「ユーザーを守る投資」としてセキュリティを強化すべき時代に、その投資は利便性をも上げる

　セキュリティと利便性は相反する――という見方から、セキュリティを強化すればするほど利便性が下がってしまうという一般的な考え方があります。

　例えば、ユーザー認証のために利用されるハードウェアトークンは、セキュリティを強化できる一方で、持っていなければいけない、管理しなければいけない、購入しなければいけないなど利便性が下がると感じる企業も多くいらっしゃるのではないでしょうか。

　ユーザー認証で今もなお多く利用されるパスワードは、覚えておくだけでいいという利便性があるものの、80％以上のハッキングによる侵害はパスワードが原因という調査結果もあり、「パスワードより危険な認証はない」ことは明らかです。しかしながら、まだ数多くのITベンダーがパスワードのみの認証を適用したサービスを提供し続けていることも現実です。そしてセキュリティを重視していなかったことにより、昨年末から続く大規模サイバー攻撃で多くの企業が甚大な被害を受けています。

　今まさに、約50年前にドライバーを守るために自動車メーカーが投資をして、導入したシートベルトと同じく、ITベンダーはユーザーを守る投資としてセキュリティを強化する時代にきたと考えています。そして、投資したことにより利便性も上げられると考えています。

　では、なぜ今ITベンダーが「ユーザーを守る投資」としてセキュリティを強化しなければいけないのか、自動車業界での事例、そしてこれまでに分かっているサイバー攻撃を受けた理由を振り返りながらお伝えします。

安全性（セキュリティ）への投資例

　ここで、ITとは全く別の業界になりますが、自動車業界を例に挙げてみます。

　60年代、アメリカで高速道路が広がった時期に、自動車メーカーが車のエンジンパワーを上げたことも要因の一つとなり、年間に5万人が自動車事故で亡くなっていました。しかし、当初自動車メーカーはシートベルトの導入に反対、それは「安全は売れない（Security does not sell）」と考えていたからです。そのため、アメリカ政府は1968年に自動車メーカーに対してシートベルトの導入を必須にする法律を制定し、自動車事故で亡くなる人は以前に比べ減少しました。

　しかし、ドライバーはシートベルトの締め付けが強すぎて乗り心地が悪い、つまり利便性が劣ると着用しなかったため、自動車事故で亡くなる人は依然として多いという状況が続きました。そして、1988年に政府の法律によって走行中のシートベルト着用が義務化され、自動車事故で亡くなる人が劇的に減少した結果、現在では着用率が90％となり、シートベルトは人々の生活に定着したものとなりました。

　シートベルトの着用率が上がった一番の理由には、政府の規制が挙げられますが、他にも外せない事実があります。それはシートベルト着用の利便性を上げた、3点式シートベルトをスウェーデンの自動車メーカーが開発投資したということです。さらにこのメーカーは、他の自動車メーカーが開発投資を行わなくても良いように、この特許を無償で公開しました。ドライバーが3点式シートベルトに慣れるまでは、多少の抵抗はありましたが、慣れてしまえば、シートベルトをかける手は自然に動き、無意識でも着用をするようになったのです。つまり、シートベルトの着用は安全であるにも関わらず、便利なものになったのです。

　現在では、どれだけセキュリティ、つまり「安全装備」を持っているかが、同業界の中での差別化のポイントとなり、ユーザーを守る投資がされるようになっています。

セキュリティ軽視でサイバー攻撃を受ける可能性が高まる

　アメリカでは、企業が使うITシステム（特にオンプレミスのシステム）で2020年12月から8ヶ月余りサイバー攻撃が続いています。サプライチェーン攻撃を2020年12月にSolarWinds社、そして2021年7月にはKaseya社が受けています。さらにKaseya社は、VSAサーバーを悪用されMSP経由でのランサムウェア攻撃も受けています。

　他に3月のMicrosoft Exchangeサーバーの脆弱性を突いた攻撃、5月のColonial Pipeline社へのランサムウェア攻撃など、攻撃はより高度化し、その被害規模や損害は大きくなっています。

　これらのサイバー攻撃の事件から、セキュリティを軽視していたことが、被害を受け拡大させてしまったと言っても過言ではないと考えています。

Colonial Pipeline社へのランサムウェア攻撃
　このサイバー攻撃は、レガシーVPNへのログインから攻撃が始まっています。

　有効だと思われていなかったレガシーVPNプロファイル、つまり未使用のユーザーアカウントが無効化されておらず、アクセスできる状態になっていました。その元従業員は別のウェブサイトでも同じ認証情報を使用していたため、攻撃者がどこからかその認証情報を入手したことにより、アクセスされています。

　攻撃グループのDarkSideはその認証情報となるIDとパスワードからアクセスを開始し、情報システムネットワークに侵入、サーバーを暗号化しました。

　アメリカ東海岸の燃料供給の約半分となる45％を担う同社は、ガソリンや販売データなどを管理するOT（オペレーショナルテクノロジー）への投資は十分に行っていたものの、攻撃の原因からも情報システムへの認証を含むサイバーセキュリティに関する投資が不十分であったことが分かっています。

SolarWinds社、Kaseya社へのサイバー攻撃
　Kaseya社への攻撃は、2020年12月に起きたSolarWinds社製品を悪用したサプライチェーン攻撃と似ており、攻撃対象として多くの企業が利用するITベンダーやMSPなどが狙われています。

　SolarWinds社への攻撃では、同社が提供するネットワーク管理ソフト『Orion』のアップグレードファイル内にSunburstと呼ばれるマルウェアが仕込まれていたため、アップデートの配布を受けた17,000社に影響が及び被害が拡大し、Kaseya社への攻撃では、直接顧客にマルウェアが配布されていなかったものの、同社サービスVSAを利用している60社のMSPを経由して1,500社もの顧客に被害が及びました。

　このどちらもITベンダーが提供しているソリューション経由でエンドユーザー企業のネットワークに侵入され大きな被害が出ており、前従業員の証言からサイバーセキュリティに関しての投資が不十分であったことが分かっています。

アメリカ政府　サイバーセキュリティ向上に関する新規制を発令
　SolarWinds社やColonial Pipeline社の攻撃を受け、バイデン政権はサイバーセキュリティ向上に関する大統領令を5月に発令しました。認証はMFA（多要素認証）を導入、ゼロトラストアーキテクチャの適用をITベンダーに必須にするなど、ITベンダーはサイバーセキュリティにエンドユーザーを守る投資をせざるをえない状況になっています。

セキュリティに投資をしていれば、強化をしてもユーザーの利便性は下がらない

　アメリカ政府の規制によって、ITベンダーはサイバーセキュリティに投資しなければいけない状況になりましたが、セキュリティを強化したソリューションをエンドユーザーとなる企業が利用するかどうかは経営判断となるでしょう。

　50年前の自動車メーカーへのシートベルト導入の義務化と同じく、政府の規制に従いITベンダーがセキュアな認証を搭載したとしても、企業が利用しないこともありますし、経営判断でセキュリティを優先する企業もいるでしょう。

　しかし、セキュリティを優先せずにサイバー攻撃を受け、甚大な被害を受けている事例からも企業はセキュリティを優先すべきだと考えています。そして、セキュリティを強化すると、利便性が下がるという一般的な考えにおいては、セキュリティを優先して投資してきたからこそ、利便性を上げることができる事実もあります。

　例えば、MFAを導入した場合、攻撃者からみて価値が高い情報にアクセスするIT管理者や役員などエグゼクティブ層は、サイバー攻撃から情報を守ることを最優先するためにハードウェアトークンを利用するとします。これはものを保有して、管理しなければいけないため、利便性が下がるという人もいるかもしれませんが、セキュリティを優先させサイバー攻撃から情報資産を守るためには、必要な手段です。

　その一方で、一般社員はスマートフォンに内臓されている顔認証や指紋認証など生体情報を使ったMFAを活用したらどうでしょう。パスワードを覚えることもなく、普段スマートフォンで利用しているように、ワンタッチ、ワンルックでの認証となり、利便性は却って上がります。

　これはスマートフォンメーカーが、消費者向けスマートフォンにセキュリティを優先して開発投資してくれていた結果です。

　シートベルトをせずに、自分の命をリスクに晒すようなことは決してあってはいけません。そして、今後ITサービスを利用する企業にとっても同じことが言えます。MFAやゼロトラストの採用などセキュリティソリューションを選択した企業は、サイバーリスクを避けることができます。それは、結果として自分のビジネスを拡大するチャンスに繋がるのです。

　各企業がセキュリティを優先し義務化する、そして投資したことで利便性も上がることが分かれば、最終的にはシートベルト着用率と同様、ITサービス利用時には無意識に安全な認証を行う流れができ、安全な認証の利用率は90％以上まで広がるでしょう。

　そのレベルまでに早急に引き上げていくためには、日本政府が規制を出し、義務化していくことが求められると思いますが、何よりもITベンダーがエンドユーザーを守るセキュリティへの投資を覚悟することがキーファクタになると考えています。