攻撃者はクラウド防御を「破る」のではなく「通り抜ける」
──世間では、クラウドへの移行やAIの導入が相次いでいます。CSOの立場から、この潮流の中で注視していることはありますか。
フーバー氏:効率性や投資収益率を求める組織によって、AIやクラウドなどの最新テクノロジーが導入されていく際、専門家である私たちが直面するのは、それらの技術が「ユーザーの教育・知識獲得を上回るスピードで進化している」問題です。たとえば、クラウドやAIはどのように保護すればよいのか。多くの人が十分な教育を受けておらず、包括的にはキャッチアップできていない現状があります。そのため、新たなテクノロジー市場への参入ニーズと、そのテクノロジーの保護能力とのバランスを上手く取ることが課題となっています。
正直、これらの最新テクノロジーにおける教育や認識、保護能力を包括的にキャッチアップしていくのは簡単ではありません。だから、攻撃者にとっては容易な標的となりやすいです。特にアイデンティティ(ID)は狙われやすく、多くの場合、ユーザーが技術を使いこなすよりも、その弱点を攻撃・侵害するほうが圧倒的に簡単なのです。
AIの脆弱性については、まだ多くの研究が進行中の段階です。これまで、AIにおいて確認されている攻撃としては、データポイズニングや学習データの操作、情報漏洩などがあります。クラウドセキュリティの分野で確認できているインシデントの一つとしては、公開したくない情報が世界中に露出してしまうデータ漏洩の問題があります。
──そのようなインシデント被害に遭った企業に、何か共通の問題は見られましたか。
フーバー氏:最も目立っているのは、アイデンティティの脆弱性ですね。IDを狙った攻撃や認証情報の侵害は、比較的容易に実行できるため被害にも遭いやすいです。今の時代、インターネットで誰かについて検索すれば、その人のメールアドレスを簡単に見つけることができます。さらにダークウェブなどのアンダーグラウンドまで探せば、不正に入手されたパスワードの情報が公開されていることもあります。
米国では、多くのユーザー名とパスワードが定期的に流出しているため、攻撃者はユーザーが他の場所でも同じパスワードを使用している可能性に期待し、再利用を試みるのです。IDが侵害されると、そのままクラウド上の重要な資産にアクセスされてしまう可能性があります。
これが、直近で急増している攻撃の手口です。クラウドそのものは何重ものセキュリティ対策で堅牢化されている場合が多いため、そこを直接攻撃するよりも、ユーザーのアクセス権を悪用してクラウドに侵入するほうが容易なのです。
──何か早急に打てる対策はないのでしょうか。
フーバー氏:新たな技術やソリューションはどんどん出てきていますが、最も基礎となる対策として、既知の脆弱性へのパッチ適用をまずは徹底すべきでしょう。長年言われていることですが、できていない企業が多いというのが現状です。
とはいえ、実際にやるのは難しいということも承知しています。脆弱性には組織内でプライオリティ(優先順位)をつけて対処していく必要がありますが、これにはある程度の手間と時間がかかります。ITシステムの管理者は、本業であるシステムの保守業務を行いながら、脆弱性に対応するためのパッチ適用もこなさなければなりませんからね。ただ、複数の攻撃要素から防御するための基本的な手段として、もはや欠かしてはならない施策になってきているのも事実です。
アイデンティティセキュリティは、セキュリティ実務者にとっても比較的新しい分野ですが、組織内のユーザーが不適切な行為をしていないか、また職務に必要以上の特権やアクセス権を持っていないかを確認することは、今後ますます重要になっていくでしょう。