セキュリティビジネスは成長期に突入
マルウェア感染対策、ID・アクセス管理で需要開拓

PART 2

テレワークの定着によってサイバーセキュリティへの脅威が高まっており、業種や規模を問わず全ての企業にサイバーセキュリティの強化が求められている。こうした状況下で注目されているのが「ゼロトラストセキュリティ」だ。ゼロトラストセキュリティではPCを利用する場所やアクセスするネットワークの全体に対策を講じることが求められる。多くの手段が求められるゼロトラストセキュリティにおいて、いったいどこから手を付ければいいのか、何をしなければならないのか。サイバーセキュリティに対する企業の意識とビジネスの見通し、そして需要開拓の切り口について考察する。

業務でのインターネット利用の増加で
マルウェア感染のリスクが高まる

 新型コロナウイルスの感染拡大から1年以上が経過し、テレワークの定着により働き方がすっかり様変わりした。それに伴い日常業務に必要なさまざまなアプリケーションがクラウドへ移行しており、インターネットへのアクセスが増加している。

 コロナ禍以前のオフィスでは社内とインターネットの境界でサイバー攻撃を防御する「境界防御」という考え方でセキュリティ対策が講じられ、安全地帯にあるPCやデータを守ってきた。これは「社内は安全である」という前提の上で成り立つ対策だ。しかし現在は危険と定義されてきた境界の外でPCを利用しており、インターネットに直接接続するPCが丸裸で危険にさらされている。

 マカフィー セールスエンジニアリング本部 本部長 櫻井秀光氏は「在宅勤務の定着によりオフィスのネットワーク経由でのクラウドサービスの利用が25%減少しており、現在はもっと減少していると思われます。その一方でインターネットを含めた社外ネットワークでのクラウドサービスの利用が2倍に増えており、テレワークでの非管理PCの利用も2倍に増えています。その結果、クラウドを狙った脅威が6.3倍にも深刻化しているのです」と指摘する。

 またIDC Japanが4月9日に発表した「2021年 国内企業における情報セキュリティ対策実態調査報告」によると、IaaSおよびPaaS、SaaSの利用方法について「社内ネットワークを経由して利用している」と回答した企業が約50%を占めたが、「一部の拠点においてインターネット回線で直接利用している」または「全てインターネット回線で直接利用している」と回答した企業も合計約45%と多かった。

 なおこの調査報告は今年1月にWebを通じて実施され883社が回答し、回答企業の業種や規模に大きな偏りはない。

 昨年、世界で猛威を振るい現在も被害の拡大が続いているEmotet(エモテット)を例に挙げるまでもなく、ランサムウェアなどのマルウェアの数は日々増加しており、使われるテクノロジーの進化や感染させるための手口の巧妙化、感染後の被害の深刻化は今も進んでいる。

 PCがマルウェアの感染を通じた攻撃の危険に晒されていることは、PCを使っている社員も企業の管理者や経営者も知っていることだろう。しかしどれだけ危険であるかを理解している人は非常に少ない。なぜならテレワークを実施する社員が増え、頻度も高まっているにもかかわらず、コロナ禍以前と同じセキュリティ対策しか講じていない企業が多いからだ。

ゼロトラストセキュリティの
構成要素と用いられる技術

 テレワークが定着した現在のワークスタイルにおいてどのようなセキュリティ対策が求められるのだろうか。境界防御型のセキュリティ対策ではネットワークの社内と社外の境界で攻撃を防御すればよかったが、現在は境界内で使われていたPCが自宅など境界の外に出ている。しかも利用するシステムやサービスも境界の外にある。

 そこで昨今、セキュリティ対策において注目されているのが「ゼロトラストセキュリティ」という概念だ。ゼロトラストセキュリティではPCやネットワーク、クラウドサービスなど、ユーザーが利用しているIT環境には安全や信頼はどこにもなく、インシデントは発生するという前提でセキュリティ対策を講じることが求められる。そしてITの全域にわたり包括的にセキュリティ対策を講じて運用することがゴールとされている。

 ゼロトラストセキュリティを実現する構成要素は大まかに「ネットワークセキュリティ」「エンドポイントセキュリティ」「アプリケーション・データ保護」「ID・アクセス管理」に分けられる。さらにこれらを連携させて統合的に運用し、可視化・分析・自動化する仕組みも必要となる。

 ネットワークセキュリティではSWG(Secure Web Gateway)やSDP(Software Defined Perimeter)、エンドポイントセキュリティではEDR(Endpoint Detection and Response)、EPP(Endpoint Protection Platform)、MDR(Managed Detection and Response)、MDM(Mobile Device Management)などの技術が用いられる。

 アプリケーション・データ保護ではDLP(Data Loss Prevention)やCWPP(Cloud Workload Protection Platform)、ID・アクセス管理ではIAM(Identity and Access Management)が、可視化・分析・自動化にはCASB(Cloud Access Security Broker)、CSPM(Cloud Security Posture Management)、SIEM(Security Information and Event Management)、SOAR(Security Orchestration, Automation and Response)、UEBA(User and Entity Behavior Analytics)などが用いられる。

包括的なセキュリティ対策への
企業の投資意欲が高まっている

 ゼロトラストセキュリティではサイバーセキュリティへの包括的な取り組みが求められるため、フルスペックを目指すには必要な予算を確保しなければならない。サイバーセキュリティ対策への投資に消極的な企業が多い中、需要を喚起するのは難しいように思える。

 ところがこうしたサイバーセキュリティに関するビジネスへの不安に対して、企業の意識は意外なものだった。シスコシステムズ セキュリティ事業 シニアマネージャ 西 豪宏氏は企業のサイバーセキュリティ対策への意識について「コロナ禍によってサイバーセキュリティへの投資を増やすと答えた組織はグローバルで66%、日本で71%となっており、減らすと答えた組織はグローバルで9%、日本ではわずか3%でした。また全体的なサイバーセキュリティ防衛が必要だと考えている組織はグローバルで34%、日本では39%と非常に高くなっています」と包括的にサイバーセキュリティに投資する意欲が高いと説明する。

 IDC Japanの調査報告でもIT投資額における情報セキュリティ関連投資の比率について10%未満が約40%であるのに対して10~20%未満と20%~30%未満の合計が約45%と、前年比4%弱増加している。情報セキュリティ関連投資の前年度比増減率については、企業規模が大きいほど「投資を増やす」の比率が多かった。例えば3,000人以上が48.2%、1,000~2,999人が41.9%、500~999人が33.1%、250~499人が38.1%、100~249人が27.4%と、決して悪くない数字だ。

 そして2021年度のセキュリティ投資を増やすと答えた企業の投資先はネットワークセキュリティが28.6%で最も多く、次いでクラウドセキュリティが22.4%、ID・アクセス管理が22.0%という結果だった。これらはいずれもゼロトラストセキュリティを構成する要素だ。

 またリモートワーク環境に対して今後強化を予定しているセキュリティ対策については、CASBなどのクラウドセキュリティが27.8%と最も多く、アクセス管理が25.4%、EDRなどのエンドポイントセキュリティが24.9%、そしてID管理が23.5%となっている。

顧客の行動を促すために
マルウェア対策の強化から提案

 意外にも企業はサイバーセキュリティの脅威に対して危機感を持っており、具体的な対策を講じる意識が高まっていることが分かった。しかし「テレワークでリスクが高まっているのでゼロトラストセキュリティに取り組みましょう」と提案しても、企業に行動を促すのは難しい。どこから手を付けて、どこを目指すのかを明確にしなければイメージが湧かないからだ。

 とはいえ最初からゼロトラストセキュリティという大きなテーマを目標に掲げるのも、受け取る企業には実感が湧きにくいだろう。そこで顧客にとって身近な脅威に、容易な手段で対策できる提案でサイバーセキュリティ対策への具体的な行動を促し、ゼロトラストセキュリティへの突破口を開くのが有効だ。

 そのシナリオはこうだ。セキュリティ対策を講じて何を守るのか、その答えは業務や事業、経営に関する重要データや個人情報だろう。そして守るべきデータがどこにあるのか、社内のサーバーならば境界防御で対策していることだろう。問題はデータがテレワークで働く社員のPCやクラウドに分散していることだ。その観点からエンドポイントのマルウェア感染対策と、クラウドサービスを安全に利用するためのID・アクセス管理の強化から提案したい。

 エンドポイントセキュリティと言えばEDRが有効な手段として挙げられるが、マカフィーの櫻井氏は「EDRを導入してもエンドポイントが脆弱だとすり抜けるマルウェアが多くなりEDRに流れる量が増え、その際にエンドポイントが感染している恐れがあります。まずはエンドポイントのマルウェア感染対策を強化して、その次にEDRを検討するべきです」とアドバイスする。

 日本HP サービス・ソリューション事業本部 クライアントソリューション本部 ビジネス開発部 プログラムマネージャー 大津山 隆氏は「最近のマルウェアは人間の脆弱性を突いており、例えば補助金の案内や取引先を装った見積書をマクロを仕込んだWordやExcelのファイルでメールに添付して送りつけてきます。普段は怪しいメールに注意している人でも、ファイルを開いて感染するケースが増えています。こうした人間の脆弱性を突く攻撃は従来のウイルス対策ツールでは防御することが非常に困難です」と指摘する。

 大津山氏によるとウイルス対策ツールがマルウェアを防御できる確率は50%近くまで下がってきており、約40%はすり抜けているという。また、顧客(北米)の事例では約4万人のユーザーに対して境界防御をすり抜けてきた脅威が年間509件あり、そのうち158件がウイルス対策ツールで検知できなかったという。

 これは境界防御型セキュリティ対策での結果であり、テレワークで直接インターネットを利用する環境ではリスクのレベルはさらに高くなることは言うまでもない。

ゼロトラストの第一歩となる
ID・アクセス管理の強化も提案

 日本HPでは「アプリケーションの隔離と封じ込め」というコンセプトでマルウェア感染を防御する「HP Proactive Security」を提供している。HP Proactive Securityはディープラーニングを利用してマルウェアを検知するとともに、リスクのあるアプリケーションはあらかじめ使い捨ての仮想マシンで実行して、すり抜けたマルウェアを封じ込める2階層の防御で未知のマルウェアの感染も防止する。

 日本HP サービス・ソリューション事業本部 クライアントソリューション本部 ソリューション営業部 サービススペシャリスト 千葉直樹氏は「従来型のマルウェア対策はWindows Defenderで対応可能です。これをすり抜けるマルウェアの対策を追加することで安全性が高まります。また日本HPの法人向けPCにはセキュリティチップが搭載されており、ハードウェアでBIOSを保護したり、問題が発生してもリカバリーしたりする機能が提供されています。当社のPCとHP Proactive Securityを組み合わせて提案することで、エンドポイントを多層的に保護できます」と説明する。

 またマカフィーの櫻井氏は「ウイルス対策ツールのパターンファイルの更新だけではなく、エンジンの最新化も必要です。最新のエンジンはAIを利用して未知のマルウェアも検出できるので、エンジンを最新バージョンにアップデートするだけでエンドポイントのセキュリティを強化できます」とアドバイスする。

 そしてID・アクセス管理の強化としてIAM製品も同時に提案したい。ユーザーが本人であるかを継続的に確認するID・アクセス管理の強化は、ゼロトラストセキュリティへの第一歩となる。製品には日本アイ・ビー・エムの「IBM Security Verify」やシスコシステムズの「Cisco Duo Security」などがある。いずれもIDaaSの多要素認証サービスで、導入に手間も時間もかからずアクセスの安全性向上がすぐに体感できるため、中小企業にも提案しやすい。またシングルサインオンの利便性も訴求することで、顧客の関心も高められるだろう。

 IBM Security VerifyはAIを活用したリスクベースの認証による多要素認証機能、アダプティブアクセスコントロール(適応型アクセス制御)などを搭載し、ユーザーの状況や状態に応じて自動的にリスクを判定する。判断のロジックを日々学習することで、ユーザーの利便性とセキュリティが向上する。

 Cisco Duo Securityは多様な認証方法が選べ、デバイスを可視化する機能やVPNを使わず安全にリモートアクセスが利用できるDuo Network Gatewayなどが提供されている。

 日本アイ・ビー・エム セキュリティー事業本部 セキュリティー製品事業部 事業部長 理事 植田典子氏は「当社はゼロトラストセキュリティの領域においてID・アクセス管理に注力しています。IBM Security Verifyは東京のデータセンターからサービス提供しています」と説明する。

 また同社 セキュリティー事業本部 テクニカル・セールス 部長 赤松 猛氏は「攻撃者はID・パスワードの情報を得た上で攻撃を仕掛けてくるのですから、ID・パスワードは既に盗まれていると考えた対策が必要です。IBM Security VerifyをPCやクラウドサービスと組み合わせたり、ソリューションに組み込んだり、機能の一部を顧客のアプリケーションに組み込んだりするなど、さまざまな提案方法があります」とアドバイスする。