※ 本ブログは、2022年5月4日にHP WOLF SECURITY BLOGにポストされた Stop Blaming Users for Breaches: Three Strategies for Protecting Users の日本語訳です。

• ほとんどの情報漏えいは、ソーシャルエンジニアリングによって、ユーザーを騙して、本来行うべきでない行動をさせることに起因しています。情報漏えいは通常、「ユーザーがクリックした... 」というところから始まります。
• IT部門やセキュリティ部門の役割は、ファイルやリンクを開くなどのリスクある行為を含め、ユーザーが仕事をするための安全な環境を提供することです。侵害が発生した場合、クリックすることは本来のユーザーの仕事なので、ユーザーのせいではありません。
• セキュリティ意識向上トレーニングは有益なものですが、フールプルーフ（過失などが起こっても安全性が保たれる）というわけではありません。組織は、ユーザーを保護するために、保護、可視化、隔離の3つの戦略を実施する必要があります。

ほとんどの侵害は、ユーザーが何かをクリックすることから始まります。それは、EメールやソーシャルメディアWebサイトのリンク、Eメールの添付ファイル、ブラウザからダウンロードしたファイル、USBドライブから開いたファイルなどです。異なるのは、悪意のあるペイロードのタイプです。OfficeやPDFドキュメント、実行ファイル（.exeや.msiなど）、OneNoteファイル、スクリプトやHTMLファイル、悪意のあるファイルが埋め込まれたZIPアーカイブなど、悪意のあるペイロードやエクスプロイトは変わっても、配信方法は変わりません。 やはり「ユーザーがクリックした...」で始まります。

長年、ITとサイバーセキュリティに携わってきた私自身、ユーザーのせいにしてきたことを認めざるを得ません。我々は、ユーザーがいかに無力であるか、あるいは訓練されていないかということを、すぐに口にしがちです。物事がうまくいかないと、ユーザーのせいにするのです。しかし、実際には、ITやサイバーセキュリティの専門家として、使いやすく安全に動くシステムを構築できなかった私たち自身の失敗であることが多いのです。

ユーザーに「クリックするな」と言いながら、PCを与え、アプリケーションを与え、クリックしなければならないような仕事をさせる。それはフェアではありません。もしあなたが財務の仕事をしていて、仕事でPDFの添付ファイルとしてメールで届く請求書を処理する必要があるのなら、「間違った」PDFを開いてしまったとしても、あなたを責めるべきではないでしょう。そう、今でも多くの企業が、請求書をPDFドキュメントとしてメールで送って処理するよう求めているのです！もしあなたが人事部で働いていて、履歴書であるWordドキュメント開いた場合に、あなたが「間違った」Wordドキュメントを開いたとしても責めるべきではありません。エンドユーザーが仕事をするためには、何かをクリックしたり開いたりする必要がありますが、クリックする前に悪意があるかどうかを奇跡的に判断できるサイバーエキスパートになることを期待するのはフェアではないでしょう。

ITシステムにはパッチを当てますが、ユーザーの行動にはパッチを当てることができません。敵はこのことを知っています。だからこそ、ユーザーを騙してクリックさせ続けるのです。私が話すほぼすべての組織が、ユーザーを対象にフィッシングテストを実施していますが、どの組織でも、クリックするユーザーがかなりの割合で存在します。たった1人のユーザーがクリックするだけで、侵害は始まってしまいます。私たちはこの問題を解決する方法を教育することはできません。悪者は、あなたの組織で少なくとも1人はクリックする人を必ず見つけるでしょう。だからといって、ユーザーを教育するなというわけではなく、教育すべきです。しかし、ユーザーを保護できなかったことをユーザーのせいにしたり、教育が解決策になるような罠にははまらないようにしなければなりません。

エンドユーザーとそのコンピューティングデバイスは、サイバー戦争の最前線にいます。ユーザーを保護するための適切なテクノロジーと戦略が必要です。適切な保護を実施しないことは、鎧や武器を持たない兵士を戦場に送り出すようなものです。Windows PCのユーザーを守るために必要なことは、管理者権限の制限、ソフトウェアのパッチ適用、ゼロトラストの実装など、数え切れないほどあります。これらの多くは「基本」ですが、ここで基本をすべて網羅することに時間を費やすつもりはありません。代わりに、企業組織が実施する必要がある3つの重要な戦略を取り上げることにします。それは 保護、可視化、隔離です。

すべては、優れた保護から始まります。そこで、アンチウイルス（AV）や次世代アンチウイルス（NGAV）の出番となります。この分野には、新しいベンダーも含め、多くの素晴らしいベンダーが存在します。NGAVツールは必要ですが、それだけでは十分ではありません。現実には、ランサムウェア攻撃やその他の侵害を受けたほとんどの組織が、被害を受けたデバイスでAVを実行していました。AVやNGAVだけで十分であれば、侵害は無かったでしょう。質の高いNGAVツールを適切に導入することは、最初の一歩に過ぎません。

次の戦略は、優れた可視化ツールを持つことです。これはEDR、XDRなどとも呼ばれます。どのように呼ぶにせよ、デバイス上で実行されているものと、そうしたアプリケーションの動作を可視化することに他なりません。 例えば、new.exeファイルをダウンロードしたとします。この特定の実行ファイルが、あなたのPCで実行されるのは初めてかもしれません。この実行ファイルは、ユーザーのネットワーク共有ドライブとOneDriveのフォルダーからファイルを読み始めます。また、実行ファイルは外国にあるサーバーにネットワーク接続し、高速でデータのアップロードを開始します。何が起きているのか？あなたのデータが流出しているのです。悲しいかな、AVは悪い実行ファイルを実行させてしまったのです。しかしながら、優れた可視化ツールがあれば、この特異な活動や 通常とは異なる挙動を発見し、被害を最小限に抑えるために適切な処置を取ることができるかもしれません。

難しいのは、異常な行動に対して警告を発するようにルールセットをプログラムすることと、それに基づいて対応するセキュリティアナリストを確保することです。  これまで、これらのツールは導入や運用に費用と手間がかかるものでした。しかし、現在では、AIや機械学習とクラウドのパワーを活用した優れたベンダーがこの分野に参入しており、これらのツールは手間がかからず、コストを削減することができるようになってきています。また、ツールセットの統合も進んでおり、多くのベンダーが統合プラットフォームの一部として保護と可視化の両方の機能を提供しています。

しかしながら、AVツールがすべてのマルウェアをうまく検知できないように、可視化ツールもまた深刻な被害が発生する前にすべてを捕らえることはできません。可視化は戦略の重要な要素ですが、それだけでは十分ではありません。

保護ツールや可視化ツールとともに実装すべき3つ目の戦略は、隔離です。隔離を理解するために、PCを自分の家に見立てて考えてみましょう。Eメールの添付ファイルを開くと、その添付ファイルをあなたのリビングルームに招き入れることになります。Eメールのハイパーリンクをクリックすると、そのWebサイトをあなたのリビングルームに招き入れることになります。そのコンテンツが良いものか悪いものか、あなたは知っていますか？もしそのコンテンツが悪意あるものだとわかったら、NGAVがリビングルームに入る前に入り口で止めてくれることを望んでいるはずです。NGAVがそれを止めず、リビングルームで奇妙な振る舞いを始めたら、可視化ツールやEDRツールがそのコンテンツの挙動が怪しいことを発見し、あなたを傷つける前に家の外に連れ出してくれることを期待しているのでしょう。

NGAVとEDRの両方のアプローチで問題なのは、すでに玄関を開けてコンテンツを家の中に入れてしまっていることです。悪者がすでに家にいるため、深刻な被害が発生する可能性がまだあります。隔離では、コンテンツを利用するために、本当にコンテンツを家に招き入れる必要があるのか、という問いを投げかけます。隔離では、Eメールの添付ファイルやダウンロードしたファイル、Webサイトを自宅に招き入れる代わりに、コンテンツを仮想のコンテナに招き入れ、コンテナの外からユーザーがコンテンツを操作するようにします。このアプローチでは、コンテンツが悪意ある行為や疑わしいことをしても、実際にあなたの家に招待されたわけではないので、問題にはなりません。ZoomやTeamsのミーティングで相手とやりとりするようなものです。仮想的なミーティングで相手が悪いことをしたら、会議を終了させればいいのです。その人は実際にあなたの家に入ったわけではないのです！

隔離コンテナの実装と実行には、クラウドとオンデバイスの2つの主要なアプローチがあります。クラウドベースのアプローチでコンテナをホストする場合、WebサイトやファイルはユーザーのネットワークやPC上ではなく、サードパーティのクラウド環境上のコンテナで実行されます。エンドユーザーは、ブラウザ内でリモートコンテナのピクセルやビデオ出力を見るだけです。オンデバイスアプローチでは、コンテナはユーザーのデバイス上でローカルに実行され、ハードウェアベースの仮想化の力を活用して、コンテナをWindows OSや内部ネットワークから隔離します。

比較すると、クラウドとオンデバイスの隔離コンテナには双方共にメリットとデメリットがあります。しかし、どちらのアプローチもエンドユーザーが直面する脅威を大幅に軽減することができます。

HPは、Sure Clickテクノロジーによって、Windows PCにハードウェアベースの隔離コンテナを使用するパイオニア的存在です。Sure Clickでは、エンドユーザーがリスクの高いコンテンツをクリックした際に、エンドユーザーを保護するための仮想的なセーフティネットを構築します。Eメールの添付ファイル、インターネットからダウンロードしたファイル、USBドライブで開いたファイル、ユーザーがクリックしたWebサイトのリンクなど、Sure Clickはコンテンツを隔離します。万が一、そのコンテンツが悪意あるものであったとしても、マルウェアはコンテナ内に隔離され、ユーザーのPCや内部ネットワークに害を及ぼすことはありません。Sure Clickがどのようにユーザーを危険なクリックから守るかをデモしたビデオをご覧ください。

エンドユーザーは、今日のサイバー戦争の最前線にいます。彼らが安全に仕事をするためのツールやシステムを提供するのが、ITやサイバーの専門家としての私たちの仕事です。結局のところ、私たちは誰でもが最終的に何かクリックしてはいけないものをクリックしてしまうのです。私自身クリックしてはいけないものをクリックしてしまったことがあります。インターネットに接続されたPCを使い、メールやチャット、ソーシャルメディアを利用していれば、いずれはクリックしてしまうでしょう。ユーザーを責めるのをやめて、ユーザーを保護する時期に来ているのです！つまり、保護、可視化、隔離を含む戦略を実行するということです。

Author : Dan Allen

監訳：日本HP