コンプライアンスに関する知見:ラテラルムーブメントを阻止して認可を迅速化するには
ラテラルムーブメント(横方向の移動)技術がサイバーセキュリティの主軸であるならば、この技術が、規制上の罰金につながるような人目に付きやすいデータ漏えいを成功させる主な戦術として利用され続けているのはなぜでしょうか?
攻撃者がベンダーの環境から小売企業の決済カードネットワークに移動した後、この小売企業は罰金を科せられた、といった見出しを見かけたことがありませんか。あるいは、金融サービス企業が、誤設定のファイアウォールを悪用され、脅威アクターが機微な情報を横断して検索した後、罰金を科されたという内容であったかもしれません。セキュリティチームが特権アクセス管理やネットワークセキュリティなどの数十年前のサイバーセキュリティ分野に長けていても、ラテラルムーブメントは継続します。
規制当局の期待
規制当局が次のような要件を設け、攻撃者の選択肢を制限するという期待を明示しているのも当然です。
一般データ保護規則(GDPR):第 32 条 — ネットワークセグメンテーションなどの制御を通じて、リスクに適したセキュリティレベルを確保するために、技術的かつ組織的な対策を実施すること
Payment Card Industry Data Security Standard(PCI DSS)v4.0:要件 1 — ファイアウォールを実装して、クレジットカード所有者のデータを保護し、信頼できるネットワークと信頼できないネットワーク間の接続を制限するようにファイアウォールが設定されていることを確認する
- 国際標準化機構/国際電気標準会議(ISO/IEC)27001 — 情報とデータ処理施設を分離して、情報の機密性、完全性、可用性を保護する
アタックサーフェスは、より広く、より深く
今日のアタックサーフェスは、広さだけではなく深さも増しており、革新を急ぐ企業の副産物である一連の複雑なレイヤーで構成されています。アタックサーフェスを構成するレイヤーには、複数のクラウド環境、急速に表示されるコンテナ、データにつながる数千もの API、自発的に機微な情報にアクセスしてそれを拡散させる AI アプリケーションなどが含まれます。
これらのすべてのレイヤーに脆弱性が存在します。こうした脆弱性は、脅威アクターに対し、侵害されたネットワークを自由に移動し、機微な情報や知的財産に不正にアクセスする機会を与えてしまいます。適切な設定を行い、最小権限の原則を実行しなければ、これらの資産は認証情報の窃盗や権限昇格に対して脆弱になります。
ラテラルムーブメント(横方向の移動)、データ漏えい、および高額な罰金につながる可能性のあるギャップを特定し、対処するのは、組織の責任です。脅威ハンティングやふるまい分析などのセキュリティ手法は、ユーザーの異常な行動や潜在的な攻撃を検知するため、貴社は高度な持続型脅威に先手を打つことが可能になります。
レイヤー型セキュリティの考え方
Akamai のコンプライアンスに関するブログシリーズの以前のブログ記事では、規制要件を満たすために必要な制御とツールを組み立てるプロセスに、階層化されたセキュリティの考え方を適用する必要性について論じました。
たとえば、リスク評価を必須とする義務に貴社が全面的に取り組んでいる場合、レイヤー型セキュリティの考え方では次のような自問が必要になります。1 つのレイヤーに障害が発生した際にもう 1 つのレイヤーが有効になることを示すために、どのような機能を追加することができるか?
この記事では、認証と認可の制御を改善すると同時にラテラルムーブメント攻撃を識別し、封じ込め、防止するためのレイヤーを検討します。
包括的な API セキュリティ制御によりラテラルムーブメントを制御・検知
平均的な IT 環境は、単にその範囲を拡大しただけではありません。新たな追加要素や階層を構築し、他の組織の IT 環境との仮想接続も構築しました。また、規制当局は、結果として生じるリスクに対応するという課題を抱えています。
たとえば、EU は Network and Information Systems(NIS2)Directive(ネットワークおよび情報システムに関する指令、NIS2 指令)の更新を 2023 年 1 月に公開し、当初の NIS2 指令の義務をさらに拡大しました。それからわずか 2 年後、AI が急速に発展したため、企業のビジネスのやり方が大きく変化し、攻撃者が企業の AI イノベーションを攻撃する手法も大きく変わりました。
LLM のプロンプトインジェクションや AI データ窃取などの新たな脅威は、2028 年までに発生すると IDC が予測する、6,320 億米ドルの AI へのグローバル投資を危険にさらします。こうした最新の攻撃方法は、NIS2 や GDPR、PCI-DSS v4.0 などの更新された規制にはまだ明記されていない可能性があります。しかし、侵害は侵害ですから、規制当局は企業にコンプライアンス違反による罰金を科すと考えられます。
簡素化された攻撃プランの標的は API
これは API 保護にもあてはまります。顧客、パートナー、プロバイダーとの間でデジタル処理が行われるたびに、各処理の背後でデータの迅速なやり取りを行うための API が機能しています。これまで複雑な攻撃を仕掛けてきたサイバー犯罪者は、API を標的にすることで、攻撃プランを簡素化できることを理解しています。
たとえば、脅威アクターは、API 要求のオブジェクト ID を操作することで、Broken Object Level Authorization(オブジェクトレベル認可の不備、BOLA)に脆弱な API エンドポイントを悪用できます。この脆弱性によりネットワーク内のラテラルムーブメントが可能になるため、脅威アクターは認可をバイパスし、権限を昇格し、顧客データへアクセスできてしまいます。
BOLA は通常、ビジネスロジックの欠陥が原因で発生します。そして多くの場合、認可チェックの誤設定が伴います。「2024 年の API セキュリティの影響に関する調査」によると、アプリケーションセキュリティ専門家が最も多く挙げた API セキュリティインシデントの原因は、誤設定でした。
API セキュリティのベストプラクティス
ここでは、API セキュリティのポスチャを強化することで、ラテラルムーブメントを制限し、悪性のアクティビティを緩和し、進行中の攻撃を強力な権限で修正するためのベストプラクティスをいくつか紹介します。
ユーザーとユーザーが一般的にアクセスするリソースとの間の明確な関係を確立します。たとえば、異常なアクセスパターンを検知できる機械学習アルゴリズムを使用して、ふるまいのベースラインを設定します
API を使用して、通常のアクティビティと疑わしいアクティビティを区別できるランタイム保護機能を実装します
API セキュリティソリューションを既存のスタックと統合することで、疑わしいふるまいに対応します。このソリューションでは、リスクの高いふるまいを特定し、重要な資産にアクセスされる前に疑わしいトラフィックを阻止する必要があります
こうした API セキュリティのベストプラクティスは、保護の対象が企業や政府機関、または HIPAA の規制を受ける医療機関であっても、サイバー回復力と規制コンプライアンスの両方に有効です。
ネットワーク全体のセキュアな通信、アクセス、および認可の確保
サイバーセキュリティチームは新しい規制に対応するための管理を確立します。しかし、すでに埋めることが難しいセキュリティのギャップがコンプライアンス違反につながる可能性があることを認識すると、挫折感を覚える可能性があります。たとえば、2025 年 1 月に発効したデジタル運用回復力法(DORA)では、強力なネットワークセキュリティ制御を通じて、情報通信技術(ICT)のセキュリティを確保することが明示的に求められています。この法令は、対象となる金融機関だけでなく、ICT システムおよびサービスに依存するサードパーティにも適用されます。
ネットワークの可視性と攻撃者のモビリティの間の接続
ここまでは、DORA がリスクをより明確に把握するために求める要件について説明しました。次に、ネットワークの可視性の向上と攻撃者のモビリティの制限との間の接続について見ていきましょう。
具体的には、DORA は、サイバー攻撃中に影響を受けた資産を隔離する自動化機能を含む、健全なネットワークとインフラ管理を確立するためのリスクベースのアプローチを採用することを求めています。同法では、ランサムウェア攻撃などのサイバー脅威の拡散を防ぐために、即時のセグメンテーションを可能にするネットワーク接続を設計することも要求しています。
残念なことに、当社が関わっている多くのセキュリティチームは、ネットワーク通信をリアルタイムで可視化できておらず、システムに侵入した攻撃者によるラテラルムーブメントを示す信号や、マルウェアなどの脅威の拡散を示す信号も認識できていません。オンプレミスやクラウドコンポーネントを含む複雑な IT 環境では、これが特に困難になります。
多くのサイバーセキュリティチームは、ネットワークを小規模な分離されたセグメントに分割するセグメンテーション制御のベースラインを実装しています。各セグメントは独立して運用され、それぞれのセグメント間のアクセスは制御されます。その目的は、アタックサーフェスを縮小し、脅威の拡散を制限することです。
マイクロセグメンテーションによってアタックサーフェスを縮小し、攻撃の成功範囲を制限
当社は、この手法をソフトウェア定義のマイクロセグメンテーションから一歩進んだアプローチとして取り入れることをお勧めします。
マイクロセグメンテーションにより、サイバーセキュリティチームはネットワーク内でさらに小さく、よりきめ細かいセグメントを作成できます。マイクロセグメントに対しては、最小権限など、独自のセキュリティポリシーとアクセス制御を設定して、悪性のネットワークトラフィックを特定し、隔離し、緩和することができます。
たとえば、適切なマイクロセグメンテーションツールを使用することで、セキュリティチームは、アプリケーション同士およびアプリケーションとシステム間のやり取りを阻止したり、セグメント化したり、制限したりするポリシーを作成できます。明確な境界内に資産を分離することで、組織は次のことを実現できます。
DORA などの規制で特定された重要な脅威である、マルウェアや侵害されたアプリケーションによって悪用される可能性のある脆弱性を修復する
定期的な監査やセキュリティ対策の文書化を必要とする規制に準拠するための、レポート作成の複雑さを軽減する
ランサムウェアなどの一般的なユースケースを修正するための AI が推奨するテンプレートや、プロセス、ユーザー、ドメイン名などの正確なワークロード属性を提供するセキュリティツールを探す。こうしたセキュリティツールをゼロトラスト・アーキテクチャと組み合わせることで、対象となるユーザーアカウントや資産に関係なく、認可とアクセス制御を強化できます。
結論
データセキュリティ規制を遵守するためには、組織がアタックサーフェスの各レイヤーを保護するためにレイヤー型セキュリティ戦略を実装する方法と大きく変わらないアプローチが求められると当社は考えています。
このブログシリーズでは、従来の手法であるレガシーネットワークセキュリティツールを超えた、今日の規制当局の要求に直接関連する一般的なコンプライアンスの課題とベストプラクティスを検討してきました。最後に、優れたセキュリティはより強力なコンプライアンスプログラムを実現します。企業のセキュリティ保護と規制要件への適合の関連性を探る、今後の記事をお楽しみに。
詳細はこちら
Akamai のサイバーセキュリティコンプライアンスのページでは、規制当局の要件を満たす能力を大幅に向上させる 4 つの主要なセキュリティ分野について説明しています。また、Akamai がどのようにして組織の要件への準拠を支援しているかについての知見や、当社のお客様がどのようにアプローチとインシデント対応戦略を強化したかを示す事例もご覧いただけます。