オーストラリア政府はどのようにして国家的なサイバーセキュリティの回復力を構築し、脅威に立ち向かうことができるのでしょうか。
2020年にはリモートワークが急増し、さらに大規模なデータ流出が続き、オンライン上でのプライバシー侵害の影響に注目が集まっていることから、サイバーセキュリティに対する社会の注目度はかつてないほど高まっています。その結果、世界各国の政府は、私たちの最も貴重なデジタルリソースを取り扱う際に企業が遵守すべき戦略や規制を含む、サイバーセキュリティの計画やインフラの再構築と更新に乗り出しています。
サイバーセキュリティの戦略的保護ガイドラインは新しい概念ではなく、NISTのような組織が長年にわたって世界の政府部門の方針を伝えてきました。しかし、デジタル化が急速に進むにつれ、多くの人々にとって、変化し続ける状況の中で、数多くの脅威、考えられる攻撃経路、コンプライアンス要件に対応することは困難になっています。
最近発生したニューサウスウェールズ州の運転免許証54,000件の漏えい事件は、サードパーティのサーバに設置されたS3バケットに簡単にアクセスして設定を間違えたことが原因で、数千人の個人情報が漏えいしたもので、この事件を報告したセキュリティ研究者は、データがすでにダークウェブで販売されている可能性があることを認めています。悲しいことに、この問題は簡単に解決できるものであり、キャッシュの設定者がセキュリティを最優先に考えていたならば、このような事態は全く起こらなかったでしょう。
オーストラリア政府は先日、「オーストラリア・サイバーセキュリティ戦略2020」を発表しました。これは、「オーストラリア人とそのビジネス、そして私たち全員が依存している重要なサービスのために、より安全なオンライン世界を構築する」というビジョンを達成するために、新たな取り組みと今後10年間で使用される16億7,000万ドルの資金増強を強調したものです。特に、主な目的の一つが以下の通りであることから、これは非常に歓迎すべき見直しであり、更新された計画です。
"企業が自社の製品やサービスの安全性を確保し、既知のサイバー脆弱性から顧客を守るための行動"
政府機関は、国の重要なインフラ(壊滅的な組織的攻撃を受けやすい分野)に関するセキュリティ対策を重視する傾向にありますが(当然のことですが)、これまでは、私たちのデータを日々収集・利用している企業に対するガイドラインが不足していました。
さて、このような公式の戦略となると、ビールとスキットルばかりではありません。解釈がやや難しく、詳細が曖昧なため、組織のセキュリティチームが具体的でないガイドラインに基づいて計画を組み立てることになってしまうのです。この問題は、オーストラリア政府に限ったことではありませんが、オーストラリア政府の新しいリリースを分析してみましょう。
予防ではなく、反応に焦点を当てています。
更新されたオーストラリアのサイバーセキュリティ戦略は、2016年に発表された前回のものよりも関連性がアップしており、企業、特に中小企業向けにかなり包括的な計画が盛り込まれています。戦略の概要は以下の通りです。
"政府と大企業は、中小企業がサイバーセキュリティに対する意識と能力を高め、成長できるように支援する。オーストラリア政府は、大企業やサービスプロバイダーと協力して、中小企業にサイバーセキュリティの情報やツールを、安全なサービス(脅威の遮断、ウイルス対策、サイバーセキュリティ意識向上トレーニングなど)の「バンドル」の一部として提供する」としている。
これにより、中小企業はサイバー脅威から自社のビジネスを守るための基本的な基盤を整えることができます。しかし、これは主に後付けのアプローチであり、サイバーセキュリティの中でも比較的小さな部分である検知ツールに焦点が当てられています。
また、大企業がどのように自らを守り、攻撃のベクトルを減らすことができるのかについての情報は驚くほど少ない。重要インフラ(通信、輸送など)を保護する計画の一部であることは確かだが、金融サービス、小売、その他多くの業種は、サイバー攻撃が成功した場合、失うものが大きい。しかし、企業レベルでのサイバーセキュリティのベストプラクティスの重要性を強調することは、大きな変化をもたらし、漏洩したデータやサイバー犯罪を減少させるための基本です。
今回の戦略は、全体的に見て、リアクティブなアプローチを中心に構築されています。サイバー攻撃に対抗し、活動中のサイバー犯罪者を混乱させて確実に処罰し、国際的な同盟国と情報を共有することは、いずれも重要な要素ですが、もし国全体の保護の基準が予防に集中していたらと想像してみてください。重要インフラの保護対策とともに、すべての企業でセキュリティが最優先され、デジタル世界を創造するコードに触れるすべての人が、攻撃を未然に防ぐための適切な装備を備えていたとしたら、時間、お金、そして被害者の心労を減らすことは計り知れません。
レジリアンスは可能ですが、計画的に行わなければなりません。
オーストラリア政府がサイバーセキュリティに本腰を入れて取り組んでいることからもわかるように、サイバーセキュリティは国家レベルで重要なリスク領域として認識されています。私たちの生活を破壊する可能性のある他の悪意のある攻撃と同様に、そのような試みに耐えるだけでなく、そのようなことが全く起こらないように抑止するためにも、レジリエンスは絶対に重要です。結局のところ、脅威となる人物は怠け者であり、成功を阻む障害が多ければ、目的を達成するためにもっと簡単なターゲットに移ってしまうのです。
現在、私たちは世界的なサイバーセキュリティのスキル不足に直面しており、これは世界中のCISOを夜も眠れない状態にしています。何十億行ものコード、絶え間ない大規模なデータ侵害、そしてかつてないほどのペナルティのリスク(マリオットだけでも、2018年のデータ侵害でGDPRによる1億2,300万米ドルの罰金を受けており、さらに今年も侵害が発生しています)により、セキュリティの専門家に対する需要の溝は、現実的には埋められそうにありません。コードがあまりにも多く、それをあらゆる角度から防御するためのリソースがあまりにも不足しているのです。
では、私たちは、サイバー脅威に直面したときに、真の意味で立ち向かえるようになることを諦めるべきなのでしょうか?そんなことはありません。レジリエンスを高めるためには、利用可能なすべてのリソースを活用し、一歩先を見据えて行動する必要があります。多くの企業では、開発者がコードを書いている最中に、強力な防御方法を解き放つことができます。企業全体で目に見える積極的なセキュリティ文化と組み合わせれば、多くの攻撃者が揺さぶりをかけて壊すことのできない安全な基盤ができあがります。しかし、この方法は、オーストラリアのサイバーセキュリティ戦略の提案を例にとり、ビジネスに適した効果的な変化をサポートするために、どのようにカスタマイズできるかを深く掘り下げる必要があります。
そのためには、いくつかのヒントを分解することが重要です。
- セキュリティ意識向上のためのトレーニング。これは特に中小企業を対象としたもので、報告書全体の文脈からすると、主にすべてのスタッフに基本的なセキュリティ衛生を教えることを目的としています(例:フィッシングメールの見分け方、知らないリンクをクリックしないなど)。現実的には、それよりもはるかに進んで、特に開発者のようにコードを触る人たちのために、役割に応じたトレーニングを行う必要があります。セキュリティ意識の向上のためのトレーニングは、予防措置と回復力の構築のための要素であることが不可欠です。
- 教育です。新たな試みとして、初等・中等教育から高等教育に至るまで、サイバーセキュリティのトレーニングを重視することで、今後10年間のサイバーセキュリティのスキル不足に対処するための綿密な計画が立てられています。将来のセキュリティ・スーパースターを育成するためには、このようなトレーニングが必要です。しかし、現在のビジネス・ニーズに対応するという観点からは、一般的な脆弱性を減らしていくためには、開発者向けのセキュア・コーディングの実践的なトレーニングが絶対に必要であり、機能的なセキュリティ・プログラムの一部でなければなりません。
私たちはセキュリティの専門家として、世界中の企業が、単純な基礎的認識にとどまらず、社内のセキュリティプログラムを構築することの重要性を理解するために、もっと努力する必要があります。開発者のスキルアップに時間をかけることで、過重労働を強いられているAppSecの専門家のプレッシャーを軽減し、組織全体がそれぞれの役割に応じて可能な限りセキュリティを意識するようにすることが、ソフトウェアにおける脅威表面の攻撃領域を減らすために不可欠です。
開発者のスキルアップは時間を有効に使うことができますが、なぜ多くの企業がそれを無視しているのでしょうか?
DDLSが最近実施した調査によると、オーストラリアの組織では、サイバーセキュリティのトレーニングに関して、優先順位がほとんど意識されていないことがわかりました。実際、回答者の77%がサイバーセキュリティに対する意識を「非常に重要」または「非常に重要」としているにもかかわらず、トレーニングの優先順位のトップ3にも入っていませんでした。
そのため、オーストラリアが拡大するスキル格差の解消に苦戦しているのも不思議ではありません。また、基本的なサービスから小売店、そしてその間にあるすべてのものに至るまで、より回復力のあるインフラを構築するためには、いくつかの課題があります。
政府がセキュリティスキルのベースライン認証や規制を設ける機会は非常に多く、戦略では、有限の資源で取り組む方法として、このことを示唆しています。しかし、繰り返しになりますが、これは未来状態の提案であり、影響力の大きい分野を最初にターゲットにすれば、もっと早く始めることができるツールがあるのです。私にとっては、希望の光は各組織内の開発チームにあり、成功するためのツールと知識を与えられれば、一般的な脆弱性を峠で断ち切り、組織内のデータ侵害のリスクを大幅に減らすことができる。
2019年には、データ漏洩全体の24%が人為的なミス、つまりセキュリティの設定ミスが原因となっていますが、これらは通常、比較的簡単なコードレベルの修正です。ここで、全社的なセキュリティ意識の醸成と合わせてトレーニングが優先されれば、侵害された何千人もの顧客への侵害通知に署名するCISOは少なくなるに違いないと思います。
ピーテル・ダンヒユー
Pieter Danhieuxは、セキュリティコンサルタントとして12年以上の経験を持ち、SANSの主席講師として8年間、組織、システム、個人をターゲットにしてセキュリティの弱点を評価する方法に関する攻撃的なテクニックを教えている、世界的に有名なセキュリティエキスパートです。2016年には、オーストラリアで最もクールな技術者の一人として認められ(Business Insider)、Cyber Security Professional of the Yearを受賞(AISA - Australian Information Security Association)、GSE、CISSP、GCIH、GCFA、GSEC、GPEN、GWAPT、GCIA認定を保有している。
セキュアコーディングに関する最新の知見をブログでご紹介しています。
当社の豊富なリソースライブラリは、安全なコーディングアップスキルに対する人間的なアプローチを強化することを目的としています。
開発者主導のセキュリティに関する最新の研究成果を入手する
ホワイトペーパーからウェビナーまで、開発者主導のセキュアコーディングを始めるために役立つリソースが満載のリソースライブラリです。今すぐご覧ください。
オーストラリア政府はどのようにして国家的なサイバーセキュリティの回復力を構築し、脅威に立ち向かうことができるのでしょうか。
2020年にはリモートワークが急増し、さらに大規模なデータ流出が続き、オンライン上でのプライバシー侵害の影響に注目が集まっていることから、サイバーセキュリティに対する社会の注目度はかつてないほど高まっています。その結果、世界各国の政府は、私たちの最も貴重なデジタルリソースを取り扱う際に企業が遵守すべき戦略や規制を含む、サイバーセキュリティの計画やインフラの再構築と更新に乗り出しています。
サイバーセキュリティの戦略的保護ガイドラインは新しい概念ではなく、NISTのような組織が長年にわたって世界の政府部門の方針を伝えてきました。しかし、デジタル化が急速に進むにつれ、多くの人々にとって、変化し続ける状況の中で、数多くの脅威、考えられる攻撃経路、コンプライアンス要件に対応することは困難になっています。
最近発生したニューサウスウェールズ州の運転免許証54,000件の漏えい事件は、サードパーティのサーバに設置されたS3バケットに簡単にアクセスして設定を間違えたことが原因で、数千人の個人情報が漏えいしたもので、この事件を報告したセキュリティ研究者は、データがすでにダークウェブで販売されている可能性があることを認めています。悲しいことに、この問題は簡単に解決できるものであり、キャッシュの設定者がセキュリティを最優先に考えていたならば、このような事態は全く起こらなかったでしょう。
オーストラリア政府は先日、「オーストラリア・サイバーセキュリティ戦略2020」を発表しました。これは、「オーストラリア人とそのビジネス、そして私たち全員が依存している重要なサービスのために、より安全なオンライン世界を構築する」というビジョンを達成するために、新たな取り組みと今後10年間で使用される16億7,000万ドルの資金増強を強調したものです。特に、主な目的の一つが以下の通りであることから、これは非常に歓迎すべき見直しであり、更新された計画です。
"企業が自社の製品やサービスの安全性を確保し、既知のサイバー脆弱性から顧客を守るための行動"
政府機関は、国の重要なインフラ(壊滅的な組織的攻撃を受けやすい分野)に関するセキュリティ対策を重視する傾向にありますが(当然のことですが)、これまでは、私たちのデータを日々収集・利用している企業に対するガイドラインが不足していました。
さて、このような公式の戦略となると、ビールとスキットルばかりではありません。解釈がやや難しく、詳細が曖昧なため、組織のセキュリティチームが具体的でないガイドラインに基づいて計画を組み立てることになってしまうのです。この問題は、オーストラリア政府に限ったことではありませんが、オーストラリア政府の新しいリリースを分析してみましょう。
予防ではなく、反応に焦点を当てています。
更新されたオーストラリアのサイバーセキュリティ戦略は、2016年に発表された前回のものよりも関連性がアップしており、企業、特に中小企業向けにかなり包括的な計画が盛り込まれています。戦略の概要は以下の通りです。
"政府と大企業は、中小企業がサイバーセキュリティに対する意識と能力を高め、成長できるように支援する。オーストラリア政府は、大企業やサービスプロバイダーと協力して、中小企業にサイバーセキュリティの情報やツールを、安全なサービス(脅威の遮断、ウイルス対策、サイバーセキュリティ意識向上トレーニングなど)の「バンドル」の一部として提供する」としている。
これにより、中小企業はサイバー脅威から自社のビジネスを守るための基本的な基盤を整えることができます。しかし、これは主に後付けのアプローチであり、サイバーセキュリティの中でも比較的小さな部分である検知ツールに焦点が当てられています。
また、大企業がどのように自らを守り、攻撃のベクトルを減らすことができるのかについての情報は驚くほど少ない。重要インフラ(通信、輸送など)を保護する計画の一部であることは確かだが、金融サービス、小売、その他多くの業種は、サイバー攻撃が成功した場合、失うものが大きい。しかし、企業レベルでのサイバーセキュリティのベストプラクティスの重要性を強調することは、大きな変化をもたらし、漏洩したデータやサイバー犯罪を減少させるための基本です。
今回の戦略は、全体的に見て、リアクティブなアプローチを中心に構築されています。サイバー攻撃に対抗し、活動中のサイバー犯罪者を混乱させて確実に処罰し、国際的な同盟国と情報を共有することは、いずれも重要な要素ですが、もし国全体の保護の基準が予防に集中していたらと想像してみてください。重要インフラの保護対策とともに、すべての企業でセキュリティが最優先され、デジタル世界を創造するコードに触れるすべての人が、攻撃を未然に防ぐための適切な装備を備えていたとしたら、時間、お金、そして被害者の心労を減らすことは計り知れません。
レジリアンスは可能ですが、計画的に行わなければなりません。
オーストラリア政府がサイバーセキュリティに本腰を入れて取り組んでいることからもわかるように、サイバーセキュリティは国家レベルで重要なリスク領域として認識されています。私たちの生活を破壊する可能性のある他の悪意のある攻撃と同様に、そのような試みに耐えるだけでなく、そのようなことが全く起こらないように抑止するためにも、レジリエンスは絶対に重要です。結局のところ、脅威となる人物は怠け者であり、成功を阻む障害が多ければ、目的を達成するためにもっと簡単なターゲットに移ってしまうのです。
現在、私たちは世界的なサイバーセキュリティのスキル不足に直面しており、これは世界中のCISOを夜も眠れない状態にしています。何十億行ものコード、絶え間ない大規模なデータ侵害、そしてかつてないほどのペナルティのリスク(マリオットだけでも、2018年のデータ侵害でGDPRによる1億2,300万米ドルの罰金を受けており、さらに今年も侵害が発生しています)により、セキュリティの専門家に対する需要の溝は、現実的には埋められそうにありません。コードがあまりにも多く、それをあらゆる角度から防御するためのリソースがあまりにも不足しているのです。
では、私たちは、サイバー脅威に直面したときに、真の意味で立ち向かえるようになることを諦めるべきなのでしょうか?そんなことはありません。レジリエンスを高めるためには、利用可能なすべてのリソースを活用し、一歩先を見据えて行動する必要があります。多くの企業では、開発者がコードを書いている最中に、強力な防御方法を解き放つことができます。企業全体で目に見える積極的なセキュリティ文化と組み合わせれば、多くの攻撃者が揺さぶりをかけて壊すことのできない安全な基盤ができあがります。しかし、この方法は、オーストラリアのサイバーセキュリティ戦略の提案を例にとり、ビジネスに適した効果的な変化をサポートするために、どのようにカスタマイズできるかを深く掘り下げる必要があります。
そのためには、いくつかのヒントを分解することが重要です。
- セキュリティ意識向上のためのトレーニング。これは特に中小企業を対象としたもので、報告書全体の文脈からすると、主にすべてのスタッフに基本的なセキュリティ衛生を教えることを目的としています(例:フィッシングメールの見分け方、知らないリンクをクリックしないなど)。現実的には、それよりもはるかに進んで、特に開発者のようにコードを触る人たちのために、役割に応じたトレーニングを行う必要があります。セキュリティ意識の向上のためのトレーニングは、予防措置と回復力の構築のための要素であることが不可欠です。
- 教育です。新たな試みとして、初等・中等教育から高等教育に至るまで、サイバーセキュリティのトレーニングを重視することで、今後10年間のサイバーセキュリティのスキル不足に対処するための綿密な計画が立てられています。将来のセキュリティ・スーパースターを育成するためには、このようなトレーニングが必要です。しかし、現在のビジネス・ニーズに対応するという観点からは、一般的な脆弱性を減らしていくためには、開発者向けのセキュア・コーディングの実践的なトレーニングが絶対に必要であり、機能的なセキュリティ・プログラムの一部でなければなりません。
私たちはセキュリティの専門家として、世界中の企業が、単純な基礎的認識にとどまらず、社内のセキュリティプログラムを構築することの重要性を理解するために、もっと努力する必要があります。開発者のスキルアップに時間をかけることで、過重労働を強いられているAppSecの専門家のプレッシャーを軽減し、組織全体がそれぞれの役割に応じて可能な限りセキュリティを意識するようにすることが、ソフトウェアにおける脅威表面の攻撃領域を減らすために不可欠です。
開発者のスキルアップは時間を有効に使うことができますが、なぜ多くの企業がそれを無視しているのでしょうか?
DDLSが最近実施した調査によると、オーストラリアの組織では、サイバーセキュリティのトレーニングに関して、優先順位がほとんど意識されていないことがわかりました。実際、回答者の77%がサイバーセキュリティに対する意識を「非常に重要」または「非常に重要」としているにもかかわらず、トレーニングの優先順位のトップ3にも入っていませんでした。
そのため、オーストラリアが拡大するスキル格差の解消に苦戦しているのも不思議ではありません。また、基本的なサービスから小売店、そしてその間にあるすべてのものに至るまで、より回復力のあるインフラを構築するためには、いくつかの課題があります。
政府がセキュリティスキルのベースライン認証や規制を設ける機会は非常に多く、戦略では、有限の資源で取り組む方法として、このことを示唆しています。しかし、繰り返しになりますが、これは未来状態の提案であり、影響力の大きい分野を最初にターゲットにすれば、もっと早く始めることができるツールがあるのです。私にとっては、希望の光は各組織内の開発チームにあり、成功するためのツールと知識を与えられれば、一般的な脆弱性を峠で断ち切り、組織内のデータ侵害のリスクを大幅に減らすことができる。
2019年には、データ漏洩全体の24%が人為的なミス、つまりセキュリティの設定ミスが原因となっていますが、これらは通常、比較的簡単なコードレベルの修正です。ここで、全社的なセキュリティ意識の醸成と合わせてトレーニングが優先されれば、侵害された何千人もの顧客への侵害通知に署名するCISOは少なくなるに違いないと思います。
