サイバー攻撃が急増し、組織への侵入に巧妙な新たな手口が現れるにつれ、現代のサイバーセキュリティのアプローチは進化を遂げてきました。しかし、技術の進歩にもかかわらず、サイバー攻撃の件数は依然として過去最高水準にあります。Check Point Researchによると、2021年の攻撃件数は50%増加しました。Vectra Researchが最近実施したセキュリティリーダーレポートによると、調査対象となった組織の83%が、従来のアプローチでは現代の脅威から自社を保護できないと考えています。
サイバー攻撃の標的範囲の拡大
攻撃対象領域の拡大により、サイバー攻撃が増加しています。パンデミックを契機としたデジタル化の加速は、あらゆる組織のデジタルフットプリントを拡大しました。大規模なグローバルクラウド移行から、従来のITアーキテクチャを超えたデバイスを使用する数百万人のリモートワーカーやハイブリッドワーカーまで、拡張された攻撃対象領域は、サイバー犯罪者に脆弱性を探すための無限の可能性をもたらします。つまり、サイバー犯罪者は厳重に保護されたデジタルリソースを侵害する必要はなく、システムへの最も脆弱な侵入口を見つけるだけで済むのです。
デジタル環境の多様化は、現代のサイバーセキュリティが直面する最大の課題と言えるでしょう。サイバー犯罪が産業化し、ランサムウェアをサービスとして提供するRaaS(Ransomware as a Service)や、専門知識を必要としないプラグアンドプレイキットの販売、そして相互連携が進むにつれ、従来の自動化されたサイバーセキュリティソリューションは、国際的な攻撃者の大群に直面することになるでしょう。
セキュリティプロバイダーであるHackerOneは、現代の攻撃トレンドに対応する独自のアプローチを採用しています。世界最大規模の倫理的ハッカーコミュニティを擁し、サイバー犯罪者よりも先手を打つべく、攻撃者よりも先にバグや脆弱性を探し出し、攻勢に出るハッカーたちを擁しています。2年前、Forbes誌は、すでに70万人以上の倫理的ハッカーがHackerOneBountyプログラムに参加していると報じました。
TechRepublic は HackerOne にインタビューし、同社の破壊的なアプローチがどのように機能し、倫理的なハッカーが現代の攻撃対象領域の管理においてどのように重要な役割を果たしているのかを理解しました。
「HackerOne Assetsは、バグ報奨金プログラムや侵入テストの取り組みでハッカーが用いるのと同じ偵察スキルを使って、ユーザーの資産にハッカーの目を向けさせます」とHackerOneの広報担当者はTechRepublicに語った。
多くの攻撃対象領域管理ソリューションは、スキャンツールと同様の欠点を抱えています。つまり、広範囲をカバーできるものの、コンテキストや詳細な理解が欠けているのです。「ハッカーは既存の欠陥を見つけるのが得意なので、潜在的に脆弱な資産も理解しています」と広報担当者は説明しました。
「自動化ツールには、ハッカーが脆弱性の発見とトリアージのプロセスに持ち込む人間的な創意工夫と創造性が欠けています。この創意工夫に匹敵するのは、組織のシステムへの侵入を試みる犯罪者だけです」とHackerOneの広報担当者は断言した。
参照: モバイルデバイスのセキュリティポリシー(TechRepublic Premium)
高速な最新アプリとクラウド開発
Hacker Oneの最新レポートによると、デジタル攻撃対象領域は拡大を続け、インフラ、ソフトウェア、アプリ、アップデート、デバイス、そして拡張サプライチェーンにまで影響を及ぼしています。同組織によると、企業の44%が自社の攻撃対象領域を把握しておらず、年間テストが実施されているアプリはわずか33%にとどまっています。
クラウド移行とアプリ開発は、セキュリティリスクの高い分野となっています。「組織がクラウドに移行することで新たなリスクが生じるのは事実です。例えば、クラウドベースのストレージサービスはデフォルトでパブリックネットワークに公開されていることが多く、適切に保護されていない場合、攻撃者がデータに簡単にアクセスできてしまう可能性があります」と広報担当者は述べています。
HackerOneは、クラウドベースのソフトウェアが安全に構成・展開されるように、組織がベストプラクティスを策定するよう呼びかけています。「リスクを軽減するために、組織はクラウドベンダーと責任共有モデルを構築し、ユーザーのエンドポイントを保護し、問題発生時に備えてバックアップとリカバリのソリューションを構築し、システムの定期的な監査と侵入テストを実施する必要があります」と広報担当者は述べています。
Enterprise Strategy Group(ESG)によると、企業はビジネス変革と開発サイクルの加速に伴い、セキュリティの刷新に対するプレッシャーが高まっています。クラウドサービスとクラウドネイティブアプリケーションの開発は急速に進み、生産性とイノベーションは新たなレベルに到達していますが、セキュリティギャップは深刻化し始めています。
ESG は、HackerOne サービスを使用して攻撃対象領域を把握し、資産を特定および追跡し、標準化されたコンプライアンス制御を実装し、テスト プロセスを確立している組織にインタビューを行いました。
参照:パスワード侵害:ポップカルチャーとパスワードが混ざらない理由(無料PDF)(TechRepublic)
倫理的なハッカーは、これらの組織がバグや脆弱性を特定し、社内の開発者やセキュリティチームがミスから学ぶためのフィードバックループを構築するのを支援します。さらに、倫理的なハッカーは、世界中のサイバー犯罪コミュニティに対抗するために、圧倒的に数で劣る社内セキュリティチームに必要なリソースを提供します。
「より安全なインターネットを構築する唯一の方法は、ハッカーや組織を含むすべての人々のサイバーセキュリティに影響を与える主要なプレーヤー間のスキル、理解、透明性を向上させることだと私たちは考えています」とHackerOneの広報担当者は述べた。
HackerOneは、より多くの組織がハッキングのメリットを認識し始めていると付け加えた。「過去10年間で「ハッカー」という言葉の意味合いは変化した」とHackerOneは述べている。広報担当者は、司法省(DOJ)が最近、コンピュータ詐欺・濫用防止法の定義を拡大し、善意による調査を理由にハッカーが起訴される可能性が低下したと説明した。
