2020年10月21日、サイバーリーズン・ジャパン主催のセミナー「Cybereason Security Leaders Conference」が開催されました。本セミナーの最後には、株式会社サイバーディフェンス研究所 専務理事 上級分析官 名和利男氏、内閣官房 政府CIO補佐官 細川義洋氏、そしてサイバーリーズン・ジャパン株式会社 取締役CTO 鬼頭周の3名によるパネルディスカッションが行われました。

リモートワーク環境のセキュリティ対策で考慮すべきポイント

本パネルディスカッションは、モデレータを務める株式会社トライコーダ 代表取締役 上野宣氏の進行の下で行われました。まずは、現在各所で話題に挙がっている「リモートワーク環境におけるセキュリティ課題」について意見交換が行われました。

名和氏は、リモートワーク環境において起こり得る最悪のシナリオについて、次のように説明します。

「これは実際に起こった事例なのですが、会社から貸与されているPCを自宅のプリンターにつなごうとしたところ、もともと設定されていたパブリックプロファイルがプライベートプロファイルに切り替わってしまい、同じ家庭内ネットワークでオンラインゲームを遊んでいた子どもの端末経由でPCがマルウェアに感染してしまい、画面キャプチャ情報を窃取されてしまった例が報告されています」

このような最悪の事態を招かないためには、リモートワーク環境において自宅で同じネットワークを共用している家族のインターネット利用にも気を配る必要があると同氏は指摘します。

また鬼頭は、こうした環境において考慮すべきポイントについて、「リモートワークにおいては、必ずしも安全でないネットワークに端末が接続される可能性もあることから、端末上ですべての脅威をブロックするゼロトラストの考え方が重要になってきます。また、高度な脅威や未知の攻撃による侵入を100%防ぐのは難しいため、万が一侵入された後でも脅威を検知・除去したり、いざインシデントが発生した際に説明責任を果たすためにマルウェアの侵入や活動の経緯を可視化できる手段を講じておく必要があります」と述べ、そのためにはEDR(Endpoint Detection and Response)が極めて有効だと強調します。

セキュリティ対策の不備が訴訟リスクを招く時代に

現在世界中の国や地域が新型コロナウイルス対策に追われていますが、そんな中日本においては情報セキュリティ対策の面でどのような取り組みが必要とされているのでしょうか。細川氏は、現在各方面で話題に挙がっている「脱ハンコ」の流れについて次のように述べます。

「ハンコを無くしていくことは、生産性向上の面でも、リモートワークを普及させるためにも重要な取り組みだと思います。私自身も『脱ハンコ派』なのですが、その一方でこれまでハンコを介して交わされてきた社内コミュニケーションが無くなってしまうことによる弊害も無視できません。また、ハンコに代わる個人証明の手段としてマイナンバーカードの活用が期待されていましたが、思うように利用が広がっていません。これについては今後、利用を推進していくためのさまざまな施策を打っていく必要があると考えています」

一方、サイバー攻撃の手口は年々高度化しているにもかかわらず、多くの企業は相変わらずアンチウイルスやファイアウォールなど古典的なセキュリティ技術に依拠しているのが実情です。名和氏はこうした状況について「今やセキュリティ技術は半年経つと陳腐化するという時代において、10年前の技術をアップデートせずに使い続けているというのは無策に近い」と警鐘を鳴らします。

また細川氏も、企業責任の観点から「裁判の判例を見ても、セキュリティ対策が手薄なシステムがサイバー攻撃を受けて被害を被った企業が、そのシステムを構築したベンダーを訴えた結果、ベンダー側の過失が認められた例があります。企業は常に最新のセキュリティ情報にアンテナを張り、適切な対応を心掛けていないと、他社から訴えられるリスクを背負う時代になったのです」と述べます。

セキュリティ人材のモチベーションやインセンティブをいかに向上させるか?

情報セキュリティについて語る際、必ずといっていいほど話題に挙がるのが「人材不足」の問題です。これについて細川氏は、「政府でも少し前から民間の人材を積極的に登用したり、ホワイトハッカーの育成に乗り出していますが、人材をより充実させるためには、やはりセキュリティの仕事に対するモチベーションやインセンティブを高める必要があります。例えば警察官や自衛官のように、『自分たちが国の平和を守っているんだ!』と感じられるような意識付けや待遇を考えていかなくてはいけないでしょう」と見解を述べます。

この点について名和氏は、日本と海外との違いについて次のように述べます。

「海外ではセキュリティの専門家は軍や警察出身の方が多く、『平和を守る』という動機付けがとても強いように感じます。一方、日本のセキュリティ業界では純粋に技術だけを追求してきた方が多いので、最終的な動機付けの部分で『社会のため』『平和のため』という意識が海外と比べると若干薄いように感じます。こうした社会的な価値や意義を喚起するとともに、セキュリティ専門家というロールの社会的な地位や報酬の向上も必要でしょう」

最後に、今後10年間セキュリティの脅威に耐え抜くために必要なこととして、鬼頭は「最先端の製品や技術を導入すれば安心というわけにはいきません。セキュリティ対策は将棋と同じで、相手の攻撃を読んでそれに対して適切に対処していくものですから、常に最新の情報を収集して必要な手段を慎重に選ぶことが大事です」と述べ、冷静に状況を判断して自社にとって必要な技術や製品を選ぶ目を養うことの重要性を強調しました。

ホワイトペーパー「すべての組織が狙われている」

企業、組織がどんなにセキュリティを強固にしてもハッカーが悪用できる脆弱性は必ず存在します。侵入されることが避けられないことを受け入れ、新たな対策を立てる必要があります。本書で、なぜ避けられないのか、どのように対処するのかをご覧ください。
https://www.cybereason.co.jp/product-documents/input/?post_id=606

ホワイトペーパー「すべての組織が狙われている」