トップヒント：組織の攻撃対象領域を減らす4つの方法

「トップヒント」は、最新のテクノロジー業界のトレンドを探るコラムです。今回は、攻撃対象領域を最小化する4つの方法について紹介します。

組織のITインフラはますます広がり、多層化し、複雑になっています。その結果、組織の攻撃対象領域（不正アクセスを受けやすい環境）が大幅に拡大し、ネットワークへの入口が増加しています。それだけでなく、悪意のある攻撃者は、組織の未確認のインフラ脆弱性を利用するため、多数の攻撃ベクトルとツールを備えています。  

組織が強力なベクトルに対して攻撃対象領域を保護する対策を講じる一方で、攻撃対象領域自体を最小化することも考慮してください。ネットワークに侵入する機会が少ないほど、侵入の確率も低くなります。本記事では、攻撃対象領域を最小化する方法について解説します。

1. 徹底的な攻撃対象領域の分析を行う  

知識は力です。他のセキュリティ活動と同様に、ITインフラ全体を包括的かつ徹底的に分析することが鍵となります。この段階で、既存および潜在的な脆弱性やユーザーアクセスレベル、古いセキュリティポリシーなどのリスク要因を特定します。分析から得られた洞察により、攻撃対象領域の最小化戦略を練り、特定リスクに基づいたプランを実行します。

2. 厳格なゼロトラストポリシーを実施する  

「ユーザーやリクエストの種類に関係なく、誰も信用せず、常に確認する」、このゼロトラストポリシーを徹底しましょう。アクセス基準が満たされない限り、機密リソースやデータへのアクセスをできるだけ困難に設定します。また、すべての重要なリソースへのアクセスにはMFA（多要素認証）を実施します。信頼されたユーザーであっても、アクセスが必要な場合にのみリソースへのアクセスを提供するなど、リソースへのアクセスを困難にすれば、不正なユーザーは容易に環境に侵入できなくなります。

3. すべてのソフトウェアを最新の状態に保つ  

古いソフトウェアは、IT環境へ侵入できる容易な入口となる脆弱性です。特に、SaaS、IaaS、PaaSベンダーが現在人気を博しているため、サードパーティのソフトウェアを使用している場合には注意が必要です。これらのソフトウェアの新しいバージョンには、既知のセキュリティ欠陥のパッチや新しいセキュリティ機能が含まれていることがあるため、すべてのソフトウェアアップデートを管理できる効果的なパッチ管理ソフトウェアへの投資を検討しましょう。

4. マイクロセグメンテーションを実施する  

マイクロセグメンテーションは、ネットワークを個別のセグメントに分割し、それぞれに固有のセキュリティ制御とポリシーを設定するネットワークセキュリティアプローチです。マイクロセグメンテーションは、侵害されたセグメントを隔離し、ネットワーク内での横方向の接続・移動を防ぐことで、攻撃対象領域を最小化するのに役立ちます。また、このアプローチにより、アクセス制御の追加のセキュリティ層も設置できます。

分析、適応、克服  

現代のIT環境の複雑さからは逃れられません。多くの相互接続されたレイヤーとコンポーネントが存在するため、組織はこれまで以上に多くのセキュリティリスクに直面しています。攻撃対象領域を最小化することは、セキュリティ態勢を強化する確実な方法であり、組織は攻撃対象領域の最小化戦略を強化する必要があります。ただし、その方法は、組織のニーズと構造によって柔軟に対応する必要があります。

本記事はグローバル本社のブログ記事を日本版に修正したものです。
原文はこちらをご参照ください。