画像をタップして拡大する

2021年3月26日

パンデミック中および将来のリモートデジタルワークスペースのセキュリティを強化

リモートアクセスが増加する今日、組織を攻撃から守るうえでとりわけ重要なファクターについて考察します。

パンデミックの発生を受けて、多くの企業がリモートワーク環境の構築を急ぎました。そのためセキュリティの側面が二の次にされたケースが少なくありません。今こそこの点の見直しが必要です。

「パンデミックの発生により、多くの組織が、時間や場所に制約されることなく任意のデバイスから業務を遂行できる環境の構築を急ぎました」とHPEのマスターサイバーセキュリティアーキテクトであるTim Ferrellは指摘します。「その結果、管理、セキュリティ、および信頼性が不十分なデバイスから、通常は非常にセキュアであるはずの企業あるいは政府機関のネットワークへの接続が増えたことで、環境内のセキュリティリスクが大きく上昇しています」。

フィッシングによる内部からの攻撃

Ponemon Institute社のITセキュリティギャップの解消に関する2020年度グローバル調査によると、4,000人以上の回答者の65%が内部からの攻撃を未然に検知できる自信がないと回答しています。その一方で61%の回答者がネットワーク内部の攻撃は深刻な被害を起こし得ると考えています。

「攻撃に対する技術的アプローチとしては、ファイアウォール、ウイルス対策ソフトウェア、暗号化といったさまざまな手法が存在し、20年以上前から活用されてきました」と、SANS Institute社でセキュリティ意識向上ディレクターを務めるLarry Spitzner氏は述べています。「そして私たちはこうしたテクノロジーの利用には習熟しています。しかしながら「人間のオペレーティングシステム」についてはこうした対策がほとんど存在しません」。

「今や犯罪者らは標的とする企業のタイプにかかわらず、最も脆弱な侵入経路として、テクノロジーではなく、訓練を受けていない従業員を狙うようになっています」とSpitzner氏は指摘します。「こうした攻撃には通常メールや電話などが使用され、従業員をだましてすべきでないことを行わせようとします」。

攻撃の手法はお馴染みのものです。「とりわけ被害の大きいランサムウェアで主に使用される手法がフィッシングです」とFerrellは説明します。「犯罪者はより巧妙化してきており、どのようにすれば狙った相手がメールを開くかを熟知しています。一例として、COVID-19のワクチンが一般に接種可能になると、無料接種を受けるにはここをクリック、ワクチンの申し込みはここをクリック、と言った文言が書かれた偽メールが大量に届き始めると予想されます」。

「人間は今やサイバー犯罪者の主要な攻撃ベクトルです」とSpitzner氏は指摘します。「彼らのハッキング対象はテクノロジーから 人間へと移行しています」。

Two-Factor認証

一般的なフィッシングシナリオにおいて、攻撃者はターゲットをだましてユーザー名とパスワードを提供するように仕向けます。次に攻撃者は取得した認証情報を使用してログインし、被害者のアカウント権限を使用して重要データを手に入れたり、その他の操作を行ったりします。

このシナリオに対する最良の防御策は多要素認証を使用することで、通常はTwo-Factor認証を意味します。Two-Factor認証が有効になっている場合、ユーザーは自身のユーザー名とパスワードに加えて、接続先のサービスによるユーザー認証に使用される物理デバイスを持っている必要があります。通常この処理にはユーザーのスマートフォン上の認証アプリが使用されます。

Two-Factor認証を厳格に運用すれば、現実の攻撃の大半をブロックすることが可能です。Two-Factor認証は、メールやソーシャルメディアのアカウントといった多くの個人向けサービスでも強化オプションとして利用されています。

ゼロトラストとは、ユーザーやデバイスが企業ネットワークに接続されているという事実に基づいて、その安全性を無条件に信頼しないことを意味します。
TIM FERRELL - HPE、マスターサイバーセキュリティアーキテクト

ゼロトラスト

ゼロトラストとは、当該ユーザーやデバイスが社屋内などに存在しているかどうかにかかわらず、アクセスを試みるすべての要素について継続的な認証および承認を行うことを意味します。

「ゼロトラストとは、ユーザーやデバイスが企業ネットワークに接続されているという事実に基づいて、その安全性を無条件に信頼しないことを意味します」とFerrellは説明します。「一切の前提なしにあらゆる要素がチェックされます。個々のアクセスに関して使用可能な判断材料はすべて検証され、何らかの問題点が見つかれば、アクセスを拒否するか、信頼できないモノのための特殊なネットワークに当該ユーザーやデバイスを隔離します。問題点が解消もしくは解決されるまで、それらのユーザーやデバイスは行動を大幅に制約されます」。

「ゼロトラストモデルは誰かが一夜にして完成させるようなものではありません」とHPEのチーフテクノロジスト兼ストラテジストであるJeff Entersは述べています。「段階的アプローチによる構築が推奨されます。柔軟性に優れたシステムを構築して、セキュアな状態に保ち、法外なコストをかけることなく生産的な状態を維持できるようにすることが大切です」。

またEntersはゼロトラストを計画する企業に対して、複雑化を避けて「シンプルに保つ」ことを心掛けるように助言しています。「セキュリティの強化に際しては、とりわけ適応と移行が求められている状況下では、複雑さの上に複雑さを重ねることになりがちです」とEntersは説明します。「そのため複雑化が急速に進み、それに伴ってリスクも増大します」。

Ferrellは次のように付け加えています。「この問題に対する特効薬は 残念ながら存在しません。さまざまな側面からの適切な取り組みが求められ、そうした取り組みが一体となることでセキュリティチェーンから単一障害点を排除できます」。

トレーニングを通じてセキュリティ意識を向上

パンデミック発生後のリモートワーク体制や、ハイブリッド型のオフィス内/リモートモデルの計画にあたっては、適切なセキュリティテクノロジー (仮想プライベートネットワーク、ウイルス対策ソフトウェア、Two-Factor認証など) の活用に加えて、セキュリティ意識向上のための継続的なトレーニングとテストが欠かせません。

「私たちは人間のセキュリティについて考えるべき時期に来ており、その出発点となるのがトレーニングです」とSpitzner氏は説明します。「コンプライアンスではなくヒューマンリスク管理の観点からこの課題に取り組み、行動変容に重点を置くことが必要です。そのためにはPowerPointによる年1回のプレゼンテーションを漫然と実施するのではなく、年間を通じた継続的トレーニングによる強化が求められます」。

「主要な行動に的を絞ることで、人間のためのセキュリティが簡素化され、人々の行動をよりセキュアなものに変えることが可能になります」と同氏は付け加えています。

リーダーへのアドバイス

  • 今こそサイバーセキュリティのためのテクノロジーとトレーニングに対する投資の強化が必要です。
  • セキュリティの強化には多要素認証とともにゼロトラストモデルを導入することが効果的ですが、まずはシンプルに開始して段階的に複雑化していくことが推奨されます。
  • 従業員のためのサイバーセキュリティトレーニングは、ニーズに合った継続的かつ長期的なものでなければなりません。

この記事/コンテンツは、記載されている特定の著者によって書かれたものであり、必ずしもヒューレット・パッカード エンタープライズの見解を反映しているわけではありません。

enterprise.nxt

ITプロフェッショナルの皆様へ価値あるインサイトをご提供する Enterprise.nxt へようこそ。

ハイブリッド IT、エッジコンピューティング、データセンター変革、新しいコンピューティングパラダイムに関する分析、リサーチ、実践的アドバイスを業界の第一人者からご提供します。

enterprise.nxt
ニュースレターのご登録

enterprise.nxtから最新のニュースをメールで配信します。