の一部であり、ビジネス継続性を確保するために侵害防止と侵害の準備の両方への投資が必要であることを理解する必要があります。 成功した破壊的なサイバー攻撃のコストは、セキュリティ対策を実装する代償をはるかに上回る可能性があります。 |
| 最高マーケティング責任者 (CMO) | 内部と外部の両方でビジネスがどのように認識されるかは、侵害の発生や侵害の準備状況に基づいて制限しないでください。 侵害に対応するために、内部および外部で侵害の準備とメッセージングを伝える方法を学習することは、準備の問題です。 攻撃が成功すると、侵害通信計画が存在しない限り、一般の知識になり、ブランド価値が損なわれる可能性があります。 |
| 最高情報責任者 (CIO) | 組織で使用されるアプリケーションは、組織のデータをセキュリティで保護しながら、攻撃に対する回復性を備えている必要があります。 セキュリティは測定可能な結果であり、IT 戦略と一致している必要があります。 侵害防止と侵害管理は、データの整合性、プライバシー、可用性に合わせる必要があります。 |
| 最高情報セキュリティ責任者 (CISO) | セキュリティは、C Suite に不可欠なビジネスとして調整する必要があります。 侵害の準備と対応は、主要なビジネス戦略の達成に合わせて調整され、テクノロジのセキュリティはビジネス リスクの軽減に合わせて調整されています。 |
| 最高運用責任者 (COO) | インシデント対応プロセスは、この役割によって提供されるリーダーシップと戦略的ガイダンスにかかっています。 予防的かつ応答性の高いアクションを企業戦略に沿って実行することが不可欠です。 侵害を想定した状態での侵害の準備とは、COO に報告するすべての規範が、侵害の準備レベルで機能する必要があることを意味し、ビジネスを一時停止することなく、侵害を迅速に分離して軽減できるようにします。 |
| 最高財務責任者 (CFO) | 侵害の準備と軽減は、予算化されたセキュリティ支出の機能です。 金融システムは堅牢である必要があり、侵害を乗り切ることができます。 財務データは、機密データセットとして分類、セキュリティ保護、バックアップする必要があります。 |
ゼロ トラスト アプローチは、セキュリティ侵害に起因するいくつかのセキュリティ問題を解決します。 ビジネス リーダーとのゼロ トラスト アプローチの次の利点を強調できます。
| メリット | 説明 |
|---|---|
| 生存を確保する | 攻撃者の性質や動機によっては、通常のビジネス アクティビティを実行する組織の能力に大きな影響を与えたり、混乱させたりするように侵害が設計されている場合があります。 侵害に備えることは、組織を無力化または再起不能にすることを目的とした侵害から生き残る可能性を大幅に高めます。 |
| 評判の低下を制御する | 機密データへのアクセスにつながる侵害は、ブランドの評判の低下、機密性の高い知的財産の損失、顧客への中断、規制上の罰金、ビジネスへの金銭的損害など、重大な影響を及ぼす可能性があります。 ゼロ トラスト セキュリティは、オンプレミスとクラウドの両方で IT インフラストラクチャを継続的に評価、監視、分析することで、攻撃領域を削減するのに役立ちます。 ゼロ トラスト アーキテクチャは、リスクが特定されたときに自動的に更新されるポリシーを定義するのに役立ちます。 |
| 組織内の爆発半径を減らす | ゼロ トラスト モデルをデプロイすると、外部またはインサイダー侵害の影響を最小限に抑えることができます。 これにより、脅威をリアルタイムで検出して対応する組織の能力が強化され、横移動を制限することで攻撃の爆発領域が減少します。 |
| 堅牢なセキュリティとリスク体制を実証する | ゼロ トラスト アプローチでは、アラートのトリアージ、追加の脅威シグナルの関連付け、修復アクションが可能になります。 シグナルの分析は、セキュリティ カルチャを評価し、改善またはベスト プラクティスの領域を特定することで、体制を改善するのに役立ちます。 ネットワークを変更すると、悪意のある可能性のあるアクティビティの分析が自動的にトリガーされます。 ネットワーク内のすべての資産とリソースとそのパフォーマンスが完全に可視化されるため、リスクにさらされるリスクが全体的に大幅に減少します。 |
| サイバー保険料の引き下げ | サイバー保険のコストを評価するには、堅牢で明確に定義されたセキュリティ モデルとアーキテクチャが必要です。 ゼロ トラスト セキュリティを実装することで、ネットワークとエンドポイントを保護するためのリアルタイム分析を使用して制御、可視性、ガバナンスを実現できます。 セキュリティ チームは、全体的なセキュリティ体制のギャップを検出して克服し、プロアクティブな戦略とシステムがあることを保険会社に証明できます。 ゼロトラストアプローチは、サイバー強靱性を向上させると同時に、保険料の削減によってコストを回収することにも役立つ可能性があります。 |
| セキュリティ チームの効率と士気を高める | ゼロ トラストデプロイでは、リソースのプロビジョニング、アクセス レビュー、構成証明などの日常的なタスクを自動化することで、セキュリティ チームの手動作業を削減できます。 その結果、内部と外部の両方で最も重要な攻撃とリスクを検出、阻止、および倒すために必要な時間とテレメトリをセキュリティ チームに与えることができます。それにより、IT チームとセキュリティ チームの士気が向上します。 |
ビジネス リーダーと共有する詳細については、「 内部または外部の不適切なアクターの影響を最小限に抑える」電子書籍を参照してください。
侵害によるビジネス上の損害を防止または削減するための導入サイクル
この一連の記事では、 Azure のクラウド導入フレームワークと同じライフサイクル フェーズ (戦略の定義、計画、準備、導入、管理、管理) を使用して、このビジネス シナリオについて説明しますが、ゼロ トラストに適合します。
次の表は、図のアクセシビリティ対応バージョンです。
| 戦略の定義 | 計画 | 準備完了 | 採用する | ガバナンスと管理 |
|---|---|---|---|---|
| 結果 組織の配置 戦略的目標 |
利害関係者チーム 技術計画 スキルの準備 |
検討する 試験 パイロット |
デジタル資産全体に段階的に実装する | 追跡と測定 監視と検出 成熟に向けて繰り返す |
ゼロ トラスト導入フレームワークの概要のゼロ トラスト導入サイクルの詳細を参照してください。
侵害によるビジネス上の損害を防止または軽減するには、次の追加記事の情報を使用します。
これら 2 つの別々のトラックのデプロイに関する推奨事項には、IT 部門の個別のグループの参加が必要であり、 各トラックのアクティビティを並行して実行できることに注意してください。
次のステップ
このビジネス シナリオの場合:
ゼロ トラスト導入フレームワークのその他の記事:
- ゼロ トラスト導入フレームワークの概要
- セキュリティ体制を迅速に最新化する
- リモートとハイブリッドの作業をセキュリティで保護する
- 機密性の高いビジネス データを識別して保護する
- 規制とコンプライアンスの要件を満たす
進行状況の追跡リソース
ゼロ トラスト ビジネス シナリオの場合は、次の進行状況追跡リソースを使用できます。
| 進行状況の追跡リソース | これは役に立ちます... | ~向けに設計されています。 |
|---|---|---|
導入シナリオ計画フェーズ グリッドのダウンロード可能な Visio ファイル または PDF 
|
各ビジネス シナリオのセキュリティ強化と、計画フェーズのステージと目標の作業レベルを簡単に理解できます。 | ビジネス シナリオ プロジェクトリーダー、ビジネス リーダー、およびその他の利害関係者。 |
ゼロ トラスト導入トラッカー ダウンロード可能なパワーポイントスライドデッキ 
|
計画フェーズのステージと目標を通じて進行状況を追跡します。 | ビジネス シナリオ プロジェクトリーダー、ビジネス リーダー、およびその他の利害関係者。 |
ビジネス シナリオの目標とタスク のダウンロード可能な Excel ブック 
|
所有権を割り当て、計画フェーズのステージ、目標、タスクを通じて進捗状況を追跡します。 | ビジネス シナリオ のプロジェクト リーダー、IT リーダー、IT 実装者。 |
その他のリソースについては、「 ゼロ トラスト評価と進行状況の追跡リソース」を参照してください。