Point of View

コロナ禍で激変する
サイバーセキュリティのあり方

 

新型コロナウイルス感染症(COVID-19)の世界的大流行(パンデミック)は、企業に対して、「オフィスやその他の施設を閉鎖せざるをえない状況下での事業継続」という大きな課題をもたらしました。

「データセンター」、「クラウドシステム」、「部門サーバー」、「遠隔地にいる従業員が互いに接続する仕組み」、「会社のデータに接続するためのデジタルデバイス」といった、今まで利用していた情報技術(デジタルインフラストラクチャ)は、このパンデミックによって重要性が認識され、需要も急増しました。その一方で、デジタルインフラストラクチャはサイバー犯罪者から、かっこうのターゲットにされています。確実な事業継続のためには、パンデミックの二次的な危機であるサイバー攻撃の発生を防ぐために、デジタルデバイスやネットワークに対して、サイバーセキュリティ対策をアップグレードする必要があります。

この記事では、世界中の大企業が抱えるテクノロジーリスクと、サイバー攻撃を誘発してしまう要因を示します。また、テクノロジーリスクに対応しきれていない危険な状態で、デジタルインフラストラクチャをより適切に保護する方法も説明します。

より、つながる世界 ハイパーコネクテッドな世界

この1か月で、世界はかつてないほどデジタルで接続された反面、セキュリティ面では脆弱になりました。例えば、企業は従業員にオフィスへ通勤することを求めていましたが、現在はインターネットを使用した、リモートインタラクションを促進しています。
一方で、金融機関の在宅従業員は、取引についての相互通信や顧客との通信を、プライベートで安全性の高いインフラストラクチャ上で確実に処理するよう法規制で求められています。

他にも、社会的な接触を最小限の抑えながらも、必需品のサプライチェーンを維持するためにデジタルサービスを活用している例もあります。また、政府は、国民を安心させ秩序を維持するためにデジタルチャンネルを活用しています。新しいルールの伝達や、心身の健康に関する最新情報の共有、噂や詐欺など誤った情報の伝達への対処などに努めています。
これにより、政府は外出自粛の要請や、食料や医薬品、マスク、消毒用アルコールなどの買いだめを避けるように促しています。

COVID-19は医療システムの在り方にも影響を与えています。例えば、ヘルスケアプロバイダーは、リモートカウンセリングによる診断、チャットや電話、電子メールを活用した遠隔医療ポータルの構築に注目しています。また、政府もデジタルインフラストラクチャを活用して、医療従事者の為の保護用品を調達し、安全に医療サービスを提供できるようにしています。加えて、デジタルチャネルは各家庭に娯楽を提供することでストレスの解消に貢献しています。さらに政府当局は人々の外出を最小限に抑えられるように、様々なツールを提供することで外出規制政策を運用しています。
また、各自治体では子供たちがオンラインで学習できるような取り組みを開始し、教育機関の閉鎖に対処しようとしています。

パンデミックにおけるサイバーリスクの拡大

オンラインでのビジネス運営という大規模なシフトチェンジにより通信トラフィックが急増しています。同時にサイバー攻撃のリスクも桁違いに増加し、組織の境界セキュリティが侵害されるリスクが高まっています。

物理的かオンラインかを問わず、インシデントが発生した場合には、常時監視とリアルタイムのリスク分析が必要です。
現在、セキュリティおよびリスクマネジメントの責任者は、企業を大規模かつ迅速に保護する必要があり、企業のオンラインサービスとデジタルプラットフォームがサイバー攻撃に対して復旧できることを確認しなければなりません。

IT部門にもかつてないほど大きなプレッシャーがかかっています。一部の企業では、ITプロフェッショナルは、今まで自宅で働いていなかった従業員やサービスパートナーにも、リモートワーク可能な環境を提供することが求められています。そこで、多くのIT部門では、新しいタイプのコラボレーションソフトウェアの導入を進めています。こうしたソフトウェアは、従業員同士のコミュニケーションに重要な役割を担っていますが、同時に安全性の低いリモート環境では機密データのハッキングリスクを高めてしまいます。しかし、こうしたリスクがあるにせよ、IT部門がリモートワークの推進に対してノーと言うことは困難です。

会社のリーダーやマネージャーおよびスタッフは、リモートで操作できるよう、内部サービスとアプリケーションにアクセスする必要があります。
しかし、多くの企業では、これらのアプリケーションとデータをもともとインターネットまたは仮想プライベートネットワーク(VPN)経由で利用可能にしていないため、厳格なアクセスメカニズムなしでアクセスを許可することには消極的です。当然のことながら、従業員がリモートワーク(在宅勤務)で、ほとんどの業務を行うように準備されている組織はほとんどありません。
安全なリモートアクセスキャパシティとエンタープライズシステムへの保護されたアクセスが大きな制約となっていることを改めて認識しています。
企業のセキュリティポリシーをリモートの従業員に適用することは困難な作業です。同時接続可能数など、規模に制限があるため、全社展開にはかなりの時間が必要です。セキュリティ管理の対策が不十分でも、従業員が個人のデバイスを使用してシステムにアクセスすることを許可せざるをえないケースが多いのが現状です。

これまで、このような規模や事態を予測して、事業継続計画(BCP)やインシデント対応計画(IRP)を整備したりテストしてきた企業はほとんど無いため、パンデミックへの対処には不十分な状態です。クラッカーにとっては、多くの企業や従業員に対して、攻撃の機会が大きく広がったと言えます。

サイバー犯罪者は、デジタルフットプリントとトラフィックの増加を利用して、脆弱性を発見したり、金銭を吸い上げたりしています。

例えばCOVID-19をテーマに、悪意のある添付ファイルを含むフィッシングメールの形で、マルウェアを投下してシステムを妨害したり、データや資格情報を盗んだりします。または、一時的なWebサイトを作成したり、脆弱なWebサイトを乗っ取ることで、人々を誘い込み、悪意のあるコードをデジタルデバイスに投下します。このような偽のWebサイトは、電子メールのリンクを通じて寄付を募ったりして、クレジットカードの情報などを取得しようとしています。他には、ビデオ会議システムを始めとするリモートワークツールが、脆弱性によりハッキングされる例もありました。

堅牢なサイバーセキュリティ

ニューノーマルな世界では、サイバーセキュリティの専門家は積極的にリスクに立ち向かわなければなりません。まずは、会社のリモートの従業員が被害を受けないように訓練する必要があります。これには、eラーニングやWebベースのトレーニングプラットフォームが役立ちます。

しかし、それはほんの始まりにすぎません。パンデミックが落ち着いた後も、多くの従業員にとって、リモートワークが標準になる可能性を考えておかなければなりません。セキュリティへの取り組みに不可欠なのは、効果的で迅速に採用できるテクノロジーとソリューションの展開です。

例えば、クラウドベースのセキュリティとプラットフォームサービスは、展開に必要な期間を大幅に短縮できます。クラウドベースの利点は、脅威に応じてセキュリティ対策に必要なリソースを調整できる動的スケーラビリティにあります。また、セキュリティ担当者がリモートで全てを管理できる点もメリットとなります。さらに、クラウドベースのセキュアな仮想デスクトップサービスによりファイルやネットワークなど従業員のシステム環境にリモートアクセスが可能になります。他には、セキュアエッジのデータ漏洩防止やマネージドディテクション&レスポンスサービスを遠隔地のオフィスに拡張などにも活用されています。このようにクラウドはセキュリティシステムの鍵を握っています。

安全なリモートアクセステクノロジーを採用している企業では、リモートワークの従業員に、VPNを介さずにエンタープライズアプリケーションやシステムへのプライベートアクセスを与えることができます。また、特権アクセス管理(PAM)サービスを使用して、ITシステムの管理者に特別なリモートアクセスを許可することもできます。さらに、生体認証やテキストベースのメソッドを含む多要素認証サービスを利用すれば、リモートアクセス用に開かれている内部アプリケーションに対して、厳格なアクセス管理が可能になります。

COVID-19後の世界

COVID-19の影響は数週間、数カ月単位にわたりますが、一時的なものだと考えられます。しかし、ITやサイバーセキュリティの担当者にとっては、ただでさえ複雑な業務をより難解にしています。パンデミックへの対応として、新しいシステムや機能をリリースした場合には、その影響範囲を記録しておかなければなりません。終息後に、何かを取り消す必要がありますか?新しい習慣は継続されますか? その場合、ITセキュリティ専門家は新しいセキュリティ対策を実装する必要がありますか?

COVID-19後の世界で何が起こるかについては多くの憶測がありますが、以下の6つは確度の高い事象だと考えています。

  1. 新しい運用モデルへの移行
    企業は、サイバーセキュリティとIT管理の権限について、慎重に検討しなければなりません。特に、リモートワーカーへのサポートとセキュリティ対応が不可欠になります。また、オフィスでの業務を再開する場合は、システムをネットワークに接続する前に、厳格なアクセス監視を行う必要があります。
  2. セキュリティシステムのリセット
    物理システムとデジタルシステムの両方に対して、セキュリティホールを確認する必要があります。パンデミック中にリモートワークを可能にするために付与されたアクセス権は、それらを取り消すか更新するかを決定するための監査を必要とします。 システムは、欠陥、不正な経路、または不正なIDからのアクセスについて分析する必要があります。これは、サイバー犯罪者が何らかの方法でシステムに侵入する手段を発見した可能性があるためです。
  3. 新しいサイバーリスクへの理解
    セキュリティの専門家は、パンデミック中のサイバー攻撃に耐えられるよう、基幹システムなどのデジタルケイパビリティを精査するよう求められるようになります。彼らは、デジタルを含め、企業における重要なサプライチェーンを調査し、有事におけるビジネス継続性を確保します。
  4. ITセキュリティアーキテクチャの再評価
    アクセスメカニズムの見直しや、大規模なリモートアクセスニーズへの対応およびセキュリティ認証メカニズムとリスクの検証などが求められます。
  5. セキュリティポリシーの更新
    リモートアクセスや私物デバイスの利用(BYOD)について、改めてポリシーを更新するよう求められるようになります。その際には、個人の端末も健全な状態に保つことを推奨するサイバーハイジーン(サイバー衛生)という考え方を取り入れる必要があります。
  6. 高度なテクノロジーの導入
    セキュリティリスクの検出と対応に、ビッグデータやAI、機械学習などでサポートされる高度な機能が適用可能になります。これらは人間の介入なしにマシン側で有害な動作を検出して自動的に対応します。


これら以外にも、企業はパンデミック中に発生したサイバー攻撃による損失に対する保険や、危機の間に学んだ教訓の共有方法を検討し、将来のパンデミックに備えておく必要があります。また、現状のセキュリティソリューションを拡張性やプロビジョニング期間、可用性やリモートでの管理など、様々な観点から再評価し、信頼できるパートナーと連携してスケーラビリティを確保する、包括的な計画立案も求められます。

さらに、現在のBCPを修正して、パンデミックのようなシナリオを含め、定期的に訓練を行う必要もあります。堅牢で徹底的にテストされたバックアッププランが求められるようになります。新しいBCPには、パンデミック時に発生したサイバーセキュリティインシデントへの対応戦略も盛り込まなければなりません。

リーダーには、積極的に新しいアプローチの採用や、新技術導入を検討することが求められています。なかでも、運用効率の向上やマニュアル作業への依存の削減が期待できる自動化技術には期待が高まっています。

たとえば、Starship Technologies社は、イギリスとサンフランシスコでロボットによる食品配送サービスを開始しました。*1 パンデミックにより、食料品デリバリーの問題に苦しんだため、その解決策を模索した結果、このような対応に至りました。このサービスは、ロックダウン期間における食料品の配達ニーズ急増により、さらに活用されています。

AIも、今回のパンデミックにおいて、ドローンの配信や、チャットベースによる健康診断、モバイルジオロケーション分析、都市向けのロボットによる消毒ソリューション、さらにはロックダウン解除時期を判断するための予測モデルなど、様々な用途使用されました。ロボットとAIは、今回の活用事例が周知されることで、更に導入が進むと考えられます。
*1. StarshipTechnologies社 Webサイト

サイバーセキュリティの新時代

ここで例示した変化は、IT部門だけに影響を与えるものではありません。例えば、マネージャーは、従業員が効率的に働くことを目的として在宅勤務を選択した場合、ワークライフバランスを改善するためにポリシーを見直す必要があります。同時に、在宅勤務を行う従業員は、会社で勤務するのと同様の成果が求められます。
加えて企業はどのように資金を適切な商品に投資するか、どのようにリソースを割り当てるか、など予算の制約について、より厳しく対応することが求められます。一方で、企業が仕事の仕方を刷新する良い機会とも言えます。在宅勤務の導入を機能的に進めるなど、ニューノーマル(新常態)に適応することで、コストの最適化やデジタルトランスフォーメーションの推進などを実現できます。

セキュリティの責任者は、これらの戦略をサポートするために、デジタル技術とサービスモデルを活用して、効率的に成果をあげることが求められます。
パンデミックにより、サイバーセキュリティは新しい時代を迎えました。ビジネスを継続させるためのBCPには、データやプロビジョニング、ネットワークセキュリティと追跡、コンプライアンス、移行やサービスレベルアグリーメントなど、様々な観点で潜在的なリスクをゼロに近づけながらも、費用対効果の高い方法を採用することが求められています。しかし、高度に進化したサイバー犯罪によるリスクからデータや人々を保護するITセキュリティプロフェッショナルは、ビジネスにおけるキープレーヤーになっています。

関連オファリング