2025年CBESTテーマ別レポート：金融サービスにおけるサイバー脆弱性に関するデータから明らかになったこと

イングランド銀行は先週、銀行および金融市場インフラ（FMI）組織にサイバーレポートカードを配布した。  

この成績表、CBEST テーマ別レポートには、マクゴナガル先生がハリー・ポッターを呼び出し、彼の魔法使いとしての野望にははるかに高い水準が必要であることを、きっぱりと、しかし公平に思い出させるという紛れもないエネルギーが込められています。

マクゴナガル教授と同様に、規制当局は高い志には高い基準が求められるようにする役割を果たしています。

企業や金融市場のインフラストラクチャは、制御ライブラリの構築、ルールのマッピング、ベストプラクティスへの準拠に何年も費やしてきました。しかし、CBEST には明らかな差があります。書類上では強力に見える制御でも、実際の攻撃の圧力によって失敗することがよくあります。

これが規制当局が設定しようとしているより高い基準です。  

CBEST 2025：静かな脆弱性の図

CBEST テーマ別レポートは、現実世界の攻撃をシミュレートする脅威主導のテスト フレームワークです。これは、銀行や金融市場インフラがサイバーレジリエンスの弱点を発見、理解、修正するのに役立ちます。

今年の報告書で は、英国の主要金融機関 の サイバーレジリエンス における弱点が特定されました。これらの問題は、関連する 5 つの領域にわたって発生しました。

• インフラストラクチャとデータセキュリティ
• アイデンティティとアクセス制御
• ネットワークセキュリティ
• 検出と対応
• スタッフの文化と意識

これらのギャップは、規制当局の監督下で認定プロバイダーが実施した、実際の企業環境で実行された CBEST 脅威主導テストを通じて明らかになりました。

インフラストラクチャとデータセキュリティ

結果は、多くの機関が、実際の攻撃状況下でセキュリティ計画を一貫したパフォーマンスに変えるのに苦労していることを示しています。

CBEST は、インフラストラクチャとデータ セキュリティの観点から、基本的な制御にギャップがあることを発見しました。これらには、一貫性のない構成管理、システムの強化とパッチ適用の弱さ、システムに保存されたデータの保護の不十分さなどが含まれます。

攻撃シミュレーションでは、最新のパッチが適用されていない、または適切な構成になっていないエンドポイントは簡単に悪用されることが判明しました。弱い暗号化により、機密データや特権認証情報も公開されました。

これらの調査結果を総合すると、資産管理および構成プロセスでは、重要なビジネス サービスをサポートするシステム全体のリスクが一貫して軽減されていないことが示唆されます。

アイデンティティとアクセス制御

アイデンティティとアクセス制御が弱いため、回復力はさらに低下します。

CBEST のテストにより、一部の企業が強力な ID 管理プラクティスを実施していないことが判明しました。よくある問題は次のとおりです:

• 弱いパスワード、またはパスワード標準の適用が不十分
• プレーンテキストファイルを含む安全でないパスワードの保存
• 必要以上の権限を付与したアクセスモデル

管理者アカウントとサービス アカウントの制御が不十分なため、攻撃者が環境内に侵入すると、権限を昇格して横方向に移動することが容易になります。

これらの結果は、アイデンティティ管理は文書上は存在するかもしれないが、実際には十分な規律をもって実施されていないことを示しています。より強力な施行により、最初の侵害後に攻撃者がどこまで攻撃できるかを制限するのに役立ちます。

ネットワークセキュリティ

ネットワークのセキュリティとアーキテクチャが明らかな弱点として浮上しました。

CBEST は、一部の企業で重要なシステム間のセグメンテーションが効果的でないことを突き止めました。いくつかのケースでは、開発環境と本番環境が適切に分離されていませんでした。これにより、侵害が業務運営に及ぼす潜在的な影響が増大しました。

検出と対応

CBEST は、 エンドポイント検出および対応 (EDR)ツールに依存する組織にとって懸念されるパターンも特定しました。CBEST は、適切に調整された EDR による攻撃の検出やデータ流出の検出における弱点など、検出におけるギャップを発見しました。効果のないネットワーク監視と限定的なトラフィック検査により、アクティビティが正当なトラフィックに紛れ込み、監視されていないデバイスからのアウトバウンド接続が可能になった。

攻撃者は、資格情報を悪用したり、組み込みのシステム ツールに依存したり、アラートをトリガーせずにネットワークを横方向に移動したりすることで検出を回避しました。これは、ネットワーク設計で暗黙の信頼が過度に許容されたために可能になりました。

ネットワークおよびサービス レベルでの最小権限制御の使用が制限されたため、攻撃者が到達できるシステムの数が増加しました。ネットワーク監視が弱く、トラフィック検査が限られているため、問題はさらに悪化しました。  

シミュレーションでは、攻撃者は通常のトラフィック内にアクティビティを隠し、厳密に監視されていないシステムから送信接続を確立しました。

これらの調査結果は、セグメンテーションと最小権限が理論的に理解されている方法と、実際の運用ネットワークでそれがどのように適用されるかの間にギャップがあることを示しています。

検出および対応能力も、CBEST 演習で使用された脅威モデルと一致しませんでした。アラートの調整が不十分な企業は、攻撃を早期に検出するのに苦労しました。EDR 構成が弱いため、悪意のある動作やデータの流出に対する可視性が低下しました。ネットワーク監視が不十分なため、攻撃者が正当な活動に紛れ込むことができました。

スタッフの文化と意識

CBEST はまた、スタッフの文化、トレーニング、意識を継続的な弱点として強調しています。

スタッフはソーシャルエンジニアリングに対して脆弱であることが多い。資格情報は、スプレッドシートや共有ファイルシステムなどの安全でない場所に保存されることがよくありました。限られた ID チェックのみを行うヘルプデスク プロセスでは、模擬攻撃者が資格情報を入手または悪用し、アクセスを拡大することができました。

本当の問題：制御不能な横方向の移動

1 つのテーマは、CBEST の結果に見られる弱点に関連します。侵入後の横方向の移動を阻止する信頼できる方法が欠けている。

攻撃者は資格情報を盗み、システム間を移動しました。彼らはアクセスレベルを上げました。多くの場合、これは検出ツールが異常なアクティビティを検出する前に発生しました。

ネットワークがフラット、またはほぼフラットな場合、攻撃者はほとんど抵抗を受けません。防御側に対応する時間を与える遅延なしに、迅速かつ静かに移動できます。

ここでリスクが体系的になります。単一のユーザー アカウントまたはサーバーが重要なサービスにアクセスできる場合、強力なパッチ適用やより適切なアラートでは根本的な設計上の問題を修正できません。

CBEST 2025 は、アイデンティティ、インフラストラクチャ、ネットワーク設計、監視、スタッフの慣行のギャップがどのように組み合わさって横方向の移動を可能にするかを示します。

攻撃者がネットワーク内を自由に移動できるようになると、境界防御や事後検出では拡散を阻止したり被害を制限したりできなくなります。

Illumioが銀行の横方向の移動ギャップにどのように対処するか

Illumio がCBEST コンテキストで機能するのには、明確な理由が 1 つあります。これは、規制当局が常に指摘している問題、つまり攻撃者がネットワーク内に侵入したら自由に移動できるという問題をまさに解決します。

CBEST は、組織が ID ツール、インフラストラクチャ セキュリティ、ファイアウォール、監視に多額の投資を行っていることを示しています。それでも、攻撃者は成功します。システムを探索し、ネットワーク内を移動し、侵入後にアクセスを拡大します。

Illumio は、この現実のために構築されています。これにより、多くの制御が最も弱いネットワーク内部に強力な境界が作成されます。

Illumio は、完璧な ID 制御、完璧なパッチ適用、完璧な検出に依存するのではなく、設計によって動きを制限します。CBEST は、完璧さは実際のプレッシャーの下では維持できないことを明確に示しています。

Illumio が優れている理由はここにあります。

1.攻撃者がどのような方法でアクセスしたとしても、横方向の移動を阻止します

資格情報が盗まれたり、多要素認証 (MFA) がバイパスされたり、デバイスが侵害されたりした場合でも、Illumio は攻撃者が最初のシステムを超えて移動することを防ぎます。

ファイアウォールや ID ツールとは異なり、Illumio は他の場所で完璧な構成を必要としません。

2. ネットワークを再設計することなくセグメンテーションが可能

CBEST によると、ネットワークベースのアプローチは遅くリスクも伴うため、多くの企業がセグメンテーションの実装に苦労しています。

Illumio はセグメンテーションをネットワーク自体から分離します。組織は、VLAN、ファイアウォール ルール、またはネットワーク レイアウトを変更することなく、ワークロード間で最小権限の通信を強制できます。

3. 内部トラフィックを可視化する

CBESTテスターは、東西トラフィックの死角を頻繁に利用します。Illumio は、システムが実際にどのように通信しているかをリアルタイムで表示します。これにより、隠れた依存関係、危険なパス、攻撃者が頼りにする不必要な信頼が明らかになります。

4. 検出漏れを検知することでEDRを補完する

エンドポイント検出および対応 (EDR) ツールは、個々のエンドポイント上の悪意のあるアクティビティを検出するのに優れています。ただし、有効な資格情報を持つ攻撃者が横方向に移動するのを阻止することはできません。

Illumio は、攻撃者が必要とするパスをブロックすることでこのギャップを埋めます。エンドポイント ツールが侵害の初期兆候を見逃した場合でも、Illumio は小さな問題が環境全体に広がるのを防ぎます。

つまり、 Illumio は CBEST が明らかにした構造上の弱点に直接対処します。他の制御が失敗した場合の影響を軽減します。

CBEST は、今日多くの機関がいかに危険にさらされているかを示しています。Illumio は、そのような露出を生き延びられるようにする方法を示します。

Illumio は既存のセキュリティ制御を置き換えるものではありません。それは彼らの限界を補うのです。攻撃者が他の防御を回避または迂回した場合でも、Illumio は環境が維持されることを保証します。侵害を封じ込め、損害を制限し、回復をサポートします。

実証済みのレジリエンスが侵害封じ込めに依存する理由

CBEST を最初から最後まで読むと、明確なパターンが明らかになります。金融システムの多くは、実証された回復力ではなく、セキュリティ管理が計画どおりに機能するという仮定に依存しています。

CBEST は、規制当局がセキュリティが測定可能で、テスト可能であり、システム設計に組み込まれていることを期待していることを明確にしています。脆弱性は直接的には言及されていないものの、調査結果では報告書全体を通じて脆弱性が指摘されている。

結局、メッセージはシンプルです。侵害の封じ込めは、このリスクに対処する唯一の実用的な方法です。

Illumio Insightsを無料で見る 今日は、CBEST が発見し続けているセキュリティ問題の種類を明らかにします。