サイバーセキュリティの"トップガン"名和利男氏が取り組みをアドバイス

継続的な提案で臨む
Zero Trust Security

全ての企業の職場が激変するいま
セキュリティの話で顧客の心をつかむ

テレワークの普及によって社員は働きやすい場所と働きやすい時間を選んで効率よく仕事ができるようになった。しかし社外で働く社員の業務の管理や評価が難しくなり、マネジメントにおける課題も顕在化した。

これはIT環境においても同様の問題が生じている。自宅でのPCやクラウドサービスの利用といった社外でのIT利用について、ユーザーの行動やサイバーリスクの実態が把握できなくなっているのだ。
もしかしたらマルウェアに感染した社員のPCを通じて社内のネットワークに侵入され、被害が生じているかもしれない。被害が「生じている」のか「いない」のか分からない、それが多くの企業の実情だろう。

こうしたリスクを把握して適切な対処をするためのセキュリティの考え方が「ゼロトラスト」だ。テレワーク、クラウドシフト、そしてDX推進といったIT活用はゼロトラストセキュリティが前提となるといっても過言ではない。

本特集ではこれからのIT活用で必須となるゼロトラストセキュリティについて、顧客の関心を引くためのストーリーと、実際のビジネスに結実させるための提案のシナリオについてリポートする。

ビジビリティと最小化でリスクを抑える

CSIRT構築およびサイバー演習の第一人者である名和利男氏は、海上自衛隊で護衛艦の戦闘情報中枢の業務をはじめ航空自衛隊で暗号通信および在日米空軍との連絡調整業務、防空指揮システムのセキュリティ担当（プログラム幹部）に従事したほか、JPCERTコーディネーションセンターでは早期警戒グループのリーダーを務めるなど、長期にわたり極めて深刻な脅威に立ち向かってきた。現在はサイバーディフェンス研究所の専務理事 上級分析官およびPwCコンサルティングのサイバーセキュリティ最高技術顧問を務め、企業や個人が安心してサイバー空間を利用できる環境の実現に向けた活動を続けている。サイバーセキュリティの「トップガン」と称される名和氏はサイバー空間の脅威への対処に「ゼロトラスト」が不可欠だと強調する。ゼロトラストの重要性について話を伺った。

　サイバーリスクは我々の想像以上に深刻化しているようだ。名和氏は次のように警鐘を鳴らす。「2019年から2020年にかけてマルウェア攻撃が2倍、3倍という規模で増加しました。攻撃が増加した一方でランサムウェアの成功率は低下しました。攻撃が増加して成功率が下がるということは、攻撃を増やしても手間ばかりかかり利益を出しにくい状況です。会社に例えるならば営業成績が下がったわけですから、攻撃者たちは業務の効率化や効果の最大化に取り組むわけです。そこで攻撃者たちは分業化して攻撃力を高めました」

　マルウェアを作る人、脆弱性が高い拠点を探す人、拠点に攻撃を仕掛ける人、本来の目的を実行する人という具合に自分の能力を発揮できる役割に集中して分業化することで攻撃力を高めたのだ。

　さらにSNSの普及もリスクを深刻化している。攻撃者たちはSNSでマルウェアそのものや攻撃を仕掛けるツールをやりとりしたり、侵入に成功した拠点の情報や不正侵入して入手したデータをやりとりしたりするなど、高い能力がなくても効果的に攻撃できる環境が整っているのだという。

　コロナ禍以前よりサイバー攻撃は大きな社会問題となっていたはずだ。さらにテレワークの普及によって「安全地帯」（防御の境界内）であるオフィスから、自宅など外に出てPCやインターネットを利用する社員と時間が増え、サイバーリスクはさらに高くなっていることは誰もが分かることだろう。しかし企業のセキュリティ対策はコロナ禍以前と変わらず後手に回っているのが実情だ。

　名和氏は「都市圏の大企業や被害に遭った企業は必要以上にセキュリティ対策を強化しています。しかし都市圏以外の地域は情報が少なく危機感も低い傾向があります。ただし知識がないわけではありません。これだけサイバー攻撃の事件が報じられているのですから知識はあります。ただしそれは知っているだけで理解をしていないのです」と指摘する。

　コロナ禍に伴うワークスタイルやライフスタイルの変化は我々にとって未知の経験だった。しかしサイバーリスクに関しては以前より対策の重要性が叫ばれており、対策を強化しない企業にとってリスクが時間とともに高まるのは当然のことである。

　名和氏は「攻撃力が高まっている一方で、見方を変えれば防御側である企業や組織の防御力の地盤沈下も目立ちます。テレワークの普及によってエンドポイントのリスクは高まる一方であるのに、ウイルス対策ソフトしか利用していないのが実情です。EDR（Endpoint Detection and Response）を導入している企業はごくわずかです。日本の企業の99.7％を占める中小企業では皆無に近いでしょう」と厳しい。

　目の前に深刻なリスクがあるにもかかわらず、いまだに行動しない企業や組織をどのようにして動かせばいいのだろう。名和氏は「ビジビリティ」（Visibility：可視性）というキーワードを挙げ、企業や組織がリスクに向き合わない原因として「想像力の欠如に尽きる」と指摘する。

　名和氏は「今も危機感を持てない企業や組織の人はリスクに対するイメージを、自分の経験だけを基に頭の中に作り上げてしまう傾向が強いのです。五感を使わずに作られたイメージは見誤りが非常に多くなり、正常性バイアス（自身に不都合な情報を無視したり過小評価したりしてしまう人の特性のこと）と相まって行動につながらないのです。一方でリスクを目で見たり、被害の実態を耳で聞いたりするなど五感を使えば、自身に関わるリスクを放置するとどのような結果になるのか想像できます。同時にサイバーセキュリティが重要という漠然とした理解ではなく、情報や仕事、会社、自身の生活など、守るものを具体的に示してストーリーをひも付けて五感に訴えることも必要です。五感でリスクを感じることができれば、おのずと行動につながります」と説明する。

　この考え方を具体的な取り組み方に置き換える際にビジビリティがポイントとなる。サイバーリスクの深刻さもセキュリティ対策の強度も目に見えないものだ。両者を可視化することでリスクを理解した正しい危機感を持てるようになり、その状況に応じて必要な対策が実施できるようになる。

　名和氏は「ビジビリティを実践する上で昨今注目を集めているゼロトラストセキュリティという概念は非常に効果的です。セキュリティ対策はデバイスやネットワークなどITの可視化が基本です。そのために要所に防犯カメラとなるエージェントあるいはセンサーを設置します。その録画であるログを見ればどこにどれだけの攻撃を受けているのか、すでに侵入されているのか、感染などの侵害を受けていないかなどの実態が可視化でき五感で確認できます。そして今必要な防御策も分かります。仮に侵害されていたとしても録画を巻き戻せば感染の経路や被害の範囲などの実態が把握でき、対処も迅速に行えます」とゼロトラストセキュリティの意義を説く。

　サイバーリスクへの危機感を正しく認識できたとしても、予算や人手が限られる中小企業が実際に行動するのは容易ではないと思われる。そこで名和氏は次のようにアドバイスする。

　「まずユーザーの業務に必要な環境だけを使わせるなど権限を最小化することが必要です。業務の割り当てを明確化して必要なシステムやデータだけにひも付けるなど、運用の見直しで防御に用いる装備を小さくするのです。そして対策が必要な箇所を見極めて、的を絞って対策を進めていくのです」

　そして「このソリューションを導入すれば大丈夫という考え方では防御できません。自社のセキュリティにどのような問題があるのか、その対処に必要なツールは何かを、ベンダーが考えるのではなく当事者が考えるべきです。どこが水漏れしているのか、どこにネズミが入り込んでいるのか、自分の城のことは自分しか知らないはずですから」と話を続ける。

　最後に「今後も攻撃者たちは次々と新しい攻撃を仕掛けてくるでしょうし、その変化を予測するのは不可能です。今後のサイバーリスクへの防御や対処にはゼロトラストセキュリティを構成するソリューションやそれらを実現するテクノロジーが絶対に必要です。これらの効果を引き出すには、リスクと対策の効果を可視化して次の一手につなげ続けるビジビリティを基点とした運用がキーポイントになるでしょう」と締めくくった。