新型コロナウイルスの感染拡大を防ぐため、多くの企業でテレワークが実施されました。これによりデジタルトランスフォーメーション(DX)が大きく進んだ側面もありますが、それによって生じたセキュリティリスクも増大しました。しかし一方で、コロナ禍の影響で業績の悪化に伴うITセキュリティ予算の圧縮を余儀なくされている企業も多いかもしれません。そこで今回はコロナ禍の今だからこそ抑えておくべきセキュリティの要点と、費用対効果に見合ったITセキュリティ予算の組み方について解説していきたいと思います。
コロナ禍で急増した3つのサイバー脅威
クラウドへの脅威
当初は感染拡大の抑止が目的だった在宅勤務は、長ずるにつれて働き方の一つへと変化しつつあります。しかし、ただオフィスから自宅へと働く環境を移しただけでは、大きなセキュリティリスクが生じてしまいます。オフィスではインターネットからの脅威をファイアウォールやWebフィルタリング、IDS/IPSなどによってオフィス内の端末を保護していましたが、在宅勤務環境でそのセキュリティ対策を実現することは困難です。
在宅勤務が進んだことでオンプレミスの業務を急きょクラウドサービスに移行した企業も多いでしょう。セキュリティベンダー マカフィーの調査では、クラウドサービスの利用量が、従来と比較して50%増加しているとのことです。そしてそれに伴い、それを狙った攻撃者がサイバー攻撃を仕掛け、SaaS、PaaS、IaaSへの脅威を合わせると従来と比較して630%も増加したとのことです。
フィッシング詐欺
正規の組織になりすましたフィッシング攻撃の急増は世界的な懸念になっています。英国の国立サイバーセキュリティセンター(NCSC)によると、偽メールに重要なアップデートを謳うリンクを記載し、ウイルスやマルウェア、スパイウェアに感染させようとするWebサイトへの誘導が行われたことが警告されています。Word文書などの感染ファイルを添付したフィッシングメールが送信されることもあります。このようなフィッシングメールは、英国や米国から日本、イタリア、インドネシアにいたるまで、あらゆる地域で確認されています。さらにNCSCの指摘によれば、運送、輸送、小売などの特定の分野を重点的に狙った攻撃が仕掛けられています。
また昨年7月以降急増している「Emotet」も話題になりました。このウイルスによって感染されると、ターゲットがやりとりしているメールの情報も含めてさまざまな情報が盗み取られます。そして、過去に実際にメールをやりとりしたことがある実在する人物の氏名やメールの内容を流用し、まるで自分が送ったメールへの返信メールのように見える攻撃メールを作成し、感染を広げていくのです。このため、本文や送信元を確認しても、受信側が見破るのは非常に困難です。
VPN装置の脆弱性への攻撃
IDとパスワードの漏えいはクラウドサービスにとどまりません。急遽テレワークが必要になったことで、VPN装置の脆弱性を突いて攻撃され、従業員のIDとパスワードが漏えいした事件が発生しています。
テレワーク、VPN暗証番号流出 国内38社に不正接続 2020年8月24日
日立化成や住友林業など国内の38社が不正アクセスを受け、テレワークに欠かせない社外接続の暗証番号が流出した恐れがあることが分かった。第三者が機密情報を抜き取ったり、ウイルスをばらまいたりする2次被害が予想される。事態を重く見た内閣サイバーセキュリティセンター(NISC)も調査に乗り出しており、企業は対策が急務となっている。
引用:https://www.nikkei.com/article/DGXMZO62994110U0A820C2MM8000/
急増した在宅勤務の負荷に対応するため、現行で使用しているVPN装置に加えて、古いVPN装置を急きょ稼働させた企業が脆弱性を突かれ、従業員のVPN装置管理用のIDおよびパスワードが抜き取られてしまう事例も確認されています。
withコロナ時代の予算の策定
一般社団法人日本情報システム・ユーザー協会(JUAS)が実施した「企業 IT 動向調査 2021」(2020 年度調査)によると、2020年度の企業業績は新型コロナ禍により増収増益、増収減益が大幅に減少する一方、2021年度予測のユーザ各社の IT予算は、新型コロナ禍を経て減速したとはいえ全体として増加基調を維持しています。この中で「コロナ影響による基盤整備」による予算増も報告されています。
コロナに伴い一見セキュリティ予算も増えているようですが、ITに関連する予算のうち10%以上をセキュリティにかけている企業について海外と日本とで比べてみると、アメリカ、イギリス、シンガポール4か国では50%を超えています。これに対して日本では約20%となっていて、日本は海外に比べてセキュリティ対策に対する意識が低く、意識の低さがセキュリティにかける予算が少ないことにつながっていると考えられています。
セキュリティ対策に予算をかけるべきというのは、企業担当者もわかっているでしょうがなかなか湯水のように予算を組むことは難しいでしょう。そのため以下のポイントを見直しましょう。
セキュリティ予算をかける範囲を把握する
一口にITセキュリティと言っても色々な範囲があります。セキュリティモデルとしてよく知られているNIST サイバーセキュリティフレームワークでは、以下の5つの機能がコアとして制定されています。
- 特定
- 保護
- 検出
- 対応
- 回復
さらにその中で23のカテゴリがあり、それぞれのカテゴリに属するサブカテゴリは108にも及びます。このフレームワークはビジネス上の要求事項、リスク許容度、割当可能なリソースに基づいて調整された機能、カテゴリ、サブカテゴリを纏めたものです。具体的なサイバーセキュリティ対策の現在の状態と目指す目標の状態を記述する事で必要なギャップを浮き彫りにする事でこのギャップを埋める為の行動計画を立てやすくする事が目的です。
この中で自社に必要な(予算を投じるべき)カテゴリをきちんと把握する必要があります。そうすれば優先事項を決めて予算化しやすくなります。
効率的な運用
予算を抑えるには必要なものだけ導入し、簡素化、可視化によって効率的な運用をしていくことが大事です。専門知識をもったSEでないと扱えないような製品や、サポートが不十分なもの、可視化できず結局どう運用されているのかわからないものでは効果の検証も不十分になります。
しかし、多くの企業の場合、セキュリティに関する専門知識を備えているITシステム担当者はそう多くありません。そのため、まずはセキュリティ分野に専門性を持っている企業の製品やサービスを検討することが重要です。セキュリティ専門知識がなくても社内で十分に運用できるのか、費用は合合理的なのか、導入や運用が複雑ではないかなど様々な角度から検討しましょう。そして、グロバール企業の製品を検討するならば、日本語サポートも必ずチェックしましょう。
予算に応じた製品を導入する
現在各種ベンダーより様々なセキュリティソリューションがでていますが、その費用もピンキリです。しかしここまでで、自社のセキュリティに必要な防御範囲、簡素化できる運用、可視化が可能な製品、サポート等を比較すれば導入すべき製品も絞り込みやすくなるでしょう。
たとえばネットショップを運営している企業ならばWAFの導入を検討したり、社内のネットワークシステムをVPNに頼らず多層的に管理・防御したりしたいのならばデータ漏えい対策に特化したモニタリングシステムの導入など製品を絞ることが可能です。そうした製品は弊社でもいくつか提供しています。
https://www.pentasecurity.co.jp/product/
さいごに
「withコロナ」時代には、企業のサイバーセキュリティも新たな考え方で臨む必要があります。最新の情報を常に取り入れて、サイバー攻撃の被害にあわないようにセキュリティ意識を高く保つようにしましょう。
