ミシェル・バロウズ氏、CMO、Splashtop
Jerry Hsiehは、20年以上にわたるキャリアでITリスク評価とセキュリティの最前線に立ち、最近ではSplashtopのセキュリティとコンプライアンスのシニアディレクターとして、過去10年間にわたりさまざまなITおよびセキュリティの役割を果たしてきました。最近、彼はSplashtopのCMO Michelle Burrowsと、セキュリティへの初期の興味を駆り立てたものや、特に過去数ヶ月で多くの注目を集めたセキュリティ侵害の増加に伴い、システムを安全に保つ方法について話しました。
Michelle Burrows: Jerry、参加してくれてありがとう。最近、セキュリティはニュースで大きく取り上げられていますが、過去にはほとんど後回しにされていました。セキュリティに最初に興味を持ったきっかけは何ですか?
Jerry Hsieh: その通りです。私は長い間セキュリティに注力してきましたが、かつては企業はセキュリティについてあまり考えていませんでした。2003年に衝撃的な経験をし、それが私のセキュリティとリスク評価への関心を固めました。
Michelle Burrows: それは不吉に聞こえますね、もっと教えてください。
Jerry Hsieh: 私が働いていた会社は、SMTP DDoS攻撃の被害者の一つであり、企業のメールサービスをダウンさせる結果となりました。私の結婚式と重なったため、オフィスで何が起こっているかのために本当に楽しむことができなかったことをはっきりと覚えています。
それはまた、そのようなものの影響を直接見�せてくれました。私たちは、私の会社や他の会社をこのような攻撃から守るためにメールフィルタリングを行っている会社と協力していましたが、この攻撃のために彼らは閉鎖されてしまいました。
また、AVベンダーが定義を更新した後に製品ファイルがウイルスとして分類された際に発生した別のインシデントを直接目撃しました。ITとエンジニアリングチームは、すべてのシステムが影響を受け、ファイルをクリーンアップし、アンチウイルスベンダーと協力して攻撃と定義されたものを修正するために、無数の夜を費やしました。
Michelle Burrows: そうですね、結婚式が中断されるのは、セキュリティ分野でやってはいけないことをすべて学ぶ記憶に残る方法でしょうね。セキュリティに関する他の初期の経験について教えてください。
Jerry Hsieh: 半導体業界の別の会社でセキュリティエンジニアとして働いていました。当時、特許侵害を防ぐために主にセキュリティに取り組んでいました。会社は、弁護士の部屋よりも安価だったため、多くのセキュリティ担当者を雇いました。この経験は、会社の知的財産を保護する方法としてセキュリティを見るようになりました。
Michelle Burrows: 現在、セキュリティ侵害やランサムウェア攻撃の話をほぼ毎日のように耳にするようです。企業は自分たちを守るために何ができるでしょうか?
Jerry Hsieh: これをよく聞かれ、よく考えます。私の意見では、最も弱いリンクは通常エンドユーザーです。ほとんどの侵害は単純なエラーによって引き起こされます - 従業員が有害なリンクをクリックしたり、損害�を与えるファイルを保存したり、弱いパスワードを使用したり、何かを転送したりすることです。1人のユーザーがシステム全体を危険にさらすことができます。
Michelle Burrows: 一人の従業員が偶然に多くの損害を与えることができるのは非常に興味深いです。多くの人がファイアウォールを持っているからといって、このような事件に対して脆弱ではないと思っていると思います。それについてコメントできますか?
Jerry Hsieh: ファイアウォールはしばしば人々に偽の安心感を与えます。「ファイアウォールがあるから攻撃の餌食にはならない」と言う人をよく聞きます。彼らが考慮していないのは、ネットワークにあらゆる種類の保護を施すことができる一方で、最大の脅威の一つが実際には内部にある可能性があるということです。ファイアウォールはセキュリティ問題を解決しません。特にハッカーがシステムに侵入するために従業員をクリックさせるためにますます創造的になっているときには。
Michelle Burrows: ファイアウォールがセキュリティ侵害に対する唯一の答えでない場合、何をお勧めしますか?
Jerry Hsieh: 注意すべき3つの領域をお勧めします:
エンドユーザーのトレーニング/意識向上トレーニング - 私にとって、これは注力すべき最も重要な項目の一つであり、Splashtopに参加して以来、セキュリティリスクについてのリマインダーを継続的に送信しています。私は全員がメッセージを見て、すべての従業員が警戒することの重要性を知っていることを確認します。私たちのCEO、Mark Leeが、セキュリティの重要性とそれが全�員の責任であることを強調するメッセージを会社に送ることで、それが助けになります。CEOにとって重要なことだと人々が知ると、彼らはより注意を払う傾向があります。
セキュリティポリシー - 多くの企業がセキュリティポリシーを持っていますが、それを常に監視しテストするための実践を持つべきです。ポリシーを持つことは良い第一歩ですが、それを強制することはさらに重要です。
Continuous Penetration Testing - 継続的な統合と継続的なデリバリー/設定 (CI/CD) は多くの企業に採用されています。ソフトウェア開発ライフサイクル(SDLC)中に脆弱性が作成されていないか、ネットワークやアプリケーションを常に「テスト」することが重要です。
Michelle Burrows: あなたが何をしているかを人々に話すとき、彼らは自分の悪い習慣を「告白」する必要があると感じるかもしれません。どのような疑わしい習慣があなたに最も考えさせたり心配させたりしますか?
Jerry Hsieh: 私は通常、誰かが彼らの行動について教えてくれることはありませんが、それがベストプラクティスであるかどうかはわかりません。私はほとんどの人がサイバーセキュリティが実際に何であるかを知らないことを発見しました。彼らはそれをテレビや映画で見て、「悪者」が単一のコマンドでシステム全体をダウンさせる様子を見ます。そして、彼らはまた、ファイアウォールのおかげでこれから安全だと思うかもしれません。彼らが理解していないのは、「悪者」があなたの会社の単一のユーザーである可能性があるということです。データ漏洩事件の少数は、悪意を持った従��業員によって引き起こされます。企業が本当に採用する必要があるのは、「誰も信じない」という哲学です。「誰も信じない」は、私がますます広く採用されているのを見ている主要なZero Trust Access (ZTA)の原則の1つです。
サイバーセキュリティについての他の誤解は、それが「完了」できるものであるということです。サイバーセキュリティは「完了」することはなく、常に改善の余地があります。
Michelle Burrows: 現在、CEOから投資家、取締役会まで、セキュリティに多くの注目が集まっています。企業は何に最も注意を払うべきでしょうか?
Jerry Hsieh: 企業は多くの分野に関心を持つ必要があります。
徹底的で正直なリスク評価を行う必要があります。会社が攻撃を受けると、ブランドにダメージを与え、顧客、従業員、さらには取締役会の信頼を損ないます。定期的にリスクを評価する必要があります。
ネットワーク上のすべてのソフトウェア、サービスプロバイダー、ハードウェアを監視してください。多くの部門がITの時間を争い、顧客調査からマーケティング、アジャイル開発から経費追跡まで、あらゆるもののために「最新かつ最高の」ツールを導入したいと考えています。しかし、各ベンダー、ソフトウェアまたはハードウェアの一部は攻撃に対して脆弱である可能性があります。あなたは常に脆弱性を監視し、従業員がソフトウェアを更新していることを確認するか、ITチームが積極的にパッチを作成して更新を送信する必要があります。
調査を行いましょう。現在、何百万もの製品が存在し、それらを追跡し、システムに導入される可能性のあるバグに対応することは終わりのない仕事です。あなたのセキュリティチームは、脆弱性を常に監視し、調査する必要があります。
攻撃ベクトルが変わったことを知ってください。ハッカーは年々賢くなり、攻撃方法を変えています。数年前には危険なメールが明らかだったかもしれませんが、今ではそれらのメールは個人化され、誰かがクリックする可能性を高めています。セキュリティが常に頭にあるように、従業員を常にテストする必要があります。
Michelle Burrows: 最近、VPNが攻撃のゲートウェイであるという発表がありました。あなたの見解では、なぜVPN(仮想プライベートネットワーク)は特に脆弱なのでしょうか?
Jerry Hsieh: はい、VPNは最近、システム攻撃のゲートウェイになっています。私の意見では、VPNはランサムウェア攻撃にますます頻繁に使用されています。その理由はいくつかあります:
VPNは古い技術であり、90年代後半に導入されました。特定の技術がそれほど長く存在している場合、設計上の欠陥やベンダー固有の重大なソフトウェアバグがある可能性が高くなります。例として、1999年に最初のVPNをセットアップしましたが、コマンドに完全に依存し、ややフレンドリーなユーザーインターフェース(UI)を使用していました。その経験を振り返ると、多くは変わっておらず、誰かによる誤設定が非常にあり得ます。
VPNは、IT部門が正しく設定することに依存しています。VPNが悪用されるのは、設定、運用、アクセスの配布に標準的な方法がないためです。各IT部門は、自分たちにとって��意味のある方法で設定し、それがリスクをもたらします。
ホームコンピュータはVPNで使用されます。従業員が在宅勤務をしていて、職場のファイルにアクセスする必要がある場合、従業員が非企業発行のシステムを使用してVPNアクセスを確立するのを防ぐ簡単な方法はありません。これを助けるためのツールはありますが、それらは非常に高価でリソースを多く消費する傾向があります。
上記のポイントを、従業員がVPNにアクセスする際に仕事用のコンピュータのみを使用するよう指示するポリシーで軽減できます。それは次に、公共ネットワークという別のリスク領域を導入します。誰かが旅行中で、公共アクセスネットワークを介してVPNに接続する場合、攻撃を受けやすくなります。
ミシェル・バロウズ:企業はどのような代替案を設定できますか VPNの代わりに ? その代替案にマイナス面はありますか?
Jerry Hsieh: これが非常に自己宣伝的に聞こえるかもしれませんが、最良の代替手段はリモートアクセスソリューションを活用することです。そして、はい、それにはSplashtopも含まれます。Splashtopは、デスクトップをストリーミングするだけで済むため、VPNに内在するリスクを軽減します。これは、企業ネットワーク内のデータが保護され、データを表示するだけで済むことを意味します。すべてのデータはまだ企業ネットワーク内にあります。
対照的に、VPNを使用しているときは、何でもダウンロードを開始できるため、ハッカーも同じことができるということです。Splashtopのようなツールを使うと、ファイルを表示して操作したり使用したりできますが、ダウンロードすることはできません。ローカルコンピュータのみがアクセスできるように設定できます。
さらに、セキュリティについて言えば、Splashtopはデバイス認証、2段階認証 (2段階認証)、シングルサインオン (SSO) など、多くのセキュリティ機能を提供しています。これらの追加のセキュリティ機能は、VPNでは提供できないものです。
リモートアクセス技術の欠点について尋ねられました。唯一の欠点は、リモートアクセスソリューションを採用する際に学習曲線があることです。しかし、Splashtopはもともと消費者市場向けに設計されていたため、学習にかかる時間は最小限です。そして、最小限というのは、平均的なユーザーにとって数分以内という意味です。
Michelle Burrows: VPNとSplashtopについてもっと教えてください?
Jerry Hsieh: 時々、VPNとSplashtopの価格を比較するときに、固定投資とSplashtopが提供するサブスクリプションモデルの違いがあると聞くことがあります。VPNは、一度だけ行う人もいる長期的な投資です。しかし、VPNゲートウェイはしばしばダウンし、バックアップゲートウェイへの投資は高価であることを忘れがちです。さらに、VPNは脆弱性やパッチのアップグレードのためにメンテナンスが必要です。Splashtopはメンテナンスとセキュリティ作業を引き継ぎます。Splashtopはメンテナンスフリーで、24時間365日利用可能です。
Michelle Burrows: セキュリティについて心配していないとき、何をして楽しんでいますか?
Jerry Hsieh: ご存知の通り、私はあまり暇がありません。自由な時間があるときは、ゴルフを楽しんでいます。妻は私の役割にあまり興味がないかもしれませんが、私はセキュリティトレンドと毎日の仕事を追い続けることが大好きです。
