「できているつもりで、できていない」――コロナ禍であらわになったセキュリティリスクとは?:ITmedia Security Week 2021冬
テレワークの一般化でセキュリティ対策にほころびが生じつつある。セキュリティ担当者は従業員の自宅インフラにまで目を光らせることができない。間隙を突いてサイバー攻撃者たちのトレンドにも変化が生まれた。
2020年、仕事を取り巻く環境で起こった大きな変化と言えばテレワークの普及だろう。新型コロナウイルス対策として発出された緊急事態宣言を機に、在宅で業務できる環境を整備し、クラウドサービスの活用を進める企業が増加した。
宣言解除後もハイブリッドなワークスタイルの一部としてテレワークを活用する企業は少なくないだろう。だが、新たなリスクも浮上している。
テレワーク環境のセキュリティ、どこまで考えているかに疑問が残る
テレワーク環境は、自宅のインターネット回線やスマートフォンのテザリングなどを用いて勤務先のネットワークにVPN接続することが一般的だ。Armorisの鎌田敬介氏(専務CTO)は「ずっと企業の監視の外にいるという状況がリモートワークにおけるネットワークの特徴だ。この状態のセキュリティリスクや脅威について、どれくらい考えられているかは疑問が残る」と述べ、典型的な構成には幾つかの課題があると指摘する。
まず、会社側から見たときに従業員が自宅でどのようなネットワークを使って仕事をしているかが分からないことだ。10年前の無線LANアクセスポイントやファームウェアがアップデートされていないルーターを使い続けていたり、無線LANの設定をデフォルト状態のまま運用していたりする話をよく聞く。同じマンションにある他の部屋の無線LANやBluetoothの接続名が見えてしまうこともある。
次に、自宅で利用される端末の管理方法だ。個人の端末を利用するBYOD方式だけでなく、セキュリティ対策をきちんとしているはずの貸与PCであっても穴があるという。同氏がチェックしてみると、任意のアプリケーションのインストールを禁止しているはずなのに回避する方法が見つかるケースも珍しくないそうだ。
そして、作業中に何かトラブルが起こっても報告や相談がしにくいことも問題として挙げられる。「後でいいや」と放置した結果が大きな問題につながる恐れがある。
鎌田氏は「従業員の自宅で何が起きているかを細かく把握するのも、コントロールするのも非常に難しいことがテレワークの特徴だ」と語る。同氏が見たコロナ以降に発生したインシデントは、「できていると思っていたけれど実はできていなかった」ことが原因となって情報漏えいやランサムウェアに感染することが多い。
「これまでテレワークは絶対やらない、クラウドは絶対使わないと言っていた企業が、コロナ禍で急に方針を転換して使い始めた。設定ミスや間違った使い方によって思ってもみなかったことが起きている。社内ネットワークと同じ感覚でクラウドサービスを使い始めてしまうと、さまざまな問題を引き起こす原因になることもある」(鎌田氏)
全員が幸せになれる万能の対策は存在しない
では、対策はどうすればいいのだろうか。鎌田氏は「この対策をすれば全員が幸せになります」といった万能薬はないとした上で、3つのポイントを挙げた。
関連記事
- 攻撃者だって“コスパ”は大事 サイバーディフェンス研究所の技術トップが攻撃者視点で解説
アイティメディア主催「ITmedia Security Week 2021春」の特別講演で、サイバーディフェンス研究所の富田氏が、攻撃者視点でテレワークにおけるセキュリティ対策を語った。サイバー攻撃が実行に移されるまでの思考を分析してみよう。 - バズワードに惑わされない セキュリティ対策の基本は情報の「収集」と「棚卸し」だ
アイティメディア主催の「ITmedia Security Week 2021春」(2021年3月1〜5日)が開催されました。本稿は、最新の脆弱性情報を取り上げつつ、多数の講演者が語ったセキュリティ対策のポイントを筆者なりに解釈します。 - 阿部恭一×辻 伸弘が語る “CSIRT沼”から抜け出す「両方向の」組織運用
CSIRTの認知度が高まる一方で、企業がCSIRTを『どう運用すればいいのか分からない』というケースは少なくない。企業の中には構築しただけで満足してしまったり、せっかく構築したCSIRTが十分に機能していなかったりするところもある。阿部恭一氏と辻 伸弘氏が、CSIRTを運用する上で重要な「内向き」と「外向き」2つの対応について語った。 - 「ゼロトラストセキュリティ」ってどこから始めればいいの? 最初に押さえたい“基本のき”を解説
近頃セキュリティ業界で流行る言葉と言えば「ゼロトラスト」だ。いろいろな説明が飛び交うが、そこで本当に求められていることとは何なのか。そしてゼロトラストに至る道はどこにあるのか。パロンゴの林達也氏が解説した。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.