2020年は、新型コロナウイルスの影響でテレワークが当たり前になり、企業が取るべきセキュリティ対策も大きく変化しました。

境界型セキュリティ(ファイアウォールなどのセキュリティ措置を施すことで、社内と社外の接点で侵入を防ぎ、”社内”の安全性を保つという発想のセキュリティ対策)やVPN接続による脆弱性は、これまでもセキュリティ面での指摘があったものの軽視されてきました。今回のパンデミックによって、これらの問題が大きく壁となったことは明らかです。

企業が今後もサイバー攻撃の脅威に対処するためには、できる範囲で脅威を予測して、予防法や対処法を準備しておくことが大切です。

今回は、トレンドマイクロが公開している「2021年セキュリティ脅威予測」から、今後のセキュリティ脅威を読み解いて、ISMSの取り組みの中でどのような対策ができるのかを考えていきたいと思います。

1.攻撃者はホームオフィスを新たな犯罪拠点に

予測される脅威

まずはじめに挙げられているのが「テレワーク環境は攻撃者に狙われやすい」という脅威です。コロナウイルスによってテレワークが一般的となった2020年においても多くの被害が出ましたが、2021年もテレワークが普及すると想定されているので、引き続き注意しなければいけない脅威の一つです。

対策

テレワーク環境における脅威への対策として、企業は詳細なセキュリティ方針を整備することが挙げられます。ISMS認証を取得している組織であれば、既に策定された方針があると思います。今一度、テレワーク環境のセキュリティについての方針が規定されているのかを確認しましょう。また、その方針に基づいた具体的なルールの作成を検討することで、従業員によるオフィスとテレワーク環境間のデータのやり取りを適切に保護し、テレワーク環境がサイバー犯罪の攻撃経路になることを防ぐことができます。

方針・ルールの見直しができた後は、従業員へしっかり周知徹底しましょう。ルールには、ネットワークルータやIoT機器、VPN使用時の注意点などを含めることが望ましいです。

また、VLAN(Virtual Aria Network)を利用してテレワーク環境から社内ネットワークに接続できる専用の領域を作るなど技術的対策も有効です。

2.テレワークの導入によって企業はハイブリット環境と持続困難なセキュリティアーキテクチャに直面

予測される脅威

次もテレワークの普及によって増加した脅威です。タイトルは長くて分かりづらいですが、要約すると「業務と私生活が混在するときの課題」です。前項で説明した「同じネットワークを端末(業務/私物)を使うことによる脅威」に対して、「同じ端末で2種類の情報(業務情報/私的な情報)を使うことによる脅威」となります。

業務情報と私的な情報を同一のデバイスで管理することは、誤送信、情報漏えいなどの情報セキュリティリスクだけでなく、以下のようなプライバシーリスクも存在します。

  • 業務デバイスが感染した場合、従業員の私的な情報はクリーンアップ(不要なファイルの削除)の対象とするのか?
  • MDMではどこまでのログ情報を取得するのか?
  • 自宅で印刷やエクスポートされた情報はどのように追跡するのか?

2021ではテレワークが引き続き普及することが想定されるため、企業側はテレワーク実施者の管理を徹底しなければいけません。しかし、上記のような課題から、適切な管理体制が構築・運用できずに、テレワークにおけるセキュリティリスクを野放しにしてしまうことは、企業にとって脅威と言えます。

対策

近年注目されている「ゼロトラストモデル」を導入することが一つの対策となります。「ゼロトラストモデル」とは境界型セキュリティ対策ではなく、ネットワークの内外すべてにおいて暗黙の信頼を排除する考え方です。一例としては、従業員のPC作業ログのすべてを取得することなどが当たります。また、「最小権限の原則」を考慮することも重要です。必要最低限の情報にだけアクセスできるように権限管理することで、誰が、どの情報にアクセスできるかを明確にすることができます。

上記の対策を実現するための手法として、クラウドへの移行が加速しています。クラウドを利用することで業務情報のやり取りに関するログを可視化することができます。さらに、詳細な権限設定をすることができるクラウドであれば「最小権限の原則」を実現することが可能です。

しかし、クラウドを利用することが組織にとって最適解とは限りません。ISMSの構築時には、組織にあったルールづくりをすることが大切です。例えば、オンプレミスかつテレワークを実施しない方針の会社にとっては、クラウドは必要のないものかもしれません。逆にセキュリティリスクを増大させる容認になる可能性もあります。

つまり、「同じ端末で業務情報都市的な情報を扱うときの脅威」の対策にも、やはり、企業で明確な方針・ルールを作成して、従業員が周知徹底することが大切です。

まとめ

「2021年セキュリティ脅威予測」における脅威を2つ取り上げて紹介しました。2020年は世界的パンデミックの影響が非常に大きく、テレワークに関する脅威への対策が必要とされました。2021年現在もパンデミックは引き続き大きな影響を与えており、今後もテレワークに関する脅威への対応が重要と言えます。

「2021年セキュリティ脅威予測」で紹介されているその他の脅威に関しては別記事で紹介していく予定です。どうぞ引き続きご覧ください。

参考

トレンドマイクロ「2021年セキュリティ脅威予測」:https://resources.trendmicro.com/jp-docdownload-form-m298-web-prediction2021.html

「2021年セキュリティ脅威予測」を読んで①

2020年は、新型コロナウイルスの影響でテレワークが当たり前になり、企業が取るべきセキュリティ対策も大きく変化しました。

境界型セキュリティ(ファイアウォールなどのセキュリティ措置を施すことで、社内と社外の接点で侵入を防ぎ、”社内”の安全性を保つという発想のセキュリティ対策)やVPN接続による脆弱性は、これまでもセキュリティ面での指摘があったものの軽視されてきました。今回のパンデミックによって、これらの問題が大きく壁となったことは明らかです。

企業が今後もサイバー攻撃の脅威に対処するためには、できる範囲で脅威を予測して、予防法や対処法を準備しておくことが大切です。

今回は、トレンドマイクロが公開している「2021年セキュリティ脅威予測」から、今後のセキュリティ脅威を読み解いて、ISMSの取り組みの中でどのような対策ができるのかを考えていきたいと思います。

1.攻撃者はホームオフィスを新たな犯罪拠点に

予測される脅威

まずはじめに挙げられているのが「テレワーク環境は攻撃者に狙われやすい」という脅威です。コロナウイルスによってテレワークが一般的となった2020年においても多くの被害が出ましたが、2021年もテレワークが普及すると想定されているので、引き続き注意しなければいけない脅威の一つです。

対策

テレワーク環境における脅威への対策として、企業は詳細なセキュリティ方針を整備することが挙げられます。ISMS認証を取得している組織であれば、既に策定された方針があると思います。今一度、テレワーク環境のセキュリティについての方針が規定されているのかを確認しましょう。また、その方針に基づいた具体的なルールの作成を検討することで、従業員によるオフィスとテレワーク環境間のデータのやり取りを適切に保護し、テレワーク環境がサイバー犯罪の攻撃経路になることを防ぐことができます。

方針・ルールの見直しができた後は、従業員へしっかり周知徹底しましょう。ルールには、ネットワークルータやIoT機器、VPN使用時の注意点などを含めることが望ましいです。

また、VLAN(Virtual Aria Network)を利用してテレワーク環境から社内ネットワークに接続できる専用の領域を作るなど技術的対策も有効です。

2.テレワークの導入によって企業はハイブリット環境と持続困難なセキュリティアーキテクチャに直面

予測される脅威

次もテレワークの普及によって増加した脅威です。タイトルは長くて分かりづらいですが、要約すると「業務と私生活が混在するときの課題」です。前項で説明した「同じネットワークを端末(業務/私物)を使うことによる脅威」に対して、「同じ端末で2種類の情報(業務情報/私的な情報)を使うことによる脅威」となります。

業務情報と私的な情報を同一のデバイスで管理することは、誤送信、情報漏えいなどの情報セキュリティリスクだけでなく、以下のようなプライバシーリスクも存在します。

  • 業務デバイスが感染した場合、従業員の私的な情報はクリーンアップ(不要なファイルの削除)の対象とするのか?
  • MDMではどこまでのログ情報を取得するのか?
  • 自宅で印刷やエクスポートされた情報はどのように追跡するのか?

2021ではテレワークが引き続き普及することが想定されるため、企業側はテレワーク実施者の管理を徹底しなければいけません。しかし、上記のような課題から、適切な管理体制が構築・運用できずに、テレワークにおけるセキュリティリスクを野放しにしてしまうことは、企業にとって脅威と言えます。

対策

近年注目されている「ゼロトラストモデル」を導入することが一つの対策となります。「ゼロトラストモデル」とは境界型セキュリティ対策ではなく、ネットワークの内外すべてにおいて暗黙の信頼を排除する考え方です。一例としては、従業員のPC作業ログのすべてを取得することなどが当たります。また、「最小権限の原則」を考慮することも重要です。必要最低限の情報にだけアクセスできるように権限管理することで、誰が、どの情報にアクセスできるかを明確にすることができます。

上記の対策を実現するための手法として、クラウドへの移行が加速しています。クラウドを利用することで業務情報のやり取りに関するログを可視化することができます。さらに、詳細な権限設定をすることができるクラウドであれば「最小権限の原則」を実現することが可能です。

しかし、クラウドを利用することが組織にとって最適解とは限りません。ISMSの構築時には、組織にあったルールづくりをすることが大切です。例えば、オンプレミスかつテレワークを実施しない方針の会社にとっては、クラウドは必要のないものかもしれません。逆にセキュリティリスクを増大させる容認になる可能性もあります。

つまり、「同じ端末で業務情報都市的な情報を扱うときの脅威」の対策にも、やはり、企業で明確な方針・ルールを作成して、従業員が周知徹底することが大切です。

まとめ

「2021年セキュリティ脅威予測」における脅威を2つ取り上げて紹介しました。2020年は世界的パンデミックの影響が非常に大きく、テレワークに関する脅威への対策が必要とされました。2021年現在もパンデミックは引き続き大きな影響を与えており、今後もテレワークに関する脅威への対応が重要と言えます。

「2021年セキュリティ脅威予測」で紹介されているその他の脅威に関しては別記事で紹介していく予定です。どうぞ引き続きご覧ください。

参考

トレンドマイクロ「2021年セキュリティ脅威予測」:https://resources.trendmicro.com/jp-docdownload-form-m298-web-prediction2021.html

Author: 柴田 大輔
  • はてなブックマークに追加
  • ツイートする
  • facebookでシェアする
  • LINEでシェアする