ランサムウェアの脅威は、被害者の範囲も被害の内容も拡大しているようです。当初は恐喝の道具でしかありませんでした。
2023 年はサイバーセキュリティの分水嶺となり、ランサムウェア攻撃による金銭的損失は 10 億ドル以上に急増しました。この年は、病院や学校といった、一般的に資金が豊富ではないものの、システムに侵入しやすい企業への攻撃が目立ちました。
UnitedHealth 社は、サイバー攻撃による 8 億 7,200 万ドルの影響を報告した後、 2024 年に身代金を支払ったことを確認しました。これは莫大な金額であるだけでなく、同社の IT システムから「かなりの割合」のアメリカ人の個人データが盗まれたと報告されています。
GDPR や HIPAA のような規制の枠組みは、ハッカーが要求する際にある程度の影響力を与えるという予期せぬ結果をもたらしています。厳格なガバナンス・ルールの下にある企業ほど、身代金を支払う可能性が高いのです。
この Tech Barometer のポッドキャストでは、データセキュリティとガバナンスの専門家である John Dodds 氏と、Nutanix の製品マーケティング・ディレクターである Tuhina Goel 氏が、深刻化するデータ破壊と流出の脅威について説明しています。両氏は、 Nutanix Cloud Platform 内のデータ管理とセキュリティを強化する Nutanix の Data Lens の共同開発から得た洞察を紹介します。これは、ランサムウェアの脅威を検出およびブロックすることで、ランサムウェアへの耐性を提供します。また、規制コンプライアンスとデータガバナンスも強化します。
「ランサムウェアがどこにでもあるということだけではありません」と Dodds 氏は言います。「これらの企業は、潜在的なデータの損失に対して、データに対する損害賠償責任を問われる可能性があることを誰もが知っているということです。 GDPR や DORA などが企業に課す可能性のある罰金の額を調べ始めると、それはかなり莫大なものになります」
データの回復力には人的側面も含まれると指摘します。ランサムウェアイベントのかなりの部分は、電子メールのリンクをクリックするなどのソーシャルエンジニアリングの影響によるものです。
「従業員のトレーニングと意識向上を優先させることは非常に重要です」と Goel 氏は語っています。「なぜなら、それはテクノロジーができることと密接に関係しているからです」
このポッドキャストでは、データストレージとクラウドセキュリティのトレンド、そして AI と量子コンピューティングがサイバーセキュリティの将来にどのような役割を果たすと彼らが考えているかを紹介しています。
編集部注: Nutanix Data Lens がデータ保護と回復力の維持にどのように役立っているかについては、こちらをご覧ください。
トランスクリプト:
John Dodds: データガバナンスと規制の枠組みが、ランサムウェアを巻き込むきっかけを作っているのです。外的要因を作り出しているようなものです。
Tuhina Goel: 現在、それは純粋なデータ破壊、データ流出へと変化しています。これがここ数年の大きな違いのひとつです。
Jason Lopez: 今回の Tech Barometer はランサムウェアについてです。データを守り続ける技術に携わる2人の技術者が、最新のトレンドと動向をお伝えします。
John Dodds: 新しい優れた技術が登場し、素晴らしい問題を解決するごとに、それが新しい技術であるがゆえに、セキュリティはより難しくなっていきます。
Jason Lopez: 2023 年、サイバーセキュリティのコストとランサムウェア犯罪組織への支払額は、かつてない水準に上昇しました。企業は 10 億ドル以上の損害を被りました。病院、学校システム、公共事業が主要な標的とされました。
John Dodds: 可能な限り迅速に検知することから、悪用される前にリスクホールを塞ぐことまで、どのようにすればできるのでしょうか? AI が大きな意味を持つようになるのは、エッジにそれを実現する能力が備わってきたからです。
John Dodds: プライバシーの問題は、単に身代金を無視すればいいという問題ではないし、バックアップの安全性とか、そういったことも含めて大きな問題になってきています。
Jason Lopez: John Dodds 氏は、 Nutanix の製品管理チームに所属するサイバーセキュリティのエキスパートです。彼はランサムウェアの増加を説明する複数の要因を挙げてくれました。
John Dodds: GDPR に始まり、カリフォルニア州消費者プライバシー法に至るまで、さまざまなプライバシー規制やデータ主権ルール、規制の枠組みがあるため、データそのものが問題になります。そして今、 DORA のような欧州連合の規制があります。これらの規制はすべて、データを保護するデータ管理者の責任を重視しています。これらの企業が責任を問われる可能性があることは誰もが知っています。
Jason Lopez: 特に脆弱な組織のひとつが、ヘルスケア企業です。ハッカーがデータをロックダウンするだけでなく、盗むことで、彼らはますます脆弱になっていきます。
John Dodds: 情報は非常に機密性が高く、保護されています。 HIPAA 違反やその他のあらゆる違反に対する罰則は、金銭的なものだけでなく、人的なダメージも非常に厳しくなっているからです。
Jason Lopez: 多くの企業は、自社のプラットフォーム上のデータを安全に保つ法的責任を負っています。しかし、これはハッカーに多くの侵入口を与えてしまうコンピューター環境の中に存在している、と彼は指摘します。Dodds 氏は、ユーザーである私たちは、かつてないほどデータの自由を手にしていると強調します。
John Dodds: ハイブリッド・ワークフォースの導入や VPN アグリゲータの導入も進んでいます。 iPhone や Android のようなモバイル・デバイスで企業データにアクセスすることが許されています。 20 年前のセキュリティ・チームなら、機密とされる企業データへの無制限かつ多角的なアクセスを決して許さなかったでしょう。現代のハイブリッド・ワークフォースやハイブリッド・クラウド環境がこのようなパワーと柔軟性を持っているのは、これらのテクノロジーがよりシームレスで優れたものになったからです。
Jason Lopez: かつては多くの企業がランサムウェア攻撃を無視したかもしれません。しかし最近では、身代金を支払う企業が増えています。機密情報、データの自由、法的責任など、すべての要素を合わせると、企業が活動する世界ははるかに複雑になっているのです。
John Dodds: 複雑という言葉が適しているかもしれません。ランサムウェアの攻撃は止むことはありませんが、同時にデータ・ガバナンスの世界で起きているあらゆることが原因で、私たちがどのように対応すればいいのかが絶えず複雑になっています。
Jason Lopez: この単純な仮定の中で、Dodds 氏は、ハッカーからの脅威に加えて、IT 部門が規制当局にいかに対処しなければならないかを説明してくれています。
John Dodds: おそらく皆さんを怖がらせてしまうかもしれないことがひとつあります。クレジットカードのデータを管理していますか? もし私たちが訴訟事件に巻き込まれたとして、誰かがやってきて、この人がインサイダーデータにアクセスしたかどうか知りたいから、その人が触ったファイルを全部見せてくれ、と言ったら、私たちは多くの IT 管理者がこのような顔をして座っているのを目の当たりにするでしょう。
Jason Lopez: ハッカーの侵入口の増加、データ・ガバナンスの強化......これらはランサムウェア攻撃の増加を説明するのに大いに役立っています。また、恐喝そのものにも変化が起きてきています。
Tuhina Goel: 最終的にデータにアクセスできるようになる前に、追加の身代金を要求される可能性もあります。
Jason Lopez: Tuhina Goel 氏は、Nutanixの製品マーケティング担当ディレクターです。
Tuhina Goel: そのため、企業が身代金の支払いを求められ、さらに追加の身代金の支払いを求められた例もあります。それでもデータにアクセスできないケースもありました。
John Dodds: 身代金を支払うことがビジネス上の最善の決断であり、サンクコスト(埋没費用)であるという閾値を作ってしまった以上、そのような決断を迫られるような状況には絶対になりたくないからです。
Jason Lopez: Dodds 氏の言う通り、ランサムウェアがいつまで経っても食い止められないとしたら、組織はどうすればいいのでしょうか?
John Dodds: 自分自身を守る最善の方法は、攻撃されることを想定し、それを防ぐためにクライアントやフロントエンドで最初にあらゆることを行うようにすることです。そして、もし攻撃されても回復できるような不都合がないように、エアギャップされた不変のバックアップコピーやスナップショットをどこかに確保しておくことです。それが、ハッカーにとって無価値にする最善の方法なのです。
Jason Lopez: 強力なアルゴリズムの使用やキーのソルティングなどの実践は、データを無用にするのに役立つと言います。
John Dodds: ハッカーに対してデータの価値を下げる方法は、エアギャップされたバックアップ・コピーなど、何重もの防御層を備えた適切なサイバー回復力を組み込むことです。つまり、ハッカーがデータに侵入できず、適切に暗号化されていれば、ハッカーにとってデータの価値がなくなるのは、そのデータの唯一の有効なコピーを持っている場合だけなのです。
Jason Lopez: モビリティやクラウドなど、インターネットの台頭以来の技術革新は、確かに企業に多くのツールをもたらしてきました。しかし、それに伴って守るべきものも増えています。
John Dodds: クラウドの導入に関する課題です。新しいクールなテクノロジーが登場し、素晴らしい問題を解決するたびに、それが新しいものであるためにセキュリティをより難しくしています。私は、このような時代の波が激しいことが苦手です。しかし一般的に、金融サービス企業やヘルスケア企業でクラウドの導入が遅れたのには理由があります。これらの企業はセキュリティ面では非常に保守的で、このようなものを導入する前に様子を見ようという姿勢だったからです。
Tuhina Goel: クラウド・ネイティブ・アプリケーションの話や、すべてがクラウドで生まれるという話もします。 Nutanix はハイブリッド・クラウドをサポートしています。つまり、私たちはオンプレミスの会社以上の存在なのです。しかし、最も重要な資産をオンプレミに置いておきたいという業界もあります。その方が管理しやすいからです。
Jason Lopez: インターネット、ひいてはクラウドの出現以来、サイバーセキュリティは決して後回しにされてきた訳ではありません。技術者はずっとそれに取り組んできました。 Nutanix のサイバーセキュリティの歴史はストレージから始まりました。
John Dodds: ストレージが大きくなり、監査のログが大きくなり、脅威が多様化し、権限構造が本質的に超複雑になるにつれ、クラウド・スケールに移行する必要があることがわかりました。つまり、 NUS をお客様にとって可能な限り使いやすくするために、できることはすべてやろうということでした。私たちは NUS を単に優れたツールにしたいだけでなく、 NUS の良さをお客様に使ってもらいたかったからです。その後、私たちは規模の限界に直面することになり、それが Data Lens が進化したきっかけでした。
Jason Lopez: Data Lens は、Nutanix Cloud Platform 上の非構造化データにランサムウェアの耐性を与えるように設計されています。プロアクティブな検出と迅速な封じ込めに重点を置き、重大な被害をもたらす前にセキュリティ侵害を防止します。ワンクリックで復旧し、コンプライアンスとリスク分析のためのツールを提供します。 Data Lens の前身はファイル分析と呼ばれる無料のツールで、データとストレージの管理に不可欠なインテリジェンスでした。
John Dodds: 誰もがファイルベースのストレージシステム上のランサムウェアに追いつこうとしていました。我々はそこから学び、オブジェクト・ストレージ・システム上のランサムウェアの最先端を行こうとしています。
Tuhina Goel: 最近登場した技術のひとつがサイバー・ストレージで、ストレージ・システムがランサムウェア、特にファイルやオブジェクトといった非構造化ストレージから身を守れるようになることが期待されています。 つまり、ストレージシステムは本来、ランサムウェアから身を守る機能を持つべきだということなのです。
John Dodds: オブジェクトに対するセキュリティの脅威を防御するのは、より複雑なことでした。なぜなら、多くの場合、オブジェクトは洗練された最新技術であり、オブジェクトベースのランサムウェアに対する確立された対処法がなかったからです。私たちは、ファイル・ストレージのメリットを理解し、オブジェクト・ストレージ・システムが放置されるのを避けたかったのです。オブジェクト・ストレージ・システムは、今や非構造化データのコア・ソースなのです。そこで、ランサムウェアの封じ込めを行うと同時に、NUS オブジェクトの監査とデータ・ライフサイクル・レポート、異常検知のサポートを追加しました。
John Dodds: 我々は今、真の AI モデルの用途を本格的に調査しています。チップは十分に強力になってきています。モデルも十分に洗練され、こうしたマルチオントロジー LLM がセキュリティのために実にクールなことをやり始めることができるようになりました。私たちは、より統計的な ML 的なものをどのように活用できるかを積極的に研究しています。また、より統計的な ML 的なものを、どのように AI を使ってアプライアンス自体にプッシュできるのか? というのも、セキュリティは、人間が設計した複雑な権限構造のレイヤーであり、ファイルシステムの上に置かれた構造物であり、ディレクトリ・サービス・インフラストラクチャの上に置かれた構造物であり、何千もの個々の小さなユニークな人間によって管理されているデータだからです。私たちは、誰もが遵守するようなひとつのポリシーを設定することはできません。私たちが AI で限界に挑戦しているのはそこなのです。私たちは機械学習や基本的な AI の多くを取り入れ、データがあるのだから計算しなければならない、と言っているのです。私たちは今、脅威をプロアクティブに監視するだけでなく、悪用される前にリスクをプロアクティブに特定することができます。
Jason Lopez: Dodds 氏は本質的に、ランサムウェアから身を守るだけでなく、ランサムウェアに先んじるために、あらゆることがテーブルの上にあると述べています。つまり、 AI はツールのひとつということです。他には何があるのでしょうか?.
John Dodds: 本当の答えは、ポスト量子暗号の採用をすでに考える必要があるということです。
Jason Lopez: 彼のチームはすでに、米国標準技術研究所によって承認された 3 つのアルゴリズムに注目しています。
John Dodds: 私たちはすでに、 NIST が承認した 2 つの量子耐性アルゴリズムである Crystals Kyber と Crystals Dilithium の実装方法を評価しています。問題は常に、すべてが理論的であるということです。
Jason Lopez: これがこの議論における重要なコンセプトです。技術や最先端の進歩がランサムウェアから身を守る上で大きな役割を果たすのと同様に、Dodds 氏も Goel 氏も、サイバーセキュリティを語る上で人間の本質という要素を重要視しています。
John Dodds: 私がなぜハッカーが好きか知りたい?彼らは私の仲間だと思うからです。ハッカーを定義するものがあるとすれば、まず思い浮かぶのはその性質が無精だということです。より簡単なターゲットがいるからこそ、その怠慢さが勝っているのです。ランサムウェアのハッカーは、リバースエンジニアリングをして、すべての保護を回避しようとすることができる。しかし、誰かの LinkedIn のプロフィールをチェックし、その日の夕食に何を作ろうかと考えている人を一日の終わりに見つけ、電話で呼び出し、ソーシャル・エンジニアリングしようとするのはまだ簡単なのに、なぜそんなことをするの でしょうか?
Tuhina Goel: ランサムウェアやランサムウェア対策に特効薬はありません。テクノロジーと同じくらい重要な役割を果たすのは、人とプロセスなのです。それは人の問題であり、人の抜け穴なのです。そのため、従業員のトレーニングと意識向上を優先させることに注意を払い、時間と労力を割くことが非常に重要なのです。
Jason Lopez: Tuhina Goel 氏は Nutanix の製品マーケティング担当ディレクターです。 John Dodds 氏は Nutanix のサイバーセキュリティ技術者で、セキュリティとデータガバナンスの製品管理を担当しています。今回の Tech Barometer は The Forecast が制作しました。私は Jason Lopez です。このようなポッドキャストや記事は theforecastbynutanix.com でご覧いただけます。 www.theforecastbynutanix.com です。
Jason Lopez 氏は、The Forecast のポッドキャストである Tech Barometer のエグゼクティブ・プロデューサーです。Connected Social Media 社の創設者であり、以前は PodTech 社のエグゼクティブ・プロデューサー、 NPR のレポーターを務めていました。
© 2024 Nutanix, Inc. 無断複写・転載を禁じます。その他の法的情報については、こちらをご覧ください。