幸運にもガレージにランボルギーニがあるなら、少なくともガレージのドア、裏口、地下室のドア、そしておそらくは浴室の窓にはカメラが設置されているはずです。これを企業のサイバーセキュリティに当てはめると、損失は数え切れないほどの高級車に匹敵する可能性があります。組織は、外部に面したすべての資産を可視化するとともに、ライセンスは付与されているものの使われておらず、隠れたコストを生み出しているツールを徹底的に調査する必要があります。
残念ながら、資産インテリジェンスプラットフォームであるSevco Securityによると、多くの組織では、ITチームやセキュリティチームが認識していない窓やドア、あるいは適切なデジタルロックが設置されていない窓やドアが数多く存在します。500の組織と約100万のIT資産からデータを収集したSevco Securityの第2回年次サイバーセキュリティ攻撃対象領域レポートでは、調査対象となった組織の大多数が、保護すべき資産の包括的な可視性を確保できていないことが報告されています。
レポートによると、IT資産の約20%はセキュリティチームから見えていません。これらは企業ネットワークへの入り口ですが、エンドポイント保護、構成/パッチ管理システム、ディレクトリサービス、モバイルデバイス管理ツールなど、企業内の情報源には表示されません。
「これらの資産は、主に従業員が自宅から接続する個人デバイスや、IT・セキュリティチームの管轄外で実施されるシャドーITプロジェクトで使用されるデバイスやサーバーで構成されています」と、同社のCEOであるJJガイ氏は調査の中で述べています。「いずれの場合も、これらのデバイスには、デバイスが悪用された場合にIT環境を保護するセキュリティツールが搭載されていません。ここに潜むリスクは明らかです。目に見えない資産を保護することはできないのです。」
参照: 資産全体の可視性はクラウド セキュリティと重複しており、これは重要な実践ですが、経営陣にとっては困難な課題です(TechRepublic)
ジャンプ先:
- Windows、一部のmacOSデバイスには保護が不足している
- 古くなったライセンスは目に見えないコストです
- 窓のひび割れや使用していないツールを見つける
Windows、一部のmacOSデバイスには保護が不足している
同社によると、エンドポイント保護が未導入のIT資産に加え、IT資産の約27%がエンタープライズパッチ管理ソリューションの対象外となっている。同社は次のように述べている。
- Windows サーバーの 23% にエンドポイント保護がありません。
- Windows サーバーの 21% はパッチ管理の対象外です。
- Windows サーバーの 6% は、エンタープライズ ソフトウェア インベントリに含まれていません。
- 企業資産にアクセスする Windows クライアントの 14% はエンタープライズ デバイスではありません。
- 企業資産にアクセスする macOS デバイスの 5% はエンタープライズ デバイスではありません。
報告書の著者らは、検出を逃れている Windows クライアントは個人のデバイスやシステム上にあるか、少なくとも企業の SaaS オフィス自動化資産やその他の IT インフラストラクチャにアクセスしているデバイス上にあるが、たまたま企業のモバイル デバイス管理テクノロジには存在しないと述べています (図 A )。
図A
「SaaS自動化ツールへの接続は許容されるかもしれないが、大規模に、またどの資産がネットワークにアクセスしているかを可視化せずに接続することは、重大なリスクをもたらす」と調査では述べている。
参照:家の中からデータ盗難が起こる仕組みを学ぶ(TechRepublic)
調査では、Windowsサーバーの6%が企業のソフトウェアインベントリに登録されていないという事実が問題であると指摘されています。「これらのサーバーはシャドーIT(ITチームやセキュリティチームの許可なく、おそらく企業のセキュリティプロトコルを適用せずに、何らかの特定のタスクを実行するために立ち上げられたインスタンス)の結果である可能性が高い」と著者らは述べています。「これらのサーバーは廃止されるのではなく、単に放置されている可能性があります。その結果、これらのサーバーは潜在的な攻撃対象領域へのアクセスポイントとしてネットワークに接続されたままになります。また、進行中のシャドーITの一環として、サーバーが現在も使用されている可能性もあります。」
古くなったライセンスは目に見えないコストです
この報告書では、「古いライセンス」についても調査しました。これは、ライセンスの有効期限が切れている、存在しない、または誤ってオフラインにされたデバイスやシステムを指します。調査の結果、以下のことが判明しました。
- エンドポイント保護ソフトウェアの約 17% はライセンスを取得しているものの、使用されていません。
- パッチおよび構成管理ソフトウェアの約 6% はライセンスを取得していますが、使用されていません (図 B)。
図B
また、孤立した資産(ソース エージェントがインストールされている状態でセキュリティ コントロール コンソールに表示されるが、長期間チェックインされていない資産)が脅威となることも報告されています。
「孤立したデバイスを抱える組織には未知のセキュリティギャップが蔓延しており、古いライセンスを抱える組織はソフトウェアに過剰な支払いをしている」と同社は述べた。
窓のひび割れや使用していないツールを見つける
Sevco のレポートでは、公開されている資産を保護するために IT チームが実行できる次のような手順が提案されています。
- ソース間でデバイスを相関させて重複を排除することで、セキュリティ/IT ツールの適用範囲のギャップを監査します。
- 脆弱である可能性がある孤立したデバイスを見つけます。
- モバイル デバイス管理を実装して、個人用デバイスのセキュリティを強化します。
- 1 か月間チェックまたは使用されていないデバイスの古いライセンスを識別して削除します。
- ライセンスを他のデバイスに再割り当てするか、ライセンスをダウングレードしてコストを節約するか、予算をより生産的な目的に使用します。
調査では、「新しいデバイスやツールが導入されるにつれて、IT環境は常に変化しています。悪意のある攻撃者は、こうした変化を巧みに利用して脆弱性を悪用するようになりました。」と述べています。
同社は、ネットワークへの侵入経路となるすべてのデバイスとシステムの在庫を把握することを提案した。「高度な攻撃者に対して優位性を維持するためには、ITチームとセキュリティチームが、動的なIT環境の実態を反映した正確かつ最新の資産インベントリを維持することが不可欠です。」
ダウンロード: TechRepublic Premium からのこのShadow IT ポリシー。
