“ニューノーマル”時代のセキュリティ新常識（Part 1）

弊社刊「クラウド＆データセンター完全ガイド 2021年冬号」から記事を抜粋してお届けします。「クラウド＆データセンター完全ガイド」は、国内唯一のクラウド／データセンター専門誌です。クラウドサービスやデータセンターの選定・利用に携わる読者に向けて、有用な情報をタイムリーに発信しています。
発売：2020年12月22日
定価：本体2000円＋税

　これまでも、何年も前からDX（デジタルトランスフォーメーション）が課題とされており、多くの企業が「ビジネス／企業活動をデジタル化していく」取り組みを進めていたが、その進捗は、長い歴史のある企業ではどうしてもゆっくりとしたものにならざるを得なかった。これは、これまで永年かけて出来上がっている業務プロセスや企業文化を急に変えることは難しいという普遍的な事情によるものだ。DXもクラウドシフトも、基本的にはフットワークの軽い中小企業や新興企業から取り組みが始まり、徐々に伝統的な大企業に波及していくことになる。

　とはいえ、今年突如として全世界を巻き込む大問題となったコロナ禍は、ゆっくりと進行していた移行プロセスを部分的とはいえ一気に加速した面がある。日本でも首都圏／大都市圏を中心に在宅勤務／テレワークの導入が急速に進んだ結果、ビジネス街の飲食店の売り上げが激減する一方、巣ごもり消費などとも言われるケータリングサービスなどが急成長するなど、ビジネスの潮目が大きく変わった業界も多い。

　また、航空関連や団体旅行を中心に扱っていた旅行代理店や観光地の宿泊など、需要が一気に消滅した業界もある。リモートワークが普及したことで、居住地の選択肢も拡大し、ネットワーク環境さえ整備されていればある程度遠方でも支障はない、と考える人が首都圏を脱出して近郊／地方に移動している例もあるという。首都圏の都市部に膨大な人数が集中していることを前提として成立していたリアルなビジネスも、デジタル化／ネットワーク化に取り組まないと顧客にリーチできない、という状況がさらに加速していると言える。

　同時に、セキュリティの問題も深刻化している。1つには、働く場所が分散したことで、従来のセキュリティ対策の保護範囲外に保護対象となるリソースが出て行ってしまった形になってしまったことだ。従来は、社員が会社のオフィスに集まって仕事をすることが前提で、社外に出る機会が多い外回りの担当者など、必要な社員だけにVPNなどを介したリモート接続環境を提供する体制だったが、コロナ禍ではほぼ全社員が一斉に在宅勤務するような環境に一気に移行せざるを得なくなった。日本国内では2020年4～5月に発令された緊急事態宣言の際には、実質的に出社禁止とされた形なので、「とにかく在宅勤務ができるようにすることが最優先。セキュリティ面は多少不備があったとしても緊急事態として目をつぶる」という対応をした企業も少なからずあったと聞く。

　また、コロナ禍を背景としたサイバー犯罪者の巧妙な攻撃が激化している傾向もあるようだ。コロナ禍をチャンスと見てフィッシングメールなどに取り込んでいる手口も目立つが、もしかしたらコロナ禍で世界経済が大打撃を受ける中で犯罪組織も収益拡大に全力で取り組む必要に迫られているのかもしれない。いずれにしても、巧妙で悪質な攻撃が増加しており、うっかり被害に遭った場合は莫大な経済的損失を被る例が報告されている。

アタックサーフェスの増大

　セキュリティベンダーが使う用語として「アタックサーフェス（Attack Surface）」という言葉がある。単純に言い換えるなら、「攻撃を受ける可能性のある場所」という意味であり、逆に言えば「防御すべき箇所」ということでもある。このアタックサーフェスがコロナ禍における急速なデジタル化の過程で急拡大したことが、サイバー攻撃の激化の理由の1つとして挙げられている。

　従来の企業情報システムでは、企業内ネットワークを外部のインターネット側からの攻撃から保護するために、さまざまなセキュリティソリューションが導入されてきた。ファイアウォールやプロキシサーバといった基本的な防壁に加え、内部に侵入したマルウェアの活動を検知するEDR（Endpoint Detection and Response）と呼ばれる製品も導入が進んでおり、仮に防壁を突破して内部に侵入するマルウェアがあったとしても、それが具体的な被害に繋がるような活動を行なう前に見つけ出すことができるように備えることも一般的になりつつある。

　最新の洗煉された高度な攻撃手法では、こうした何重にも施された防御策をすべて突破するようなものも出てきており、「セキュリティ製品を導入するだけでは重要情報を保護できない」と言われることも増えてきてはいるのだが、そうは言っても実際には最新の製品／テクノロジーで正しく防御していればそうそう簡単に被害に遭うことはない。問題は、最新の製品やソリューションを導入しても使いこなせておらず、適切な設定が出来ていないなどの不備がある場合に加え、さらに昨今のコロナ禍で働き方が根本的に変わってしまい、社員が強固な防御策の外側に出て行ってしまったことにある。攻撃者としても、さまざまな防御策が施された強固な企業ネットワークに正面から侵入するよりも、在宅勤務中の個々の社員のPCを狙う方が遥かに容易に目的を達成できるためだ。これがまさにセキュリティベンダーが危惧するアタックサーフェスの拡大であり、従来の企業ネットワークの外で使われている膨大な数のPCやスマートフォン／タブレットなどを包括的に保護する必要に迫られているのである。

クラウドシフトの影響

　コロナ禍以前から、企業の業務システムをオンプレミス環境からクラウド／SaaSを活用する新しい形にシフトする動きは始まっていた。国内でも採用事例の多いMicrosoft 365などがよく知られているが、そのほかにもSalesforce.comなどのクラウドを前提として提供される業務アプリケーションも多数ある。新しいクラウド型のソリューションの導入には、コスト削減や運用管理のシンプル化などの大きなメリットが得られる反面、セキュリティ視点ではアタックサーフェスの増大を招くことになる。

　クラウドに移行するとさまざまなメリットが得られそうだが、セキュリティが心配で踏み込めない、というのはクラウド移行を躊躇う多くの企業に共通する声で、クラウドベンダーを中心にこうした懸念に応えるソリューションの拡充が進んでいた。従来の「企業内ネットワークをインターネットからの脅威から防御する」という考え方を「境界型セキュリティ」を呼ぶが、従来は企業ネットワークとインターネットの接続点を「境界」だったのが、現在ではクラウドやSaaS、社員の自宅やシェアオフィス、カフェなど、さまざまな場所にこまめに境界を設定していくのか、それとも新しいセキュリティモデルに移行しなくてはならないのかが課題として意識されつつあった。

　多くの企業がこうした現状に気付いており、移行は不可避として準備を進めていたところだったのだが、不幸にしてコロナ禍がこの移行のために見込んでいた時間的な余裕を吹き飛ばし、今すぐリモートワーク環境に移行することを強制した形になっているのが現在の状況である。

　最近では、国内の著名な企業が悪質なランサムウェア攻撃の被害に遭い、11億円以上に上る身代金を要求されたという報道もあった。登場初期のランサムウェアはシンプルな暗号化だけを行なっていたため、バックアップデータからデータを復元することで被害を避けることが出来たのだが、攻撃者側が対策を講じたため、現在はデータを暗号化する前にまずは外部に持ち出しており、身代金支払いに同意しない場合はデータ漏えい事件を引き起こすことで企業にダメージを与え、「どちらが得か？」という選択を迫るような悪質な攻撃に進化している。コロナ禍で多くの人が不安を感じ、情報を求めていることから、結果的にフィッシングメールを開いたりダウンロードリンクをクリックしたりしてしまう事例も増加しているという。在宅勤務中の社員のPCがマルウェア感染し、それが社内ネットワークに接続することで社内ネットワークに感染が拡がる、という状況を防ぐためにも、迅速な取り組みが求められているのが現状だ。

　次章以降では、こうした状況に対応する最新のセキュリティ対策について紹介していきたい。