T
THINK Business

【アフターコロナ】ビジネスを止めないセキュリティー ―攻撃は巧妙化、ニューノーマルを支える戦略的対策とは―

post_thumb

新型コロナ感染症(以下新型コロナ)の拡大防止策の一つとして推奨されたリモートワークは、収束後も働き方の一つの形として広く定着していくことになるだろう。しかし、従業員が社外から社内システムにアクセスすることで、セキュリティー面でのリスクが増大する懸念もある。また、今回のようなパンデミックの経験を通じて、各企業は今後、環境の変化に対応しながら事業継続性を考えていくことが求められる。ITインフラがますます必要不可欠な環境となるなか、どのようなセキュリティー対策が求められるのか。サイバー攻撃の最新動向を踏まえて考察する。

 

ハッカーの目的、金銭よりシステム破壊に

新型コロナが猛威を振るうなかでもサイバー攻撃の手は緩められることはない。むしろ、それをチャンスとした新たな攻撃手法も登場してきている。メールをクリックさせて悪意のあるプログラムを送り込む標的型攻撃では、世界保健機関(WHO)や保健所を装うなどコロナ禍を逆手にとったものが増えてきた。

事態はより深刻になりつつある。「最近のハッカーの攻撃の目的が変わってきていることに注意が必要です。システムを人質にとって金銭を要求するものから、システム自体を壊してしまう破壊的行為へとシフトしています」と語るのは、日本IBMでセキュリティー事業の責任者を務める纐纈昌嗣氏だ。システムが破壊されたらその損害額は莫大なものになる。

纐纈昌嗣氏

日本アイ・ビー・エム株式会社
執行役員 セキュリティー事業本部長
纐纈昌嗣氏

攻撃の手法自体も変化している。日本IBMでは、毎年サイバーセキュリティーに関する調査を実施しているが、最新版「IBM X-Force 脅威インテリジェンス・インデックス2020」(※)によると、攻撃手口の最上位は依然として「フィッシング」だが、そのシェアは減少しており、その代わりに「スキャンおよび悪用」が増えて第2位に浮上している。

上位の攻撃手口(攻撃初期の手口)

 

リモートワークが格好の標的に

「攻撃者はシステムの弱いところを狙ってきます。情報漏洩の80%はクラウドやサーバーの設定の不備に起因しています」と纐纈氏は説く。

同様に注目されるのが、産業用制御システムなどのオペレーショナル・テクノロジーに対する攻撃が急増していることだ。同調査では前年比で2000%、つまり20倍に増えている。近年、こうしたシステムはインターネットに接続されるようになった。あらゆるものがネットにつながるIoTなどで便利になった反面、リスクも増えている。

纐纈昌嗣氏

「リモートワークが企業システムに入り込む中、入り口として攻撃者から狙われる可能性は高い」

攻撃者は“新しく便利になったところ”を狙う。そのため、リモートワークも格好の攻撃対象となる。纐纈氏は「自宅にPCを持ち帰って接続するわけですから、当然リスクは増大します。リモートワークが企業システムに入り込んでいく中、攻撃者からその入り口として狙われる可能性は高い」と警鐘を鳴らす。

これまでのようなIDとパスワードによる認証方式に加えてワンタイムパスワードのような多要素認証を取り入れる、モバイルデバイス管理だけでなく不審なアプリをインストールしているPCの接続を拒否する検疫システムを導入するなどのセキュリティー対策・強化が必須になる。

一方で避けなければならないのは、セキュリティーを過剰に強化して使い勝手を損ねてしまったり、リモートワークのような施策を導入しないという消極的な姿勢に転ずることだ。セキュリティーの強化と従業員に負担をかけることなく利用者の利便性の向上を両立させる必要がある。

セキュリティー対策は、企業がさらなる成長のために、業務の生産性を改善し、従業員満足度を向上させ、企業としての競争力を高めるための、戦略的投資として考えるべきものといえるだろう。

 

水際対策だけではなく侵入を前提とした対策を

では、これからのセキュリティー対策・強化のポイントはどこにあるのだろうか。纐纈氏は「しっかりとセキュリティー対策することは重要ですが、今の日本の企業が水際対策に終始していることを危惧しています。大事なのは、攻撃者は入ってくるという前提に立ったセキュリティー対策を検討することです」と話す。

アンチウイルス、ファイアウォール、エンド・ポイント・セキュリティーなど、これまでのセキュリティー対策は攻撃をシャットダウンすることが目的だった。しかし、攻撃手法が多様化し、日々進化しているため、それだけでは防ぎきれない。そのため、侵入されることを前提とした対策が望まれるという。

纐纈氏が提案するのは、3段階に分けてセキュリティー対策を考えることだ。第1段階は攻撃者の侵入を可視化すること。入ってきたことを検知し、その行動を監視する。そして、第2段階でその攻撃者が主要なシステムやデータにアクセスできないように防御。第3段階では、万が一システムやデータが破壊されたときでも迅速に復旧できるようにしておく必要があるという。

「なかでも最も重要なのは第3段階です。サイバー攻撃は、災害時など通常のBCP(事業継続計画)に比べ、対応しなければならないリスクの範囲が格段に広いためです。地理的なバックアップも効かないため、攻撃されてもビジネスを止めない体制を包括的に整えておく必要があります」と纐纈氏は語る。

纐纈昌嗣氏

「もっとも大事なのは第3段階です。理由はサイバー攻撃のリスクの範囲が通常のBCP(事業継続計画)のリスクよりも広いということにあります」

地震などで大きな被害を受けた場合を想定して東京と大阪にデータセンターを分散しておいても、サイバー攻撃では地理的なバックアップ体制は関係なく、全てのシステムが使えなくなることを想定した方がよい。当然、リモートワークもできない。つまりビジネス自体が止まってしまう。ビジネスを止めないセキュリティー対策・強化では、データが破壊されても迅速に復旧できる体制を視野に入れた対策が求められる。具体的には、バックアップ対象のシステム範囲は適切か、そのバックアップは100%リストアできるのか、「ビジネスを止めない」という観点で常に確認が必要である。

 

8000人の知見で万全のセキュリティーに

しかし、セキュリティーの専門知識を持たない企業が、進化を続ける攻撃者たちと向き合うのは難しい。専門知識を持つセキュリティーエンジニアは不足しているため、やはりセキュリティーに強い専門企業の支援を受けるしかない。

IBMのセキュリティー事業について纐纈氏は、「当社のセキュリティー製品は侵入を可視化したりレスポンス対応を自動化するもので、セキュリティーサービスの一環として提供しています。アンチウイルスやファイアウォールといった、製品単体では防ぎきれないと考えているからです」と話す。

大規模な基幹系システムなどのシステムインテグレーションを、メインフレームからオープンシステム、オンプレミス(自社運用)のシステムからクラウドまで実施してきた、幅広い知見と技術を有しているからこそ、万が一の際の復旧支援まで可能とする。社内には8000人のセキュリティーエンジニアが在籍し、IBM X-Forceという専門部隊がグローバルの最新脅威動向を把握しながら、セキュリティーサービスを提供。世界各地のセンターからネットワークを監視し、システムやネットワークの脆弱性を検証するエシカル・ハッカーも自社で抱えている。サイバー攻撃を受けた際の企業の対応を検証する「サイバー攻撃対応訓練」も実施している。

IBM X-Force:世界に誇るIBM Securityの専門性

 

セキュリティーへの投資は未来への投資

纐纈氏は「今後もシステムインテグレーターとしての知見や技術をベースに、セキュリティーの専門集団としてのスキルやノウハウをサービスとして提供していきます。セキュリティー監視はもちろん、インシデントがあればすぐに駆けつけますし、データ復旧の支援もさせていただきます」と語る。

纐纈昌嗣氏

ITがビジネスの基盤となっている今、システムを守ることはビジネスを守ることでもある。リモートワークのような柔軟な働き方は、セキュリティー対策とセットで実現することが肝要だ。例えば、自動車のエンジンをパワーアップしたら同時にブレーキ性能も強化しなければカーブで曲がりきれずに横転してしまう。セキュリティーの強化は、新しい時代に、新しい働き方で、安全にドライブするための戦略的な投資である。積極的に取り組むことが大きな成果を生み出すことになる。

※この取材は4月にリモートで実施しました。

(※)https://www.ibm.com/jp-ja/security/data-breach/threat-intelligence

※2020年6月12日~2020年7月11日に日経電子版広告特集にて掲載。
掲載の記事・写真・イラストなど、すべてのコンテンツの無断複写・転載・公衆送信等を禁じます。