ナショナル・フットボール・リーグ(NFL)のCISOであるトマス・マルドナド氏と、サイバーセキュリティ・インフラセキュリティ庁(CISA)サイバーセキュリティ部門のエグゼクティブ・アシスタント・ディレクターであるジェフ・グリーン氏は、Bitwarden CEOのマイケル・クランデル氏とともに、オープンソース・セキュリティ・サミットでの炉辺談話に参加し、セキュリティのベストプラクティス、よくある間違い、組織が利用できる幅広いリソースについて掘り下げました。また、頻繁なソフトウェアパッチの適用、ソーシャルエンジニアリングの手口への意識、多要素認証やパスワードマネージャーなどのセキュリティツールの活用を通じて、個人や組織がサイバー犯罪者の先を行く方法についても話し合いました。
マルドナド氏は、著名な金融機関でセキュリティ専門家として長年勤務した後、化学品製造会社でCISOを務め、厳格な規制下にある企業での勤務経験もあります。マルドナド氏は「NFLは私にサイバーセキュリティのコンバインを受けさせたようなものです」と冗談を述べました。
CISAでグリーン氏とそのチームは、連邦政府、民間部門、行政機関の各レベルにおけるサイバーセキュリティ、サイバー脅威の低減、そして最終的にはサイバー攻撃の抑止を担当しています。各機関にはそれぞれCISOがいますが、CISAは方針を定め、指令を出す権限を持っています。15年のサイバーセキュリティ経験を持つグリーン氏は、以前は弁護士でした。現在の役割に移る前は、民間部門や米国国立標準技術研究所(NIST)で役職を務めていました。
サイバー脅威を理解する
進化し続けるサイバーセキュリティの状況において、サイバー脅威の性質と範囲を理解することは極めて重要です。サイバー犯罪者は常に手口を洗練させており、セキュリティチームは一歩先を行く必要があります。新しいテクノロジーが登場する中で、新たな脆弱性に加え、フィッシングやランサムウェアのような長年の課題も依然として大きな脅威です。
サイバー脅威にはさまざまな形態があり、それぞれ固有のリスクをもたらします。たとえばマルウェアは手ごわい敵であり、攻撃はますます高度化し、検知されにくくなっています。このカテゴリには、ウイルス、ワーム、ランサムウェア、クリプトジャッキングが含まれ、いずれもシステムやデータに大きな被害をもたらす可能性があります。
フィッシング攻撃も、あらゆる規模の組織を標的にし続ける脅威です。こうした攻撃では、多くの場合、受信者をだまして機密情報を開示させる不正なメールやメッセージが使われます。フィッシングに対抗するには、教育、意識向上、そしてこうした試みを検知してブロックする堅牢なセキュリティ対策が重要です。
データを暗号化し、その解除と引き換えに支払いを要求するマルウェアの一種であるランサムウェアは、大きな懸念事項です。組織は警戒を怠らず、こうした攻撃を防ぎ、その影響を軽減するために包括的なセキュリティプロトコルを導入する必要があります。
こうしたさまざまな種類のサイバー脅威に備えることは、潜在的な攻撃経路を特定し、効果的な軽減戦略を整えるうえで不可欠です。これらの脅威を理解し、先を見越したセキュリティ対策を実施することで、組織はネットワーク、システム、機密データをサイバー攻撃からより適切に保護できます。
続きを読む:
NFLとCISAがサイバー脅威を特定し、サイバーセキュリティ課題に協力して取り組む方法
NFLとCISAは長年にわたり、スーパーボウルの12〜18か月前から会合を重ねてきました。2025年のスーパーボウルはニューオーリンズで開催される予定であり、NFLは、スーパーボウル期間中にサービスを提供する企業が、机上演習、トレーニング、啓発キャンペーン、脆弱性スキャン、ペネトレーションテストといったCISAのサービスを理解できるようにしています。
NFLとCISAはまた、機密情報の窃取や業務妨害を狙う高度で持続的な脅威や、巧妙かつ長期にわたるサイバー攻撃を特定し、軽減するためにも協力しています。クラウドコンピューティングは特有のサイバーセキュリティ課題をもたらすため、設定ミスや不十分なアクセス制御からクラウドインフラを保護することが重要です。
たとえば、スーパーボウル会場近くのドーナツ店であれば、店舗の公開ウェブサイトを対象とした公開スキャンなどのツールを活用して、悪用可能な脆弱性がないことを確認できます。CISAは、組織がセキュリティ改善のヒントを得られるよう、ベースラインとなるセキュリティ目標も提供できます。
CISAには各州にサイバーセキュリティアドバイザーがおり、潜在的な脅威に直面している企業と連携できます。エネルギー企業が直面する脅威の種類は、ドーナツ店のものより深刻である可能性が高い一方で、ドーナツ店であっても大量の個人情報を扱う可能性があり、脆弱性スキャンの恩恵を受けられます。CISAはまた、企業がランサムウェア攻撃を防止し、トリアージできるよう支援することにも重点を置いています。グリーン氏は次のように述べています。「企業が現在攻撃を受けている、または標的にされていると判断した場合、私たちは直接連絡し、重点的に取り組むべきサイバー攻撃対策を推奨します。」
パスワードマネージャーはランサムウェア対策に役立ちますユーザーが訪問する各サイトごとに強力で一意のパスワードを生成できるようにすることで、これを実現します。これにより、パスワードの使い回しのリスクが低減され、覚えやすいという理由だけで弱いパスワードを選んでしまうことを防ぎ、認証情報の窃取の可能性を下げます。
機密データを管理する際のサイバーセキュリティ課題
「組織の集合体」として運営される企業は、特有のサイバーセキュリティ課題を数多く抱えています。NFLは32のクラブを統括しており、各クラブはそれぞれ独自の事業も運営しています。
「私たちが設計したセキュリティの実践、プロトコル、プログラムは、NISTのサイバーセキュリティ推奨事項に沿ったものです。もちろん、CISAが提供するサービスも活用できるようにしています。各クラブは、リーグがどのように支援できるか、また政府のサイバーセキュリティサービスから地域でどのような恩恵を受けられるかを理解しています。」 - Tomás Maldonado
各クラブは地域の企業やサービスと密接に連携することが多く、そこで確認したセキュリティのベストプラクティスをサプライチェーンのプロバイダーにも共有しています。
続きを読む:
継続的な協力でサイバー攻撃を防ぐ
サイバー攻撃を防ぐには、リスクを軽減し機密データを保護するための包括的なアプローチが必要です。企業は、内部と外部の両方の脅威からシステムを守るソリューションに投資しなければなりません。
パスワードマネージャーは、ユーザーが複雑なパスワードを安全に生成し保存するのに役立ちます。強力で一意のパスワードを奨励し、サイバーセキュリティの文化を育むことで、サイバー犯罪者によるシステムへのアクセスを防ぎ、従業員が潜在的な脅威を特定してエスカレーションするためのツールとリソースを備えられます。多要素認証(2FA)を導入すると、システムにアクセスする前にユーザーへ2種類の本人確認を求めることでセキュリティ層が追加され、パスワードが侵害された場合でも不正アクセスのリスクを軽減できます。機密データを暗号化することで、たとえ傍受されても復号キーがなければ読み取れないようにできます。不審または悪意のある活動に対するアラートを設定すれば、セキュリティチームは潜在的な脅威に迅速に対応できます。これらのソリューションに投資し、ベストプラクティスを採用することで、企業はサイバー攻撃に効果的に対応し、機密データの侵害を防ぐことができます。
「[SolarWinds]以降の数年間で、60以上の連邦政府機関にエンドポイント検知・対応を展開するという大きな進歩を遂げました。今では、サイバー脅威を分析し、機関をまたいでいわゆる点と点をつなげることができます。エンドポイント検知技術を回避した悪意のある活動も、私たちのリソースを使って検出できました。すべてを組み合わせることで、何かがおかしいと気づけたからです。私たちは、次世代型攻撃と考えられるものの一部を阻止することができました。」 - Jeff Greene
ヒューマンエラーと内部のサイバー脅威を軽減する
Crandell氏は、企業セキュリティとそこにある機会や課題の話題から転じて、高度なセキュリティ技術があるにもかかわらず、ヒューマンエラーが依然として侵害の主な原因の一つであると指摘しました。そしてMaldonado氏とGreene氏に、より良い行動を促すために採用できる戦略や実践について尋ねました。
「私たちが組織として直面している脅威のタイプについて、チームの意識向上と教育を進めるよう努めています」とMaldonado氏は述べました。「また、人々が私生活で直面する可能性のあるセキュリティ脅威にも重点を置いています。スタッフを最も弱い部分と見なしたがる人もいるかもしれませんが、私はスタッフこそが最大の資産であるという視点で捉えています。組織に15,000人がいるなら、潜在的に15,000人のセキュリティエバンジェリストがいることになります。」
「彼らに働きかけ、サイバーセキュリティについてより多くを学んでもらえれば、特定のセキュリティ統制にとって優れたカナリアやエバンジェリストになってくれるかもしれません。結局のところ、人は善意を持っていて、正しいことをしたいと考えているのです。」 - Tomás Maldonado
Maldonado氏はまた、今でも人々がユーザー名とパスワードに大きく依存していると指摘しました。NFLでは、パスワードからパスフレーズへの移行を試みていると彼は述べています。これは、攻撃者にとって解読をより難しくすると同時に、個人にとっては覚えやすくなると考えているためです。
Bitwardenユーザーが、パスワード(ランダムに生成された文字で作成されたもの)の代替を探している場合、パスフレーズも役立つことがあります。パスフレーズは、Bitwardenパスフレーズジェネレーターまたは保管庫内のアイテム作成ポップアップを使用して作成できます。
"While people may like to view their staff as the weakest link, I look at it through the lens of our staff being our greatest asset. If I have 15,000 people in my organization, I potentially have 15,000 security evangelists.”
セキュリティ・バイ・デザインを優先する
「クレジットカード情報であれ銀行口座データであれ、個人情報を保護する方法を人々に教えれば、そのスキルはほぼ自動的に仕事にも応用されます」とGreene氏は述べました。「しかし、これはすべて短期的な問題に焦点を当てたものであり、より長期的で根本的な問題があります。私たちは、一瞬のミスによってサイバー犯罪者が銀行口座を空にしたり、国家安全保障上の機密を盗んだり、重要インフラを停止させたりできるような環境で暮らすべきではありません。そうしたことが起きているのは、私たちが依存しているソフトウェアや技術が、安全性を欠いた形で構築されているからです。」
「短期的には、これまで議論してきたことをすべて行う必要があります。そして長期的には、この技術の構築方法を変える必要があります。最初から堅牢でなければなりません。セキュリティ・バイ・デザインが必要なのです。」 - Jeff Greene
セキュリティ・バイ・デザインの例には、次のようなものがあります。
多要素認証を使用する。
既知の脆弱性を報告する。
脆弱性を検出するシステムを備える。
デバイスやシステムにデフォルトのユーザー名とパスワードが設定されていないようにする。
組織は、デフォルトのユーザー名とパスワードを、強力で一意のパスワードまたはパスフレーズに直ちに変更する必要があります。これらは、Bitwardenのようなエンドツーエンドで暗号化されたパスワードマネージャーで管理・保護することが望ましいでしょう。
Greene氏はまた、公式のSecure by Design宣誓について詳しく知るため、CISAのウェブサイトも確認するよう皆に勧めています。
進化するセキュリティ脅威の状況、ランサムウェア攻撃、成功事例
サイバー脅威が進化し続け、より巧妙になる中、サイバーセキュリティにおけるAIと機械学習の役割はますます重要になっています。企業にとって、サイバー脅威をリアルタイムで検出し対応できるテクノロジーを導入し、データ侵害やその他のサイバー攻撃のリスクを大幅に低減することが不可欠です。リアルタイムの脅威検出により、AIと機械学習のアルゴリズムは膨大なデータを迅速に分析し、サイバー脅威を示す可能性のあるパターンや異常を特定できます。過去のデータを分析することで、AIは将来のサイバー脅威を予測し、組織が潜在的な攻撃に備えるのを支援できます。
「AIがより一般的になるにつれ、セキュリティ担当者は、生成AIがもたらす潜在的なセキュリティリスクと、データセキュリティの強固な基盤を築くためにセキュア・バイ・デザインの原則をどう実装できるかを、より深く理解する必要があります」とMaldonado氏は述べています。同氏は、将来の開発者がコードの書き方を学ぶ早い段階で、セキュリティ・バイ・デザインの原則を組み込む必要があると考えています。「開発者には、できるだけ早く製品を市場に投入できるよう、非常に短期間でコーディングを学ぼうとする動機があります」とMaldonado氏は述べています。
「製品を素早くリリースする企業を評価する考え方から、最初からセキュリティを慎重に優先し、組み込む企業を評価する考え方へと移行する必要があります。企業は、ユーザーのデータを侵害から守りながら、市場での目標を達成することが可能です」 - Tomás Maldonado
このプロアクティブなアプローチにより、セキュリティチームはサイバー犯罪者の先を行き、リスクが顕在化する前に軽減できます。AI駆動のシステムは、検出された脅威に自動で対応し、大きな被害をもたらす前に無力化できます。これにより、セキュリティチームの負担が軽減され、サイバー攻撃に対して迅速かつ効果的に対応できます。AIと機械学習を活用することで、組織はサイバーセキュリティ態勢を強化し、新たな脅威からデータをより適切に保護できます。
「私たちは皆、自分たちのデジタルライフや会社のセキュリティを向上させる力を持っています。怖く感じられるかもしれませんが、ほとんどのサイバー攻撃は高度なものではなく、攻撃者の多くは怠惰です。個人や小規模企業として、アップデートのパッチ適用、パスワードマネージャーなどのセキュリティツールのインストール、多要素認証の利用といった簡単なことを実行すれば、大半のサイバー犯罪者より一歩先に進めます」 - Jeff Greene
生成AIがデータにもたらす脅威や、ITチームが備えられているかについて知るには、無料eBook『AI時代におけるセキュリティとイノベーションの両立』をご覧ください。
Bitwardenを始める
パスワード管理でサイバーセキュリティのMVPになる準備はできましたか?7日間の無料ビジネストライアルを開始するか、無料個人アカウントに登録しましょう。