リスクをより詳細に可視化し、セキュリティコンプライアンス要件に対応

リスクや脆弱性を把握できなければ、そのリスクの軽減や修復の対処は不可能です。規制当局に対しても問題を制御できていると説明することができません。ところが、一般的に可視性はサイバーセキュリティチームでの課題となっています。

2024年のForresterの調査によると、金融会社の半数以上（52%）が、自社のIT資産を完全に把握できていないことについて、「そう思う」または「非常にそう思う」と回答しています。どのような業界でも、コンプライアンス違反では大きな損害が発生し得ます。10万米ドルを超える規制上の罰金を支払った組織の数は、2023年から2024年で20%近く急増しました。

コンプライアンスシリーズの最初のブログ投稿では、規制コンプライアンスの取り組みをレイヤー型セキュリティアプローチと結びつけるべきであると論じました。可視性のギャップを埋めるプロアクティブなアプローチを取ることで、以下のセキュリティコンプライアンス要件を満たすことができます。

• コントロールのデモンストレーション
• リスク管理評価の実施
• 監査用のレポート

この投稿では、ネットワークセキュリティとAPI保護に関して組織が取り組んでいる可視性の問題について検討し、コンプライアンスを強化するために組織が追加できるレイヤーについて説明します。最終的に、優れたセキュリティ対策により規制要件の遵守が実現します。そして、リスクを確認した際に、そのリスクをより効果的に緩和できるようになっています。

サイバーセキュリティのリーダーから、自チームにネットワークトラフィックを効果的に監視する機能がないため、どのアセットが相互に通信しているかなどのリスク要因を把握できないという声が寄せられています。このことは、Payment Card Industry Data Security Standard（PCI DSS v4.0）やGeneral Data Protection Regulation（GDPR）などの規制に対応する上で重要です。

これらの指令はどちらも、IT環境内で対象範囲内のデータを他のシステムから分離し、作業内容を報告することを要求しています。ネットワークの可視性は、国際標準化機構（ISO）IEC 27001などの情報セキュリティ管理システム（ISMS）規格においても重要です。この規格では、攻撃者がネットワークに侵入した場合にラテラルムーブメント（横方向の移動）を回避するために、データとデータ処理施設を分離することを要求しています。

多くの場合、組織では可視性を得るためのベースラインとなるレイヤーをすでに備えており、たとえば、従来のネットワークファイアウォールでもなんらかの分析情報を提供できます。しかし、これらのレイヤーは、クラウド環境とマイクロサービスで構成される複雑なIT資産に移行する企業の動きには追随できていません。その結果、セキュリティチームには以下のような機能が不足します。

• 企業が事業、販売、サードパーティーの活用を行う世界各地の無数の地域における多様な法規制へのコンプライアンス確保

• アプリケーションとエンドユーザーがネットワーク全体でどのように通信し、データベースとやり取りするかの明確な理解

このような可視性のギャップにより、企業がサイバー脅威をどのように検知し、データの盗難、運用の中断、マルウェアにつながる攻撃から保護しているかを規制当局に示すことが困難になっています。また、可視性が低いと、PCI DSS v4.0の要件1などの技術要件を満たすことも難しくなります。この要件では、信頼できるネットワークと信頼できないネットワーク間の接続を制限するようにファイアウォールを設定する必要があります。

ネットワークトラフィックの可視性のギャップを解決する1つの方法は、ソフトウェア定義のマイクロセグメンテーションのレイヤーを追加して、ネットワーク内のアセット間の通信を可視化、監視、特定することです。このアプローチでは、次のような効果が得られます。

• ネットワークインタラクションのきめ細かい制御により、オンプレミスとクラウドにまたがる複雑なネットワーク全体にわたり、特定のデータセンター内のデバイス間での不正なネットワークトラフィック（すなわち水平方向のトラフィック）を組織が把握、分離、防止するのを支援

• ネットワークを複数のセグメントに分割し、各セグメントのリスク属性にセキュリティ制御を定義することにより、ランサムウェア攻撃を緩和し、阻止する機能

• 水平方向の可視性を強化することで、顧客のクレジットカードデータなどの機密リソースについて「誰が何にアクセスできるか」をセキュリティチームがよりよく把握できる

ネットワークの可視性を向上させる目的で、組織で使用できるマイクロセグメンテーションのレイヤーを検討する際には、リアルタイムおよび時系列の分析情報が得られる機能を探してください。これにより、コンプライアンス監査中に、対象範囲内のデータとアセットが侵害されていないことを立証できます。

また、急成長しているAPI資産の可視化に苦労しているセキュリティチームもあります。顧客、パートナー、あるいはベンダーが組織と電子的にやり取りするたびに、APIがバックグラウンドでデータを送信しており、そのデータはしばしば機密性が高いものです。今日の攻撃者は、APIに大きな脆弱性があり攻撃が比較的容易であることを知っています。誤設定、認証制御の不備、コーディングエラーなどの要因があるためです。

多くの組織では、全体的なIT資産の一部しか見ることができません。この理由は、APIの多くが影に隠れており、従来のAPI保護ツールでは検知されないからです。AkamaiのAPIセキュリティの影響に関する調査2024年版によると、APIの完全なインベントリを保有するセキュリティ専門家のうち、機微な情報を返すAPIを実際に理解しているのは、わずか27%に過ぎません。すでに懸念となっていた2023年の40%からさらに減少しています。

業界別にフィルタリングすると、正規ユーザーからのものか攻撃者からのものかに関わらず、リクエストに対してどのAPIが機密データを渡すかについての可視性がさらに低い状況が確認できます。

• 医療業界：APIの24.0%のみ
• 保険業界：APIの20.7%のみ
• 政府・公共機関：APIの18.5%のみ

医療業界を例に、リスクの深刻な状況を説明します。攻撃者が、プロバイダーの誤設定APIを容易に操作して患者の医療情報を取得できれば、HIPAAに関する調査や罰金を受けるリスクがあります。

一部の規制では、APIが明示的に言及されています。たとえば、PCI DSS v4.0には、組織のソフトウェアが外部コンポーネントの機能を使用しているかどうかを確認するガイダンスが含まれています。これには、クレジットカード情報などの支払いデータをモバイルアプリから銀行のシステムに送信するAPIが含まれます。 

その他の場合、API は明示的に言及されていませんが、要件はAPIを使用して機能する技術のセキュリティ保護に明確に重点を置いています。この例としては、欧州連合のデジタル運用回復力法（DORA）が挙げられ、これはEU加盟国の金融サービス組織がサイバー攻撃に耐え、回復できるよう支援するために設計されています。

DORAの第3条は、組織が情報通信技術（ICT）ソリューションやプロセスの活用において、以下の要件を満たすことを要求しています。

• データ関連のセキュリティリスク、不正アクセス、技術的な欠陥を最小限に抑える

• データの可用性の喪失、データ損失、完全性と機密性に関するデータ漏えいを防止する

• データ転送のセキュリティを確保する

APIの主な機能は、高速で信頼性が高く安全なデータ転送ができるようにすることです。したがって、DORAの要件を満たすためには、企業データに関わるすべてのAPIを探索し、リスク評価を実行し、セキュリティを確保することが不可欠です。

こうした制御は、PCI DSSやGDPRの他、サイバーレジリエンシーとデータセキュリティを確保するために設計された多くの規制要件へのコンプライアンスの改善にも役立ちます。APIとそのリスクに対する可視性を向上させるためにレイヤーを追加することを検討している場合は、次のような機能に注目してください。

• 管理対象と管理対象外によらず、ゾンビAPIやシャドウAPIを含むIT環境内のすべてのAPIを探索する機能

• 各APIのリスク要因を評価する機能（たとえば、交換しているデータの種類、データのアクセス権を持つ主体など）

• コンテキストに基づいた分析情報を可視化し、データ漏えい、不審なふるまい、悪性ボット、API攻撃などのリスクを特定する機能

• データフローを文書化する機能

• 企業のAPIセキュリティポスチャを規制基準にマッピングするコンプライアンスレポートを生成する機能

最後になりますが、当社では、情報セキュリティのコンプライアンスフレームワークと規制を順守するためには、攻撃対象のさまざまな領域を保護するためのレイヤー型のアプローチが必要だと考えています。

このシリーズの続きでは、現在の規制当局がセキュリティコンプライアンス管理に求めている要件と密接に関連するセキュリティのベストプラクティスについて紹介します。これには、ネットワーク、アプリケーション、API間のラテラルムーブメントの防止も含まれます。