Forbes BrandVoice!! とは BrandVoiceは、企業や団体のコンテンツマーケティングを行うForbes JAPANの企画広告です。

2020.12.03 11:00

先行きが不透明な時代に、“その先”を見据えてITセキュリティを強化する方法

変化に対するマネージメントを成功させている企業は、主要なセキュリティ対策を倍増させています。

逆境の中で組織を守る最善の方法は、リモートアクセス、新たな脅威のモニタリング、データ損失の防止など、最も重要な分野に焦点を当てることです。(本記事は米国版Forbesに掲載された、Google CloudのBrandVoiceコンテンツを転載したものです)


COVID-19(新型コロナウイルス感染症)の感染拡大で、企業は新たな課題に直面しています。言うまでもなく、多くの企業がこれまでの仕事のやり方を見直し、今後の進め方について再考しています。実際、Fugueが最近実施したクラウド・セキュリティの状況調査によると、調査対象となった企業の83%が、完全な分散型チームへの移行をすすめています。こうした動きがある一方で、84%の企業が移行中のクラウドに対してセキュリティ面での懸念を示しており、特に大規模なクラウドデータ侵害に対する脆弱性を懸念している企業は92%にのぼりました。

歴史的に見て、オリンピックから自然災害に至るまで、大きなイベントがあると詐欺などの日和見的な攻撃を行う悪意ある人物が大量に出現します。COVID-19でも同じことが起こっています(参考記事)。心躍るイベントであろうと恐ろしい出来事であろうと、気を散らすような出来事は、悪意を持つ攻撃者にセキュリティ防御を回避する隙を与えてしまいます。このような新たな課題に対処するために、組織は、どのように適切な戦略を考えれば良いのでしょうか。

変化は困難だが必要


増大する脅威に対処するために、大規模なセキュリティの見直しを始めたくなるかもしれませんが、ほとんどの企業にとって、根本的な変更は「今、すべきこと」ではありません。端的に言えば、先行きが不透明なときにシステムやプロセスに抜本的な変更を加えることは不可能なのです。大規模な変更は、悪意ある攻撃者が悪用できる新しい脆弱性を生むリスクがあります。変更の影響を明確に理解し、あるいは特定できていないうちに、性急に変更を実装した場合、そのリスクは特に大きくなります。

逆に、システムやプロセスの変更を上手に管理できている企業は、こうした時に、主要なセキュリティ戦略を強化し、他のことには手を出しません。世の中で何が変化したのか、業務にどのように影響するのかを見極め、その変化に対応するための管理体制や機能に優先順位をつけます。

従業員が働けなければ、会社は運営できない


この危機下において、多くの組織にとって根本的かつ多くの労力を伴う変化となったのが、これまで5%~10%程度だったリモートワークが突如100%となり、組織全体がリモートチームへと変わったことです。多くの場合、この状況の対処に必要なシステムが整っていません。

たとえばコールセンター全体にフルタイムで働く契約社員を配置し、デスクトップ型ワークステーションで企業内ネットワーク上の社内アプリにアクセスさせていたとします。このコールセンターには外注のソフトウェア・テストを担当する技術者もいて、クライアントのコードへのアクセスには、従業員専用マシンとネットワークのみを使用していたとします。

それが完全なリモートワークとなった今、こうした契約社員は何もできないため、コールセンターは顧客に対応できず、新しいコードもテストできません。業務は停止します。まさにこの数か月で多くの組織が陥った状況です。

ここでの教訓は、従業員が出社できない場合でも仕事を続けられるような、レジリエントな方法が必要だということです


こういったケースで重要となるセキュリティ対策は、従業員が仕事を継続できるように、従業員に主要なアプリケーションへのアクセスを許可することです。簡単に聞こえますが、実際にやってみると、多くの人にとっては非常に困難です。前例のないこの時期において、仮想プライベートネットワーク(VPN)などの従来のソリューションはうまく機能していません。従業員のパソコンに必要なVPNソフトウェアをインストールするのに苦労しているためです。VPNソリューションの大規模なプロバイダでさえ、何万人もの新しいVPNユーザーを受け入れ動作させるという難題に直面しています(参考記事)。

ここでの教訓は、従業員が出社できない場合でも仕事を続けられるような、レジリエントな方法が必要だということです。たとえばGoogleでは、ほぼ10年前から、10万人以上の従業員でも簡単にスケールできる「ゼロトラスト」アプローチを使用しています。この方法が非常にうまくいっているため、これをベースにBeyondCorpリモートアクセスを開発しました。BeyondCorpは、従業員や外部パートナーが従来のリモートアクセスVPNを使用せずに、どこからでも、ほぼすべてのデバイスから、社内のウェブアプリにアクセスできるようにするクラウド・ソリューションです。詳細はこちらからご覧いただけます。ぜひご利用ください。

リモートワークにより個人と会社の境界が曖昧になる


この数か月、自宅にこもるようになった従業員が、仕事の時間とプライベートな時間のバランスを取るのに苦労しているという話も多く聞かれました。初めてのリモートワーク経験の中、集中できない、仕事を終了するタイミングがわからないなどの問題が生じています。

この「線引きが曖昧になる」という状況には、セキュリティの問題もあります。一般的なセキュリティ管理では、従業員が個人的な利用(プライベートなメールのチェック、ネットサーフィン、SNSへのアクセスなど)と、仕事での利用(給与システム、デベロッパー・ポータル、企業ネットワークへのログインなど)に、同じマシンやアカウントを使用することを禁止しています。チャットルームを訪れたときにパスワードを盗み出すウィルスに感染した従業員が、コーポレートデザイン・システムにログインするような状況を避けようとするのは当然でしょう。


一般的なセキュリティ管理では、従業員が個人利用と業務利用で同じパソコンやアカウントを使用することを禁止しています。全員が自宅で仕事をしている状況下において、この使い分けを強制するのは難しくなっています。

従業員が職場では業務用のワークステーションを使用し、自宅では個人のパソコンを使用しているならば、こうしたセキュリティ管理は簡単です。しかし、全員が在宅で、たいていは1台のパソコンで仕事をしているというような場合、難しくなります。

例えば財務アナリストの場合、午前中は四半期末の締切を処理し、昼食を取ってネットサーフィンをしてから、企業の財務システムに戻るというようなことがあるでしょう。このアナリストが、ネットサーフィン中に気付かないでマルウェアをダウンロードしてしまうと、攻撃者はリモートでネットワークにアクセスし、財務情報をすばやく入手できてしまう可能性があります。他の機密データも、さらに入手できるようになるでしょう。想定外のリモートワーカーによって、企業ネットワークが侵入を受けるかもしれない脅威が増大するのです。

ここでの教訓は2つあります。1つ目は、すべての従業員のパソコンに、ウィルス対策ソフトウェアや2要素認証などの効果的なセキュリティ技術を導入し、常に最新のアップデートを行い、フィッシングやマルウェアなどの脅威を阻止できるようにすることです。

2つ目、さらに重要なことは、セキュリティ・モニタリングを十分に機能させ、従業員のパソコンが、他の誰もアクセスしたことのない怪しげなドメインに接続しているなどの異常な動作を検出できるようにすることです。現在では、従業員のパソコンのセキュリティ強化、新たな脅威の検出、異常な動きのモニタリングを行える技術が存在します(Googleのサービス紹介ページ)。デプロイが簡単で、以前の技術よりもはるかに効果的です。

また、人的な要因を考慮する際には、人為的ミスは多くの場合、外部の悪意と同じくらいの脅威であることを忘れないでください。英国プライバシー監視機関(ICO)のデータに対するCybSafeの分析によると、英国で2019年に発生したサイバーデータ侵害の90%が人為的ミスを原因とするものでした。しかもこれは英国がCOVID-19の影響を受ける前の調査結果です。だからこそ、従業員が常に潜在的な脅威に対して警戒心を持ち続けることが、ITのデータ保護に最も役立ちます。

この状況がいつまで続くのか、ましてその後にどのような世界が待ち受けているのかは、誰にもわかりませんが、効果的なサイバーセキュリティの必要性が今後も変わらないことは確かです。幸い、多くの組織は、ゼロトラストやセキュリティ・モニタリングの強化など、先行きが不透明な時でも自社チームが安全かつ効果的に働けるようにする方策をとり、成功を収めています。



Google Cloud BrandVoice Paid program ー さあ、クラウドで解決しよう ー
https://forbesjapan.com/feat/googlecloud/

Promoted by Google Cloud / Text by Rick Caccia