同僚のノートパソコンが机から消えた日、私にとってサイバーセキュリティは現実のものとなりました。私たちは防衛関連企業で働いていて、彼はサイバー脅威に関する政府の報告書をダウンロードしていました。彼は知らなかったが、そこにはバックドアが仕掛けられていました。彼が旅行から戻ると、彼のマシンは修士論文の唯一のコピーとともに、セキュリティー チームに没収されてなくなっていました。脅威の状況が抽象的な概念から具体的な現実になった瞬間です。この極めて重要なレッスンは、私の中で抽象的なものを具体的なものにするものでした。サイバースパイ活動の最前線が、私のデスクのすぐ隣を通っていたのです。
昔は昔、今は今
その経験は、それ以来、私の視点を形作ってきました。今日、最前線は1つのデスクから、世界中のすべてのホームオフィス、コーヒーショップ、空港ラウンジへと拡大しています。クラウド アプリケーション、サードパーティー ベンダー、分散した従業員からなる流動的かつボーダレスなエコシステムによって、これまであった物理的な壁による境界は解消され、時代遅れになったのです。
この新たな現実は、リーダーにとって大きな挑戦となるものです。壁がなくなったら、セキュリティーはどこから始まるのか?答えはアイデンティティです。明確な境界がなければ、ユーザーのIDは、すべてのアクセス要求が通過しなければならない、不変の単一の制御プレーンとなります。現代の企業セキュリティ戦略の中核となっていると言っても過言ではないでしょう。
アイデンティティが主なターゲットに
この変化は、敵対勢力も気づいていないわけではありません。従業員がリモートで仕事をするようになると、攻撃者はそれに応じて戦術を調整しました。彼らは新しいチャンスをはっきりと認識したのです。ユーザーは自宅にいて、安全性の低いネットワーク上にいることが多く、IDこそが最も弱いリンクであると分かったのです。その結果、アイデンティティが最も攻撃されるベクトルとなりました。クレデンシャルの窃盗と洗練されたフィッシングは、縁の下の力持ち的な脅威から、現代の敵の中心的な戦術へと進化しています。
合法的な作業があらゆる場所で行われている場合、セキュリティ チームはもはや、承認されていない場所からのアクセスを単にブロックすることはできません。サイバー犯罪者が正当な認証情報を盗んだ場合、彼らはほとんど摩擦なく重要なリソースに自由にアクセスできるようになります。これはCIOやCISOを一晩中椅子に縛り付けるシナリオのひとつです。ある人が言っていたように、フィッシング攻撃こそが究極の脅威です。なぜなら、攻撃者が王国の鍵を手に入れてしまえば、ネットワーク、エンドポイント、クラウドなど、他のすべてのセキュリティ管理は無意味になってしまうからです。玄関から堂々と入れるようになるのです。
ユーザーに資するセキュリティ
この現実に立ち向かうには、敵のスピードに合わせて防御を進化させる必要があります。数年前までは、多要素認証(MFA)を導入すれば問題は解決するというのが常識でした。12019年の研究では、MFAはフィッシングの試みの99%を阻止できると主張したことで有名です。しかし、めまぐるしく変化するサイバーセキュリティの世界では、そのアドバイスは今や危険なほど時代遅れとなっており、今日では従来のプッシュ型やSMSベースのMFAでは完全に不十分であることが明らかになっています。
MFAは依然としてセキュリティの不可欠なレイヤですが、私たちは今、認証方法の品質と保証レベルに焦点を当てる必要がある時代を迎えています。Oktaでは、よりインテリジェントで、よりシームレスな最新のアプローチを戦略の中心に据えています。私のキャリアで初めて、セキュリティの水準を大幅に引き上げ、同時にエンドユーザー体験を向上させることができると自信を持って言えます。重要なのは、煩雑で摩擦の多い認証方法から脱却し、人々がすでに日常的に使用している生体認証技術を採用して、フィッシング攻撃に対抗することです。
多くの人が気づいていないのは、単純なFace IDやTouch IDが、実はすでにマルチファクターであるということです。あなたが持っているもの(あなたのバイオメトリクス)とあなたが持っているもの(あなたの登録デバイス)を組み合わせることで、摩擦のない単一のアクションで高レベルの信頼を提供することができる優れた技術です。目標は、セキュリティのスピード バンプがキャリッジ リターンのように感じられるような体験を作り出す点にあります。
ユーザー セキュリティのエンタープライズへの拡張
企業にとっては、これはさらに推し進めることができるものです。単にフィッシング攻撃に強い認証というだけでなく、私たちはデバイス自体から豊富で文脈的なシグナルを収集し、次のような質問をすることができるのです。管理されたデバイスですか?セキュリティ体制は万全ですか?XDRソリューションと統合されていますか?そこから、私たちはリスクの全体像を構築し、舞台裏でよりスマートなアクセス決定を下すことができます。セキュアなパスワードレス認証を提供することで、セキュリティをブロッカーからイネイブラーへと転換し、文化的な勝利をもたらすことができるのです。
このトピックについてもっと知りたい場合は、脅威ベクトル ポッドキャストでJamieとの会話を全編、無編集でお聞きいただけます。
1“One simple action you can take to prevent 99.9 percent of attacks on your accounts,” Microsoft Security, 2019年8月20日
