クラウドセキュリティ・インサイト総集編
先週のセキュリティ・パネル・ディスカッションでは、マイクロソフトのサラ・アームストロング=スミス氏、レッドゴート・サイバー・セキュリティのリサ・フォルテ氏とともに、パンデミックがデジタルトランスフォーメーションにどのような影響を及ぼしているかについて議論し、組織がどのように適応できるかを共有した。
この議論は、世界中のITセキュリティの意思決定者1,112人を対象とした最近の調査結果の発表に続いて行われた。この調査では、Microsoft Office 365 環境が直面している最大の脅威と、それに対する防御能力についての見解を尋ねています。クラウド への移行やリモートワークの採用により、サイバー攻撃の脅威が高まっており、セキュリティ専門家の5人に4人が、過去12ヶ月間にサイバーセキュリティのリスクが高まったと回答している。
パネルの中でサラは、「昨年、多くの企業がリムーバル・ワーキングに関して大きな課題を抱えていたと思います。その多くは、大規模なリモートワークができるように設定されていませんでした。」しかし、パンデミックから1年経った今、組織は危機管理から、より戦略的なものへとシフトしているという。
リサと私は、物理的な職場への復帰、コンプライアンス基準の遵守、新たな脅威への対応などについて話し合いながら、この思いをさらに強くした。
さて、ディスカッションで取り上げきれなかった情報を掘り下げてみよう。
Microsoft Office 365と新しいクラウド
クラウド導入、戦略的優位性からビジネス上の必要性へと急速に移行している。
当社の調査によると、ITセキュリティの意思決定者の97%が、パンデミックの結果、Microsoft Office 365の使用を拡大した。ビジネス・コラボレーションのためのSaaS(Software-as-a-Service)プラットフォームの1つとして、これはほとんど驚くべきことではありません。2020年3月、マイクロソフトは2億5,800万人のアクティブユーザーを報告し、前年から7,000万人以上増加した。
Microsoft Office 365は、多くの場合、企業のビジネス・オペレーションの基盤を形成し、ほとんどすべてのデータ・ストレージと共有を促進するほか、他のさまざまなSaaSアプリケーションへのアクセスを仲介するIDプロバイダーにもなっている。このような一元化は、従業員にとっても脅威アクターにとっても好都合である。なぜか?Microsoft Office 365やその他のクラウド環境は、境界線で保護された従来のアプリケーションよりもはるかにアクセスしやすい。
Microsoft Office 365とAzure ADの迅速なピボットとそれに続く導入の急増により、多くの企業は、効果的な監視と保護を行うための設備が整っていない可能性のある、拡大した攻撃対象領域と孤立したワークフォースへの対応を余儀なくされている。回答者の48%は、Microsoft Office 365のセキュリティ確保が最優先課題であると回答しています。また、次のような懸念がそれぞれ45%で並んでいる:1)権限のないユーザーによるアカウント乗っ取りにつながるクレデンシャルの乱用のリスク、2)Power Automateやe-Discoveryなどの正規のマイクロソフト・ツールを使用してラックを隠すハッカーの能力。全体として、Microsoft Office 365ユーザーの71%が、過去1年以内に平均7回、正規ユーザーのアカウント乗っ取りに遭っている。
アカウント乗っ取り、横移動、偵察......!
侵害されたMicrosoft Office 365アカウントは、短期間で甚大な被害をもたらす可能性があります。400万以上のアカウントを調査したMicrosoft Office 365に関する当社のSpotlightレポートでは、96%に何らかの横移動の兆候が見られました。横方向への移動が多いということは、攻撃者が境界のセキュリティをうまく迂回すると、素早く情報にアクセスし、偵察を開始することを示唆しています。ほとんどの横移動は良性の正常なユーザー活動である可能性がありますが、真の課題は悪意のある横移動をピンポイントで特定することです。このようなノイズの中から攻撃者の行動を識別するために検索することは、セキュリティ・オペレーション・センター (SOC) にとって、特に人工知能の助けを借りない限り、リソースを大量に必要とします。
このような状況にもかかわらず、回答者の76%は、検知 の横の動きに自信を持っており、79%は、予防的なセキュリティ防御を回避する攻撃を十分に可視化できていると考えている。侵入された場合、侵害されたアカウントの修復に数週間を要すると答えた回答者は少数派であった。一方、64%は数時間から数日以内にアカウントの乗っ取りを阻止できると回答し、約30%は自社のチームがアカウントの乗っ取りを特定し、即座に阻止できると回答しています。脅威への対応において、数時間、数日、数週間の差は非常に大きい。だからこそ、侵害を検知したらすぐに阻止する迅速な対応が不可欠なのだ。
攻撃の平均的な滞留時間が43日と推定されることを考慮すると、企業には脅威に対処するための「数週間」がないかもしれない。特に、侵害された Microsoft Office 365 アカウントが関与している場合、長い滞留時間を達成する攻撃は組織にとって最大の脅威となります。このことは、回答者の58%、特に役員やCレベルのエグゼクティブの間で、攻撃者と防御者の能力差が拡大していると考えていることを物語っていると思われます。
報告書のその他の主な調査結果は以下の通りである:
- IoT/コネクテッドデバイスとIDベースの攻撃が、2021年のセキュリティ懸念のトップ2である。
- 2021年には、企業の58%が人材とテクノロジーへの投資を増やし、52%がAIと自動化に投資する予定である。
- 既存のセキュリティソリューションに対する最大の不満は、その管理に必要な時間の長さである。
Office 365と関連するクラウドデプロイメントの保護
結局のところ、レスポンス の機能にセキュリティ投資が行われない限り、セキュリ ティ機能の格差は拡大することになる。4社に3社が悪意のあるアカウント乗っ取り攻撃を経験しているという事実は、オンプレミスからクラウドに移行する際にIDを追跡し、セキュリティを確保する必要性を浮き彫りにしている。
Microsoft Office 365が引き続き事業運営に不可欠な役割を果たす中、組織はクラウド環境をセキュアに保護する能力を確保しなければならない。これは、昨年から業務を迅速に適応させなければならなくなり、クラウドによって示されるより実体のない境界線に境界線ベースの防御を適応させるのに苦労している可能性がある組織にとって、特に差し迫った課題である。アカウントの乗っ取りを含む、敵の足がかりとなるような事態が不可避であることを想定して計画を立てることが、最優先されるべきである。
Vectra では、AI主導のネットワーク検知とレスポンス (NDR) ソリューションであるDetect for Office 365により、Microsoft Office 365およびAzure ADワークロードを保護することができます。Cognitoは、Microsoft Office 365環境だけでなく、Azure ADを使用する連携SaaSアプリケーションで動作する攻撃者を特定し、阻止することができます。Cognitoは、攻撃者がサイロで活動しないことを知っており、エンタープライズ、ハイブリッド、データセンター、IaaS、SaaSにまたがる攻撃者の行動の兆候を、単一の管理ポイントから追跡できます。
Microsoft Office 365に対するIDベースの攻撃から組織を守る方法については、調査のeBookで10のステップを紹介しています。
このような ID ベースの攻撃を防ぎ、修復する方法について詳しく説明する近日公開のブログにご期待ください。また、Office 365向けのソリューションを試用したい場合は、今すぐデモをご覧ください!