わずか1か月の間に、「通常どおりの働き方」が瞬く間に様相を変えてしまいました。何百万人もの人々がリモートで働き、激変するビジネス優先事項に重点を置くために再配置され、仕事に関する不確実性に向き合っています。ITチームが24時間体制でビジネスを継続させる計画を遂行している中、サイバー攻撃者も急変する環境の弱点を悪用することに血眼になり、電光石火で攻撃を仕掛けています。
テクノロジーリーダーとの定期的な対話を通じて明らかになったこと、それは新たな状況において既知、また新たな脅威に先回りするために、従来から複雑であった作業レベルの難易度がさらに増していることです。この課題に対処するために、世界中の組織のCIOやCISOは、従業員の安全と生産性を維持できる最善の方法を探し求めています。組織が「新しい常識」を舵取りする中で、重要な人員、プロセス、技術の側面全体にわたって、セキュリティリーダーにとって重要な優先事項として、3つの基本的な領域が明らかになっています。
人々の安全確保
リモートワークは、現状において必要不可欠になる以前から、すでに注目を集めていました。この動向は、これまでにリモートワークに縁のなかった政府、金融、教育機関など、多種の業界にわたって拡大しています。現在、以前とはまったく異なる働き方が余儀なくされていますが、それだけに留まりません。子供たちの「家庭学習」、高齢の親の介護、刻々と変わっていく最新情報のネット検索、食料品の配達の予約をしなければなりません。攻撃者は、言うまでもなく、あらゆることが考慮された後にようやくセキュリティが見直されると見込んでいます。攻撃者は、この混乱と無防備につけこんで、フィッシング詐欺、ランサムウェア、ソーシャルエンジニアリング攻撃の波状攻撃を仕掛け始めています。サイバー攻撃の中には、たとえばIT部門からの偽メールでセットアッププロセスの一部としてリンクをクリックするように求めるなど、あたかも仕事関連のようにみせかけるものもあります。また、感情に訴える「崇高な目的」を呼び掛けて支援を求めたり、政府の支援金や金融機関からの有利な投資などを持ちかけるフッキングで罠がかけられる場合もあります。
デバイスおよびアプリケーションの保護
ITチームには、在宅勤務者の急増に備えて準備を整える時間がほとんどありません。一部の従業員は会社のコンピュータを自宅に持ち帰り、そうでない場合は自前で作業環境を立ち上げている人たちもいます。このように、個人のデバイスが新たに使用されることが急増しているため、特にBYOD(私物デバイスの業務利用)ポリシーを未導入の組織では、多くの新たな課題が生じています。接続が早急に必要な場合、設定ミスが多発します。また新しいデバイスを工場出荷時の(セキュアではない)初期設定のまま使用すると、企業がリスクにさらされる可能性が高まります。攻撃者は、このような状況を抜け目なく探し出し、企業ITへ侵入する足がかりを狙っています。
さらに、人と人がつながるためにメッセージサービスや電話会議アプリケーションへの依存度がこれまで以上に増している中、これらのシステムの脆弱性も攻撃者によって悪用されています。「Zoombombing(会議乗っ取り)」で招待されていない参加者がZoom会議に割り込んで混乱を招いたり、悪意のある詐欺集団は、Webブラウザに組み込まれたアプリケーションの認証情報を標的にして、一般的なWebベースのアプリケーションを侵害しようとしています。
接続およびアクセスの保護
CNBCの調査によると、このような事態に備えたシステムのストレステストを未実施の組織が53%に上ります。何十万もの従業員がVPN(バーチャルプライベートネットワーク)を使用してデータを送受信している多くの組織が、セキュリティと可用性の両面で課題に直面しています。また、従業員が自宅のWiFiネットワークを使用してVPNにログインしていることが、この事態をさらに悪化させています。家庭内の複数人がリモートで仕事をしたり学習している場合、セキュリティ保護や監視がないがしろにされ、容量オーバーになることも多々あります。攻撃者は、マルウェアを家庭用のWiFiルーターにたやすく感染させることができます。つまり、テレビやスマート家電から携帯電話やコンピュータに至るまで、家庭内の接続デバイスはすべて脆弱であり、脅威にさらされるといえます。
サーバーやシステムへのアクセスが従業員に対して一律に提供されているわけではありません。各自の業務を遂行するためにaccess to sensitive information and data機密情報やデータへアクセスする必要があるユーザーも大勢います。特権アクセスを必要とするユーザーには、重要なシステムへのアクセスを必要とするIT管理者だけでなく、クラウドコンソール、RPAコンソール、オーケストレーションツールへアクセスする必要がある財務部や法務部の従業員もおり、特権ユーザーは増え続けています。
特権ユーザの定義が急速に拡大するにつれ、セキュリティチームは、リモートからのユーザーのアクセスの時間帯および所要時間などの可視性を保つことに苦労しています。一方、多くの組織は、人手が足りなくなる可能性のある部門をカバーするために、責任をシフトし、従業員の再配置を行い、様々な業務を行っています。この中には、これまで以上に高度な権限が与えられている従業員もいます。また認証情報の自動プロビジョニングやプロビジョニング解除など、必要なセキュリティポリシーが適切に設定されていないことが多々あります。このような状況は、攻撃者にとって重要な内部ユーザーに通常付与されるアクセス権を悪用しやすくなるため、すべてのインフラストラクチャの制御を奪取する攻撃が企てられて実行される可能性があります。
CISO(最高情報セキュリティ責任者)が現在直面しているセキュリティ上の課題は、新しいものではありませんが、かつてないほど緊急かつ深刻です。この「新しい常識」は通常、一過的なものと説明されていますが、現状が収束されてからも、長く継続される可能性が高いといえます。従業員は、これまで経験のなかった在宅勤務に慣れてくると、リモートワークが生活にもたらすメリットやバランスのとれた働き方を享受できるに違いありません。同様に、雇用主は、業務効率、生産性の向上、従業員の能力強化の機会を実現して、リモートワークの範囲をさらに拡張または奨励することもできます。
今後どのような状況になったとしても、今日組織が取る行動は、私たちの将来を形作ります。警戒を怠らずに、強力なサイバーセキュリティ対策を維持することが第一歩です。そして人、プロセス、テクノロジー全体にわたって、リスクに対するアプローチ手段を再考することで、長期戦に備えた計画に着手できます。