コラム 2022.05.26 ポストコロナ：ハイブリッドワークに潜むセキュリティリスク

　２０２０年の新型コロナウィルス感染拡大を経て、日本のみならず、世界各地でリモートワーク、もしくはハイブリッドワークの普及が一気に進み、当たり前の日常となったと断言できると思います。一方で、サイバー攻撃の数は年々増加しており、各企業においても、その対策は喫緊の課題と認識しているのではないでしょうか。

　VPN事業者であるNORD VPNは、米国、戦略国際問題研究所（CSIS）がまとめたデータを基に、２００６年から２０２１年の１５年間で政府機関などにサイバー攻撃を受けた回数を集計、各国のランキングを発表しています。１位は１９８回で米国。日本は１６回の攻撃を受けたとして１１位にランクインしています。日本の対象事案の中には、皆さんの記憶にも新しい、複数の政府機関の情報が流出した、２０２１年５月に起きた日系大手企業への不正アクセスや、防衛省の新型ミサイルの設計情報が漏えいした可能性があるそのサプライヤー企業への大規模なサイバー攻撃などが含まれています。

　今回は、ハイブリッドワークに潜むセキュリティリスクとして、２０２１年にあったセキュリティトピックスを紹介するとともに、２０２２年にはどのようなリスクが存在するのか、そして各企業においてどのような対策が必要になってくるのかを紹介しようと思います。

　２０２１年もサイバー攻撃を実行する者は、オフィス以外の場所からリモートで勤務する労働者による豊富な攻撃ベクトルを生かすべく、多くのサイバー攻撃を行いました。FSB（金融安定化理事会）の報告書によると、サイバーセキュリティインシデントは２０２０年２月の毎週５,０００件から、２０２１年４月後半には毎週２０万件以上に増加しています。さらに、BAE Systems 社の報告書によると、コロナ禍によって企業がコスト削減を余儀なくされた結果、サイバーセキュリティ予算は２６%減少し、IT チームはサイバーセキュリティを犠牲にしてリモートワークの課題に重点的に取り組むことを迫られています。COVID-19 関連のマルスパムの数は減少傾向にあるものの、コロナ禍は依然としてマルウェアの拡散を促しています。

　２０２１年は、病院、工場、食品加工施設など重要インフラストラクチャへの攻撃も目立ちました。重要インフラストラクチャへの最大の攻撃の１つ は、２０２１年 ４月に起きた、米国最大の石油パイプライ ンであるコロニアル・パイプライン社への攻撃です。DarkSideギャングによるこの攻撃は、同社を操業停止に追い込み、その結果、燃料の買い占めもあって燃料不足を引き起こしました。また、航空会社も飛行経路や運航計画の一時的変更を余儀なくされました。さらに、BlackMatterグループは世界最大の食肉加工会社であるJBS 社を攻撃し、１,１００ 万米ドルの身代金を要求しました。重要インフラストラクチャの攻撃を試みたランサムウェアの事例として、ブラジルの電力会社であるEletrobras社とCopel社に対する攻撃も行われました。電力供給のストップは報告されませんでしたが、こうした攻撃は大勢の市民に電力なしでの生活を余儀なくさせたり、電力供給を担う原子力発電所に損害を与えたりする可能性があります。また、イタリアのワクチン接種登録システムへのランサムウェア攻撃では、ラツィオ州の住民はワクチン接種が受けられなくなり、その命が危険にさらされる事態となりました。 さらに、米国 (UF Health Central Florida、Scripps Health、Crisp Regional Health Services) とフランス (Oloron-Sainte-Marie、Dax-Côte d’ Argent Hospital Center) の病院や医療センターのほか、 カナダ、オーストラリア、アイルランドの病院も攻撃を受けました。

　前述のとおり、政府機関などへの攻撃を受けた件数で日本は１１位でしたが、日本IBMのセキュリティー調査「IBM X-Force脅威インテリジェンス・インデックス２０２２」によると、２０２１年最も攻撃を受けた地域はアジアであり、全世界で観測した攻撃の４件に１件以上がアジアで発生しました。その６０％近くが金融機関と製造業を標的としたもので、最も攻撃を受けた国として日本が1位。攻撃の２０％はサーバーアクセス攻撃で、侵入経路としては約半数がフィッシングという結果になりました。

また、製造業へのサイバー攻撃数が業界１位となり、今後もサプライチェーンへのサイバー攻撃への備えが求められます。

　多くの組織がセキュアなハイブリッドおよびフルリモートワークの実現に向け、長期的な戦略的計画を本格化させています。ニューノーマルとして、リモートワークやリモートアクセスが定着したことにより、組織が潜在的なサイバー攻撃者にさらす攻撃の対象領域が、自ずと拡大しています。この新たなワークスタイルと従業員のコネクテッドデバイスが、実際の脅威情勢のより大きな部分を占めるようになることが予想されます。

　前項でも出てきているとおり、製造業へのサイバー攻撃が増加しています。昨年度には、日本でも過去にない規模のセキュリティインシデントが起こり、皆さまにセキュリティ対策の早急な必要性を再認識させたのではないでしょうか。サプライチェーン攻撃は増加傾向にあり、IT担当者に大きな課題を突き付けています。昨今のリモートアクセスやリモートワーク普及の現実を鑑みると、リモートアクセスソフトウェアを開発する企業やリモートワークを許可している企業は、サプライチェーン攻撃の対象になると予想されます。その結果、米国最大の石油パイプラインであるコロニアル・パイプライン社の事例のような、余波の大きいインシデ ントがさらに増え、多数の接続された企業、組織に影響が及ぶ可能性があります。

　また、サイバー攻撃者にとって、その重要性や生活との密接性を鑑みると、医療分野、製薬が医者やそのサプライチェーンに対するサイバー攻撃も増加が予想されます。

　ここまでで、昨今、そしてこれからのセキュリティトレンドについてご理解いただけたと思います。しかし、一体どこから行動を起こせばいいのか、と頭を悩ませている経営層の方はまだ多いと思います。

　ここ米国におけるセキュリティ対策として、CISA（国土安全保障省サイバーセキュリティ・インフラストラクチャー・セキュリティ庁）が公開しているガイドラインや、NIST（米国国立標準技術研究所）のウェブサイトには、NIST SP800-171と呼ばれる、アメリカ政府がセキュリティ基準への準拠を求めたガイドラインも掲載されています。それに加えて、セキュリティ対策に係るイベント情報なども掲載されていますので、そういった情報を参考に、自社のセキュリティ基準がそれらに準拠しているのか、そういった確認から入り、自社のセキュリティに足りていない部分を洗い出すことから始めるのもいいかと思います。

　一方、日本の総務省は、企業などがテレワークを実施する際のセキュリティ上の不安を払拭し、安心してテレワークを導入・活用していく指針として、テレワークの導入に当たってのセキュリティ対策についての考え方や対策例を示した「テレワークセキュリティガイドライン」を策定・公表しています。加えて、中小企業向けには別紙として、「中小企業等担当者向けテレワークセキュリティの手引き」を策定・公表しています。こういったものを参考に自社におけるセキュリティ強化およびそのマインド作りに役立てることも重要です。

　また、当社では昨今のハイブリッドワークやリモートワークの普及に伴い、ゼロトラスト・モデルのPCの導入を推奨しています。ゼロトラスト・モデルでは、ユーザーやデバイスは、そのアイデンティティと認証が確認されるまで信頼されず、そのリソースにアクセスができません。このプロセスは、会社PCで自宅からリモートワークをしている社員や、モバイルデバイスで世界各地の会議に参加している社員など、通常プライベートネットワーク内にいる人に適用されます。また、プライベートネットワークの外側にいる人やデバイスにも適用されます。そのネットワークへのアクセス経験や回数は関係なく、アイデンティティが再度検証されるまでは信頼されません。これは、証明が得られない限り、すべてのデバイス、ユーザー、サーバーを信頼しないという考え方です。

　「Ⅰ．２０２１年セキュリティトピックス」で、コロナ禍によって企業がコスト削減を余儀なくされた結果、サイバーセキュリティ予算は２６%減少した、というBAE Systems 社の報告書を紹介しましたが、一方で、JNSA（NPO日本ネットワークセキュリティ協会）によると、サイバー攻撃による２０１９年の企業の被害額は平均１億４,８００万円となっています。現在の企業を取り巻くセキュリティリスクを鑑みても、セキュリティ対策はすべての企業における最重要課題であるでしょうし、これはIT部門のみが検討するものでなく、経営層が主導すべき課題であると言え、コスト削減の中にセキュリティ対策を入れるのか、それとも対策にお金をかけてリスクを小さくするのか、自ずとどちらが賢明であるかが数字からも容易に理解できると思います。

　KDDIアメリカ では、セキュリティ対策に係るさまざまな課題を解決するべく、各社の課題に応じたソリューションを提供することができます。ご興味のある方は当社ウェブページをご参照いただくか、以下、お問い合わせ先までお気軽にご相談ください。