コロナ禍に伴いテレワークやクラウド利用の拡大など、ビジネスにおけるデジタル活用がかつてないほど加速している。しかし同時に、デジタル化の進展によって新たな情報セキュリティリスクが発生する危険性も高まっている。そんな中、企業はニューノーマル時代にふさわしい情報セキュリティ対策をどのように打っていけばいいのか。アクティブディフェンス研究所 忠鉢 洋輔氏、情報通信研究機構(NICT) サイバーセキュリティ研究所 井上大介氏、キヤノンマーケティングジャパン 西浦 真一氏が議論した。モデレーターはキヤノンマーケティングジャパン 石川 滋人氏が務めた。
「ニューノーマルの情報セキュリティ」に対してキヤノンマーケティングジャパンやアクティブディフェンス研究所、情報通信研究機構(NICT) サイバーセキュリティ研究所の識者が議論を交わした
ニューノーマル時代の新たな脅威とは?
コロナ禍でテレワークや、クラウド活用が急増するなど、企業ITの在り方が急激に変化した昨今。企業へのサイバー攻撃はどのような変化しているのだろうか。
キヤノンマーケティングジャパン サイバーセキュリティラボの調査によると、国内の2020年上半期のマルウェア検出総数は2018年上半期と比べると1.76倍(76%増)に増え、ここ数年で最も高い水準となった。
必ずしもマルウェア検出数が危険に直結するわけではないが、全体的に見るとリスクが高まっているのは確かだ。中でも最近目立つサイバー攻撃が「新型コロナウイルス感染症を題材とした攻撃」である。
たとえば、2020年7月より再び大規模な攻撃キャンペーンが始まったマルウェア「Emotet」の攻撃では、新型コロナウイルス感染症に関連するタイトル・文面の攻撃メールが多く用いられている。また「Corona-virus-Map.com.exe」と呼ばれるマルウェアは、実行時に地域別の感染者統計情報を表示する一方、バックグラウンドで感染端末から認証情報やcookie情報を窃取するという極めて巧妙な手口を用いる。
「新型コロナウイルス感染症を題材としたサイバー攻撃」
WHO(世界保健機関)を装ったフィッシングメールや、マスク不足や特別給付金を題材としたフィッシングメールなど、新型コロナウイルス感染症拡大に乗じたフィッシングメールの手口も多数観測されている。また、テレワークの拡大に伴い多く利用されるようになったリモートデスクトップ(RDP)サービスの脆弱性を狙った攻撃も、世界中で数多く確認されている。
国立研究開発法人 情報通信研究機構(NICT)では「NICTER」と呼ばれるサイバー攻撃観測・分析システムを用いて、こうしたサイバー攻撃の最新動向を大規模に観測している。特に近年のサイバー攻撃に見られる特徴として「IoT機器を狙った攻撃」が増えているという。
「IoT機器を狙った攻撃」とはどのようなものなのか。
情報通信研究機構(NICT) サイバーセキュリティ研究所
サイバーセキュリティ研究室 室長
井上大介氏
情報通信研究機構(NICT) サイバーセキュリティ研究所 サイバーセキュリティ研究室 室長 井上大介氏は、「NICTERで観測した攻撃のうち、約半数近くがIoT機器を狙っています。その一方で、PCを狙った攻撃が占める割合は減ってきており、明らかに攻撃対象がPC系からIoT機器へと移り変わっていることが見て取れます」と語る。
またランサムウェアの被害も相変わらず後を絶たないが、以前のような「無差別のばらまき型攻撃」に代わって、近年ではターゲットを絞り込んだ攻撃、特に医療機関を狙ったランサムウェア攻撃の被害が相次いでいる。
その攻撃手口も、単にデータを暗号化して復号と引き換えに身代金を要求するだけでなく、情報を窃取して「第三者に漏えいするぞ」と脅して金銭を要求する「二重脅迫」の手口が多く使われるようになってきている。
ゼロトラストの視点で考えるセキュリティ対策とは
クラウドサービスのビジネス利用が広がるにつれ、「ゼロトラスト」と呼ばれるセキュリティモデルがクローズアップされるようになってきた。
従来のセキュリティモデルは、企業・組織が運営する内部ネットワークとインターネットとの間の境界線上で、外部からの侵入や内部からの情報漏えいを防ぐ仕組みを設置する「境界線型」のセキュリティ対策を前提としていた。「安全な内部」と「危険な外部」とを完全に分け、内部にいる限りは危険な攻撃を直接受けることはないという前提の下、「最低限のアクセス制御さえ行えばいい」とされてきた。
しかし業務でクラウドサービスを利用したり、テレワークのために社外ネットワークに接続して仕事をするのが当たり前となった今日、内と外とを完全に分けて考える従来のセキュリティモデルの有効性がだんだん薄れつつある。そこで内と外の区別をなくして、すべてのアクセスに対して厳格な認証やアクセス制御を行うのがゼロトラストの基本的な考え方だ。
キヤノンマーケティングジャパン
セキュリティソリューション事業企画部
石川 滋人氏
キヤノンマーケティングジャパン セキュリティソリューション事業企画部 石川 滋人氏は「特にコロナ禍以降は、クラウドシフトを背景にゼロトラストセキュリティの必要性が高まってきていると思います。その重要性と実現のためのポイントについて考えを教えてください」と、登壇者たちに意見を求めた。
アクティブディフェンス研究所 代表取締役 忠鉢 洋輔氏は、企業におけるゼロトラストモデルの導入について、「企業の間でクラウドサービスの利用が広がるに伴い、ゼロトラスト的な考え方も徐々に浸透しつつあるように感じます」と指摘する。
アクティブディフェンス研究所
代表取締役
忠鉢洋輔氏
しかしその一方で「大企業を中心にクラウド利用に対してもともと制約を設けていたり、出口IPアドレスによる制限を掛けたりと、ゼロトラストとは異なるセキュリティ対策を長らく行ってきた企業も少なくありません。そうした企業がこれからゼロトラストへと転換するのはそうたやすくありません」と述べ、大企業ほどゼロトラスト導入のハードルが高い点を指摘する。
この点について井上氏は、「ゼロトラストは『この技術さえ導入すればOK』というものではなく、各企業のニーズや事情に応じて、多種多様な技術の中から適切なものを選んで組み合わせることで実現します。しかし柔軟性に欠けるレガシーシステムを抱えている大企業は、旧来の仕組みを維持し続けるために新たな技術をなかなか適用しづらい面があります」と述べた。
一方で、たとえ大企業であっても早くからクラウドサービスやSSO(シングルサインオン)の導入に積極的に取り組んできたところは「ゼロトラストとの親和性が高く、その導入のハードルも低いはず」と指摘する。
ここで井上氏は「ゼロトラスト」への見解について、「2010年ごろからある概念ですが、コロナ禍を機に在宅勤務を実施する人が増えたことにより、企業の「境界」が外に出てしまいました。これにより、『ゼロトラスト』の必然性が増しています。もともと「境界型」では限界だと言われてきた情報セキュリティの在り方ですが、コロナ禍とあいまって、ゼロトラストの潮流はもう止められないのでは」と発言した。
これに対し、忠鉢氏は「もともと従業員数万人規模の大企業がVPNをベースにした前提でリモートワーク環境を整備しようとすると、数千万円以上の規模の投資が必要です。境界を前提にしないゼロトラストの方向でシステムを整備する方がコスト抑制できるので採用が進んでいるという現実もあるでしょう」と指摘した。
また、キヤノンマーケティングジャパン サイバーセキュリティラボ セキュリティエバンジェリスト 西浦真一氏は、ゼロトラストモデルを実現するに当たっては、特に「認証技術」が重要な鍵を握ると述べる。
キヤノンマーケティングジャパン
サイバーセキュリティラボ セキュリティエバンジェリスト
西浦 真一氏
「ゼロトラストとはその名の通り、端末に対する接続や、その上で行われるアクションを無条件に信頼することなく、『誰が何をやろうとしているのか』『その人は正当なアクセス権を持っているのか』という点について毎回厳密にチェックする必要があります。したがって、これまで以上に認証・認可という概念が重要になります」(西浦氏)
ビジネス変革とデジタル化において考慮すべきこととは
ここで石川氏が「デジタル化を伴った新しいビジネスモデルの構築や業務改革においては、データ活用や企業間での情報共有・管理が重要な要素となる一方で、サイバーセキュリティリスクも懸念されます。デジタル化(攻め)とセキュリティ(守り)のバランスをどう考えるべきでしょうか」と疑問を投げかけた。
井上氏は、「セキュリティは『セキュリティ単独』では存在し得ません。まずはビジネスゴール達成のためのデジタル化があり、それに付随する形でセキュリティが存在します。従って、セキュリティがビジネスの阻害要因となってしまっては意味がなく、自ずとセキュリティに対する投資意欲は衰えてしまいます」と述べている。
また、セキュリティ対策が目的化してしまうことの危険性を次のように指摘する。
「日本人はゼロリスク信仰が強いところがありますが、リスクをどんどん下げていくとある地点からコストが一気に跳ね上がってしまいます。従って『ビジネスコンテキスト』『セキュリティ投資のコスト』『セキュリティ事故発生時の備え(インシデントレスポンス)』の3つの間で最適なバランスポイントを探ることが重要です」(井上氏)
また忠鉢氏は、「ボトムアップとトップダウンのバランス」の重要性を説く。
「中小企業も含めたさまざまな企業のセキュリティ対策状況を見ると、企業ごとに大きな温度差があることが分かります。しかし今や企業規模を問わずあらゆる企業のビジネスはITに大きく依存していますから、企業のトップは現場からボトムアップで上がってきたセキュリティ対策の要望に対して真摯に耳を傾けるべきですし、それと同時にトップ自らが情報セキュリティに対して積極的にコミットする姿勢が求められます」(忠鉢氏)
このトップダウンとボトムアップとがうまく噛み合うことで、過不足のない適切なセキュリティ投資が実現するという。また同氏は、特に中小企業が今後セキュリティ対策を強化していく上で考慮すべきポイントとして、「レガシーシステムの刷新」「認証情報の管理」の2つを挙げる。
「レガシーシステムや古いPC、OSの延命はセキュリティリスクの温床となりかねないため、やはり経営トップが思い切ってシステム刷新のための投資を決断するべきだと思います。またクラウドシフトに積極的に取り組んでいる会社では、各クラウドサービスのユーザー認証情報をまとめて管理できる仕組みを導入して、不正アクセスやなりすまし攻撃のリスクを排除する取り組みが重要です」(忠鉢氏)
事業継続の観点からも、セキュリティ対策の重要性は増している。ビジネスのITに対する依存度はかつてないほど高まっており、サイバー攻撃によってシステムが停止してしまうと膨大な損失を被る可能性がある。そのため企業の経営トップは、BCPの観点からもセキュリティ投資の重要性を理解しておく必要がある。
加えて石川氏は、「近年では企業単体だけではなく、サプライチェーン全体を視野に入れたセキュリティ対策の観点が欠かせなくなってきていますが、そのあたりについてはいかがでしょうか」と尋ねた。
この点について西浦氏は「米国政府ではSP800-171というガイドラインに則り、取引企業だけでなくその取引先や孫請け、3次請けといったサプライチェーン全体に渡って厳格なセキュリティ対策を求めるようになりました」と説明。
「日本においても、防衛省や防衛装備庁で同様の情報セキュリティ基準に関する取組があり、今後の動向には注目しておく必要があるでしょう」(西浦氏)として、サプライチェーン全体に渡ってセキュリティ対策に目を光らせることの重要性を指摘し、議論を締めくくった。
※本記事は、2020年11月に開催いたしましたCanon Security Days / ESET Security Days 2020 VIRTUALの開催レポートを掲載したビジネス+ITから提供を受けています。
