· 

2022年、ITを俯瞰する その1 ~セキュリティ対策を考察する~

松田 幸裕 記


1月に入ってから、新型コロナウイルス感染者数が急激に増加しています。オミクロン株の実効再生産数はデルタ株の約4倍という情報があります。さらに潜伏期間が短いということは、自身が感染してから人にうつすまでの間隔も短縮されるため、このような急激な増加率になるのでしょう。

東京都は、都内の病床使用率が20%になった段階でまん延防止等重点措置の適用を、50%になった段階で緊急事態宣言の発出を国へ要請するという話をしています。しかし皆さんも覚えていると思いますが、昨年7月に東京都で緊急事態宣言が発出された時は、まったく効果が見られませんでした。まん延防止等重点措置や緊急事態宣言で具体的に何をどうするのかが気になるところですね。

本題に入ります。新たな年を迎えたこともあり、一旦立ち止まって「今、ITで何が起きているのか?」を俯瞰してみたいと思います。本投稿では、セキュリティ対策について考えてみたいと思います。

セキュリティ対策でやるべきことを挙げていくと、「あれもやらなきゃ」、「これもやらなきゃ」ときりがありませんよね。お金をいくらかけても足りません。セキュリティの脅威動向を大枠として理解し、全体を薄くでも対策しつつ重要なポイントには対策を厚くする、という形が現実的だと思います。ここではいくつかにポイントを絞って対策を考察してみたいと思います。

マルウェア

マルウェアによる攻撃は、今も昔も変わらず活発に行われています。最近では身代金を要求するランサムウェアも猛威を振るっていて、脅威が増大しています。今までは多くの企業がEPP(Endpoint Protection Platform)と呼ばれるアンチウィルス製品のみを使用してエンドポイントのセキュリティ対策を行ってきましたが、最近はEDR(Endpoint Detection and Response)の導入を検討し、感染してしまった後の対策も強化する企業が増えています。

ただ、EDRなど高度なセキュリティ対策製品を導入している企業でも、利用しているソフトウェアの脆弱性管理は不十分である場合が多いように思います。Windowsの更新プログラムは適切に行われていても、Office、Adobe、Javaなど各種ソフトウェアの脆弱性管理が十分に行われていない企業は多いのではないでしょうか。適切な権限管理、適切な脆弱性管理など基本的な対策がされている環境は、攻撃側としては非常に攻撃しづらい環境であるため、基本的な対策に今一度目を向けてみることをお勧めしたいです。

フィッシング

フィッシングも企業として無視できない大きな脅威です。フィッシングによってユーザ名やパスワード、クレジットカード情報などを盗まれると、さらなる情報漏洩、金銭的な被害などにつながります。基本的には「人を騙す」という性質を持つため、対策としては「騙されないようにする」ということになり、社員への教育や標的型攻撃メール訓練などが適宜実施されています。しかし、社員の皆さんは常日頃セキュリティ脅威を意識しているわけではないため、訓練などで「騙されてメールのリンクをクリックしてしまった」という人の割合はなかなか減少しないのが実情です。「騙されない」という状況を作り出すのは簡単ではないため、高度なフィッシング対策ツールを導入し、メールに記載されているリンクが怪しいものでないかをチェックしてくれるような仕組みも活用されています。

フィッシングによる脅威が増大している今、これらの対策は講じていかなければならないですが、同時に「ユーザー名とパスワードが盗まれても被害にあわない」という状況を作り出すことも重要です。パスワードの限界が囁かれている今、ユーザー名とパスワードに加えもう一つの要素が無ければ接続できないようにする「多要素認証」は必須だと思います。フィッシングは対策しづらい脅威であるため、このような「フィッシングで情報が盗まれても、被害を最小化できる」という対策が有効と思います。

コロナ禍の隙を突いた攻撃

ここ1~2年は、コロナ禍での働き方に対応するために、慌ててリモートアクセス環境を構築したりという動きも各企業であると思います。どこかのタイミングで、コロナ禍で慌てて導入したIT環境を見直す必要があるのではないでしょうか。導入したネットワーク機器の脆弱性管理、自宅に持ち帰るPCにまつわるセキュリティ脅威など、改めて見直してみることをお勧めします。

セキュリティ人材

セキュリティ脅威から少し視点を変えて、セキュリティ人材の話をしたいと思います。特に日本ではセキュリティ人材が大幅に不足していると言われています。各企業にてセキュリティ人材の争奪戦が行われていますが、「セキュリティ部署の人材」はいるものの、本当の意味での「セキュリティ人材」は少ないのが実情ではないでしょうか。

セキュリティは全体を俯瞰して検討および判断をしていかなければ、効果的な対策にはなりません。「鎧をまとい、ガチガチにガードしているように見えて、実は後ろから見るとお尻が見えている人」のような状況も、企業のセキュリティ対策としてはよくある姿かと思います。しかし全体を俯瞰して物事を考えられるセキュリティ人材は、そう簡単には育成できません。

セキュリティ人材については、以前の投稿「JUAS 企業IT動向調査報告書2021から今を読む その2」でも触れていますので、そちらもぜひご覧ください。

高度な知識を持つセキュリティ人材がいなくても、「絶対に守りたい情報は?」、「それらにまつわるセキュリティリスク、そしてその大きさは?」、「現状はそれらのリスク対策は十分か?」などを整理していくことは可能です。上記のようなリスクを頭に置き、改めて整理してみることをお勧めします。