増加するアタックサーフェスの保護 : 新常識の世界でのサイバーセキュリティの将来

リモートワークモデルの導入とビジネスクリティカルな機能のクラウドへの移行により、非常に多くの企業がより高いリスクにさらされている状況が新たな調査によって明らかになりました。

これから 18 か月間、世界中のサイバーセキュリティ企業は、今までにない形で対応力を試される時期に突入します。

COVID-19 のパンデミックに対応するためにリモートワークを可能にするシステムが導入されてアタックサーフェスが細分化されましたが、導入されたシステムは恒久化されつつあり、オフィスと自宅の境界は曖昧さを増しています。一方、SolarWinds や Kaseya の攻撃により、ソフトウェアサプライチェーンの完全性に対する懸念が高まりました。 また、クラウドはもはやオプションではなく、境界のない職場環境で業務上の最重要機能を動かす欠かせないソリューションとなっています。

このような変化はセキュリティリーダーにとって何を意味するのでしょうか? 何を「資産」と考え、「脆弱性」をどう定義するのか、そしてその両者に対する可視性をどのように向上させるのかを、従業員の生産性と安全を確保しながら考え直す機会です。 また、サイバーセキュリティとビジネス慣行の整合が必要なことに新たな重要性を提起しています。

Tenable の委託により Forrester Consulting が新たに実施した調査、境界を超える : 新常識の世界でのサイバーセキュリティの将来は、企業がパンデミック対策として導入した変更によって、企業のリスクレベルが上昇していることを明らかにしています。た。 また調査結果からは、平均的なホームネットワークの時に恐ろしい実態を垣間見ることができます。調査は 426 人のセキュリティリーダー、422 人のビジネス責任者、そして 10 か国からの 479 人のリモートワーカー (週に 3 日以上自宅で働く正規社員) を対象としたオンラインアンケートと、6 人のビジネス責任者とセキュリティ幹部に対して行った詳しい電話インタビューの結果に基づいています。

調査結果によると、リモートワークモデルに移行してビジネスクリティカルな機能をクラウドへと移行した結果、自社がより大きなリスクにさらされるようになったと述べているセキュリティリーダーとビジネスリーダーは 80% に上ります。 リモートワーク用ツールやクラウドツールの多くがセキュリティ制御のないまま投入されたのに加え、ツール自体が未完成で、成熟したセキュリティ制御が備わっていないケースもあったものと思われます。

このように急ぎで導入されたシステムにも、移り変わる職場そのものの変化に追従できる機敏さのあるセキュリティを確保できるように、戦略的な再検討が今、必要です。既に 1/4 近く (24%) のビジネスリーダーとセキュリティリーダーが、リモートワークへの移行を恒久的に認めるとしており、そうでないリーダーの 68% も、向こう 2 年以内に正式な業務形態とすると回答しています。

ソフトウェアサプライチェーンの拡大もまた、61% の回答者によってリスクを増加させる要因と見なされています。 必要に迫られて突貫で準備されたソフトウェアの拡張には、堅牢なサードパーティのセキュリティ制御が欠けているケースが多いと考えられます。

その結果、企業には実際に悪影響が生じます。 調査により以下が明らかです。

• 92% の企業が、過去 12 か月間に少なくとも 1 件のビジネスに悪影響のあるサイバー攻撃または侵害を受けた。顧客、従業員、その他の機密データの損失、操業の中止、ランサムウェアによって発生した支払、財務上の損失または窃盗、知的財産の窃盗や損失などの被害があった。

• 回答者の 2/3 以上 (67%) が、攻撃はリモートワーカーを標的としていたと述べている。

• 大多数の企業 (74%) が少なくとも 1 回、COVID-19 のパンデミック対応のために導入したシステムの脆弱性が原因で攻撃されている。

• 3/4 近く (70%) の企業が、3 回以上攻撃の被害を受けている。 


その一方で、ホームネットワークと企業ネットワークの間の境界はなくなりつつあります。 リモートワーカーは単に企業の機密データに自宅からアクセスするだけでなく、頻繁に個人のデバイスを使用してアクセスしています。 調査結果によると、個人のデバイスを使用して顧客データにアクセスしていることを認めているリモートワーカーは半数以上に上ります。 企業支給のデバイスや個人のデバイス、アプライアンス、ウェアラブルデバイス、ゲーム機などを含め、リモートワーカー平均で 8 個のデバイスがホームネットワークに接続されており、平均 3 人の家族が同じホームネットワークにデバイスを接続していることを考えると、セキュリティリーダーは厳しい状況に直面していることが明白です。

単に自宅から接続するのと、企業向けセキュリティ制御のない過負荷状態の汎用ホームネットワークを介して個人のデバイスから接続するのとでは、全く話が違います。

調査結果は、個人用ネットワーク環境で何が起きているかを企業がまったくと言っていいほど可視化できていない状況も明らかにしています。 71% のセキュリティリーダーが、リモートワーカーのホームネットワークに対する高い、または完全な可視性を得られていないと回答しており、64% は従業員の個人デバイスに対しても同様であると答えています。 従業員のプライバシー尊重の観点から、雇用者は部分的にしかホームネットワークを監視することができないので、業務上不可欠なデータとそのアクセスに使用される資産のセキュリティ保護は、できるだけその付近に設ける必要があります。 一言でいえば、 デバイスとネットワークを把握できないのであれば、ユーザーのアクセス権を制御する必要があるということです。

これは非常に困難な課題に思えるかもしれませんが、進むべき道は明らかです。 企業は、リスクとは何か考え直し、ソフトウェアの欠陥やデバイスのコンプライアンスの枠にとらわれない形で定義し、動的かつ異種環境を包括した視点に変える必要があります。 また、ユーザーとデータの適応型リスクプロファイルに投資して、Active Directory とクラウドの設定ミスを把握することにより攻撃経路を遮断し、変化する条件や挙動、場所に応じてセキュリティをレベルアップさせる必要もあります。 そして、従来の境界に基づくセキュリティアーキテクチャの限界を詳しく調査し、企業データアクセスのリクエストを、その試行のすべてをデバイスからアプリ、ユーザー、ネットワークまであらゆるレベルで継続的に監視して検証する、より洗練されたオプションを検討する必要があります。 これは、一部の企業にとっては自社のサイバー衛生と脆弱性管理プラクティスの見直しになり、また別の企業にとってはリスクベースの脆弱性管理と Active Directory の継続的監視に移行する、効果的な攻撃経路遮断戦略を実現する機会となるかもしれません。そして最も進んだ企業にとっては、ゼロトラストへの道のりの第一歩となるかもしれません。

どのルートを選んだとしても、新常識の世界で機密データを保護する新たな方法を見つけ出すためには、ビジネスリーダーとセキュリティリーダーが連携する必要があるということを今回の調査結果が明らかにしています。

もっと詳しく

• 調査レポート全文はこちら: 境界を超える: 新常識の世界でのサイバーセキュリティの将来

• インフォグラフィックはこちらから : 境界を超える : 新常識の世界でのリスクを考え直す