「ゼロトラストには飽き飽き」な企業にこそ知ってほしい、脅威と日本企業の実態

ランサムウェア攻撃が激化する中、本当に注意すべき脅威は別にある。調査から明らかになった日本企業のセキュリティの実態とは。

» 2024年03月15日 07時00分 公開
[田渕聖人ITmedia]

この記事は会員限定です。会員登録すると全てご覧いただけます。

 ランサムウェアをはじめとしたサイバー攻撃がセンセーショナルに報道されるようになり、多くの企業でセキュリティ対策の重要性が叫ばれるようになった。

 これに伴い、日本では一時期は「ゼロトラスト」や「SASE(Secure Access Service Edge)」といった言葉がバズワード化していたが、最近は流行が落ち着き、これらのキーワードは少々陳腐化してしまっているような印象も受ける。

 日本以外の国ではこのムーブメントはどのように映っているのか。Cloudflareでアジア太平洋地域(APJC)のゼロトラスト事業を担当するレイモンド・メイサノ氏(Cloudflare Vice President, Head of Sales Zero Trust & SASE APJC)に日本企業のセキュリティ実態とともにこれを聞いた。

ランサムウェアより恐ろしい脅威とは何か?

――まずはAPJCにおけるセキュリティの現状についてお聞かせください。

Cloudflareのレイモンド・メイサノ氏(Cloudflare Vice President, Head of Sales Zero Trust & SASE APJC)

レイモンド・メイサノ氏(以下、メイサノ氏): APJCの企業に勤めるサイバーセキュリティ分野の意思決定者とリーダー合計4000人以上を対象に実施した当社の調査によると、回答者の78%が「この12カ月の間に1回はセキュリティインシデントを経験した」と答えています。そのうち80%が4回以上のセキュリティインシデントに遭遇し、10回以上と答えた回答者も半数に上りました。また、「サイバー攻撃への対策を十分に講じている」と回答した担当者は38%でした。

――今や何らかのセキュリティインシデントに遭うのは前提で対策を講じる必要がありそうですね。日本の調査結果についてはどうでしょうか。

メイサノ氏: 同調査では、日本の回答者の81%が過去12カ月の間に少なくとも1件のセキュリティインシデントを経験し、60%が10件以上のインシデントを経験しています。このような状況にもかかわらず、インシデントを回避するために「十分な対策を講じている」と回答したのは46%にとどまっています。

 日本で最も一般的なセキュリティインシデントは、マルウェア(53%)やビジネスメール詐欺(BEC)(48%)、ランサムウェア・スパイウェア(43%)でした。また、日本で最も多くのセキュリティインシデントを経験した業界は、メディアや電気通信、ビジネスプロフェッショナルサービス、金融サービスでした。ただ現実には、どのような業種であっても基本的には標的にされていると考えた方がいいでしょう。

――セキュリティインシデントの種類についてはAPJC特有の傾向でしょうか。

メイサノ氏: いえ、恐らく世界的な傾向だと思われます。ここで触れておきたいのは、BECによる情報漏えいのコストが世界的に増大していることです。

 サイバー攻撃と聞くと最近は“ランサムウェア”を思い浮かべることが多いですし、実際報道でもセンセーショナルに取り上げられます。しかし本当に恐ろしいのはBECで、電子メールは現在も主要な攻撃ベクトルとなっています。

 この攻撃に対処するのがなぜ難しいかと言うと、電子メール経由の不審なURLや添付ファイルを開かないようにと、従業員教育をどれだけ施してもこれらを開いてしまうケースはどうしても発生してしまうからです。また、偽のWebサイトなどは日に日に巧妙化しており、目視で判断するのは困難です。

――“ランサムウェア”はインパクトがある言葉なので、怖がらせる必要はないのですがメディアではこれを使いがちです。しかし、より危険なのは電子メール経由の攻撃なのかもしれません。

“ゼロトラスト疲れ”が広がる企業に考えてほしいこと

――先ほどの調査結果からサイバー攻撃を事前に防ぐことは困難になってきていると分かりました。「ゼロトラスト」や「SASE」といったキーワードが注目を集めている背景にはこうした事情もあるのでしょうか。

メイサノ氏: おっしゃる通りです。サイバー攻撃者はシステム内部に侵入後、機密データの窃取などに向けて脅威の横展開(ラテラルムーブメント)を実行します。しかし多くの組織ではこの横の動きを阻止する能力に欠けているのが現状です。

 そこで、きめ細かなコントロールによって潜在的な脆弱(ぜいじゃく)性や侵害を隔離し、あらゆる損失を最小限に抑えるゼロトラストやSASEといった考え方、フレームワークが重要になります。当社としては、これらの構築を手助けするソリューションを展開しています。

――ただ最近は“ゼロトラスト”の流行も落ち着いてきた印象を受けます。この傾向は日本以外の国でもみられるものでしょうか。

メイサノ氏: バズワードとして消費された結果、確かに日本以外の国でも一部の企業の間では「ゼロトラスト疲れ」が広がっています。ただ流行が落ち着いたからといって、対策の必要性がなくなったわけではないでしょう。

 極端な話、呼び方はどうでもよく、サイバー攻撃者が使用するツールやテクニックが高度化している以上、ゼロトラストに疲弊していようが、バズワードに飽き飽きしていようが、現実にはセキュリティ態勢を改善し、ビジネスや知的財産、従業員、データを保護することは急務なのです。

 日本企業は米国と比べるとクラウドサービス利用が普及していないので、ゼロトラストセキュリティの構築についても遅れているように思われがちです。しかし私は日本企業が「セキュリティ・バイ・デザイン」の原則に沿って思慮深くこれを進めていると感じます。当社もインターネットを通過する全てのトラフィックを保護するソリューションを提供することでこれを支援したいと考えています。

――本日はありがとうございました。

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ