2015年の新たな課題、セキュリティ・エキスパートが対処すべき脅威：破壊行為がまん延する時代（1/3 ページ）

2015年も新たなセキュリティ上の脅威が出現し、企業や組織の担当者が対応すべき課題は多い。安全なシステムやネットワークを実現するために必要なものとは何か――。

[ジェイソン・ポーター，AT&T]

　情報セキュリティの脅威は進化し続けており、企業はますます攻撃を受けやすくなっています。サイバー犯罪者は、検出が困難な「少しずつ時間をかけた」目立たない脅威によって、脆弱な個人データ、財務データ、企業の知的財産にアクセスするようになり、そうした手口が従来の侵害に取って代わりつつあります。同時に、モバイル向けエンタープライズ・アプリケーションの普及、ビッグデータへの取り組み、「モノのインターネット」（IoT）のデバイスは、サイバー犯罪者が悪意ある攻撃を仕掛ける新たなポイントとなっています。

　この新たな脅威と暴露の傾向は、2015年にあらゆる規模の企業がセキュリティリスクの増加に直面することを意味しています。幸いなことに、セキュリティ技術も発展を続けているため、堅牢なセキュリティポリシーと併せて導入すれば、多面的な防御、早期検出、迅速な対応を通じた保護が可能です。

　2015年に情報セキュリティ責任者が最も注目すべき動向は以下のとおりです。

破壊的なマルウェアが急速に拡大

セキュリティリスクが益々高まる中でどう考えるべきか（画像はイメージです。）

これまで、企業が保護対策を講じなければならないマルウェアは、キーロガーやパスワード窃盗型のトロイの木馬などのクライムウェアが一般的でしたが、最近は新型の破壊的なマルウェアが増えており、サイバーテロと犯罪者グループによるワイパー型の攻撃（破壊を目的とした攻撃）やトロイの木馬型のランサムウェアが野放図に振る舞っている状況です。企業が分散型サービス拒否攻撃（DDoS攻撃）の影響を軽減できるようになるにつれ、ハクティビストもそうした新しい対抗手段を取っています。さらに、破壊的なマルウェアは今やモバイル環境にまで拡大しています。

　このようなタイプの攻撃に備えることが極めて重要です。企業は、悪意のある活動が猛威を振るう前にネットワークのセキュリティと分析によって検出を向上させ、オフラインバックアップでインシデントからの速やかな回復を図っています。

ソフトウェアの脆弱性の影響を受けるクリティカルなシステムが増加

　毎年のことですが、2014年も多くのソフトウェアの脆弱性が発表されました。「Heartbleed」「Shellshock」「POODLE」など、一部の脆弱性はIT業界以外の人々からも注目を集め、今後も増加が予想されます。デバイスメーカーが開発コストを削減する目的で使用するオープンソースコードなど、今日のソフトウェアの大半は多くのシステムやベンダー間で共通して使用されているため、破壊的な脆弱性の可能性が増しています。次に脆弱性が見つかる場所を知る術はありませんが、増加することは明らかです。

　脆弱性が広がると、攻撃にさらされるクリティカルなシステムが増えることになります。パフォーマンスを低下させないように、こうしたシステムにパッチを適用することは、もはや避けられません。従って、今年は企業にとってパッチの適用が新たな優先事項となるでしょう。

BYODの採用が重大なターニングポイントに

「BYOD」（Bring Your Own Device：社員各自が自分のデバイスをビジネスで利用すること）の慣行が普及すると、セキュリティ上のリスクが増します。ユーザーは、自身のデバイスに保存した企業情報や、企業環境内の個人データのプライバシーを適切に保護するための、知識もツールも持ち合わせていません。さらに、1台のデバイスで複数のアカウントをサポートしなければならない場合もあります。例えば、複数の病院に勤務する医師は、組織ごとのデータや個人データを分けて保護する必要があります。

　企業は、データを用途別に分けるためのデバイスレベルのコンテナ、安全なネットワーク接続、クラウドの高度なセキュリティによってセキュリティに対応する階層化アプローチを導入することで、高い安全性を備えたエンド・ツー・エンドの接続を確保できます。管理者は、BYODデバイスに着実にパッチが適用されるよう配慮する必要があります。今こそ、BYODの次の段階である「BYOC」（Bring Your Own Cloud：個人用クラウドの職場への持ち込み）への備えを始める時です。