メディア

コロナ禍で見えたセキュリティの限界 崩壊した従来の信頼モデルとは?

マイクロソフトはCOVID-19流行以後のセキュリティの変化に関する調査結果を公表し、それについての見解を発表した。コロナ禍で崩壊した従来型の信頼モデルと、今後考えるべきセキュリティの在り方とは。

» 2020年09月04日 17時10分 公開
[キーマンズネット]

 マイクロソフトは2020年9月4日、新型コロナウイルス感染症(COVID-19)流行後、サイバーセキュリティの状況の変化について調査した結果と同社の見解を公表(米国時間同年8月19日に公開されたブログの抄訳)した。調査は、米国と英国、インド、ドイツの従業員500人以上の企業に勤務するビジネスリーダー約800人を対象としたものだ。

 調査の結果、多数の企業がいまだにフィッシング詐欺の被害を受けていることやCOVID-19への対応でセキュリティ予算とセキュリティ担当者の雇用が増加していること、「ゼロトラスト」という考え方に基づいたクラウドベースの技術およびアーキテクチャが今後の重要な投資分野となることなどが分かった。

コロナが進めた「2カ月で2年分のDX」、セキュリティへの影響は?

COVID-19がセキュリティにどう影響したのか(日本マイクロソフト「データで見る:COVID-19でサイバーセキュリティのデジタルトランスフォーメーションが加速」より引用)

 COVID-19の影響で、世界的にテレワークの活用が進められ、サイバーセキュリティの重要性はさらに高まっている。Microsoftのサティア・ナデラCEOが2020年4月、自社のクラウドビジネスの第1四半期の売上高が前年比39%増の133億ドルに達したことを受け、「この2カ月でおよそ2年分のDX(デジタルトランスフォーメーション)が起きた」とコメントしたことも記憶に新しい。

テレワーク移行で崩壊した従来の信頼モデル

 同調査にセキュリティ責任者が最優先課題として挙げたのは、「リソースとアプリ、データへの安全なリモートアクセス」だという。

 これまで、少なくない企業が採用していたセキュリティの信頼モデルは、企業の管理デバイスと建物への物理アクセス、一部の基幹業務システムやアプリにのみ限定的なリモートアクセスを許可するといった方法だった。

あなたは大丈夫? “認証”の限界と新たに生まれたセキュリティ被害

COVID-19以後投資が加速したセキュリティ関連技術上位5選(日本マイクロソフト「データで見る:COVID-19でサイバーセキュリティのデジタルトランスフォーメーションが加速」より引用)

 しかし、COVID-19による影響でオフィスへの物理的なアクセスが不可能となったことで、従来型の信頼モデルの限界は早期に露呈した。コロナ禍でのパラダイムシフトは、信頼モデルを崩壊させただけではない。Microsoftでセキュリティ担当ゼネラルマネジャーを務めるアンドリュー・コンウェイ(Andrew Conway)氏によると、新たなセキュリティリスクも引き起こしているという。

 同調査結果から最も深刻なセキュリティリスクとされたのが、ユーザー名とパスワードを用いる基本的な認証方法についてだ。これは、同調査でCOVID-19において最も投資したセキュリティ分野に関する質問でも「多要素認証」がトップに挙げられたことからも明らかとなっている。多要素認証は、アイデンティティー攻撃から組織を守るために基本的かつ効果的な対策でもある。

 さらに、他の観点からもCOVID-19に伴うセキュリティリスクは増大している。同調査で、コロナ禍以前から策を講じていたセキュリティ投資の中で最も効果的だったものは「フィッシング対策技術」だったという。

 マイクロソフト脅威インテリジェンスチームによると、2020年3月上旬、COVID-19に便乗した攻撃が急増。サイバー犯罪者がCOVID-19関連の話題を既知の詐欺やマルウェアの疑似餌となるルアーにして攻撃を仕掛けていた。国内でも、厚労省を装って「マスクの配布」をうたったなりすましメールが流通していたことは記憶に新しい。

 調査に対しビジネスリーダーたちは「同時期のセキュリティ最大のリスクはフィッシングの脅威だった」と振り返り、90%がフィッシング攻撃によって組織に影響があったと回答しているという。さらに、回答者の28%がフィッシング行為にユーザーが引っ掛かってしまったケースもあったと認めている。リソースの多くがクラウドベースではなくオンプレミス環境に配置されている企業の場合、フィッシング攻撃の成功率は36%にものぼり、クラウドベースの企業よりも大幅に高い値となっているという。

コロナでセキュリティの予算や人員配置はどう変化したか

 先述のように、企業が既存のシステムを拡張して多要素認証などの新機能を導入したり、戦略としてゼロトラストセキュリティを掲げたりしていることで、テレワーク環境におけるセキュリティの役割は2020年のセキュリティ予算と人材配置に直接的な影響を与えている。

 調査では、COVID-19による影響に対処するためセキュリティ(58%)とコンプライアンス(65%)に関連する予算を増額したと回答している。また、同時に、81%がセキュリティコスト全体の削減を迫られるプレッシャーを感じているという。リソースのほとんどをオンプレミスで用している企業のリーダーほどコスト削減の重圧を感じている割合は高い。

 ビジネスリーダーたちは、短期的に費用を抑えようと、統合型の脅威対策を改善することで、コストのかかるセキュリティ侵害のリスクを減らしたり、ユーザー向けのセルフヘルプオプションを備えたセキュリティサービスを導入したりといった工夫を凝らしている。

 長期的に見ると、40%近くの企業が「CASB(Cloud Access Security Broker)」といったクラウドセキュリティ技術への投資を優先し、次点にデータおよび情報セキュリティ(28%)、フィッシング対策ツール(26%)を重視している。

5つの要点、長期的なサイバーセキュリティの在り方とは

 COVID-19は長期的な視点でセキュリティにどのような変化をもたらすのか。コンウェイ氏は次の5点を挙げている。

  • テレワーカーにとって、ユーザー目線のセキュリティ対策はデジタルエンパシー(共感)の基盤となる
  • ゼロトラストの考え方は大前提に
  • 多様なデータセットが、より優れた脅威インテリジェンスに
  • サイバーレジリエンスは業務運営の基本
  • クラウド利用はセキュリティに不可欠

 コンウェイ氏は次のように総括する。「テクノロジーだけで、企業や従業員の大部分を占めるテレワーカーが直面している脅威やニーズに対応することはできない。80%以上の企業がCOVID-19に対応するセキュリティ担当者を増員しており、セキュリティの専門知識を持つ人材は今や貴重な戦力となりました。これらの調査結果は、自社が顧客と共有し実装を支援するために日夜取り組んできたベストプラクティスの多くと相通じるものです。いずれにしても、コロナ禍がサイバーセキュリティのDXを加速させていることは明らかです」。

Copyright © ITmedia, Inc. All Rights Reserved.

会員登録(無料)

製品カタログや技術資料、導入事例など、IT導入の課題解決に役立つ資料を簡単に入手できます。