2020年は、パンデミックに伴うリモートワークやデジタルトランスフォーメーション(DX)への対応が急がれ、大きく変化した1年だった。在宅勤務が普及したことで、VPNや家庭用Wi-Fiルータの脆弱性を狙ったサイバー攻撃やセキュリティ脅威が発生し、多くの企業にとってかつて経験したことのないほど大規模なネットワーク環境整備が必要となった。
こうした状況は今もなお続いており、2020年12月に発覚したSolarWinds製品に対するサイバー攻撃は、より強固なセキュリティ対策が必要であることを世界中に知らしめた。
米大手電気通信事業者であるVerizonが発行した年次レポート「2020 Data Breach Investigations Report - Executive Summary」によると、2020年に発生した情報漏洩の70%以上が、大企業を標的としたものであったことがわかった。さらに、こうした情報漏洩の大半は、社外で活動する外部アクターによるものだった。
IT部門にとっては、以前からあった数々のセキュリティ問題に加えて、今回のパンデミックによって過去に類をみないほど、障害が次から次へと発生して頭を抱えた日々が続いた1年であったろう。SolarWindsの一件からもわかる通り、機密情報や重要資産には、攻撃者にとっても計りしれないほどの価値がある。以下、企業ネットワークを保護するための3つのポイントを検証してみる。
(1)クラウド環境への特権アクセス
米国の調査会社であるIDGが発行したレポート「2020 Cloud Computing Survey」によると、企業のIT環境の92%がすでにある程度クラウド化されており、半数以上(55%)の組織が複数のパブリッククラウドを使用し、21%は3つ以上を使用していると回答している。
セキュリティの観点からみると、企業のIT環境がクラウドへ移行したことは、攻撃範囲が拡大したことを意味する。では、攻撃者は何を狙うのだろうか?もちろんオンプレミスの企業システムに侵入することも絶え間なく狙うだろうが、確実にクラウド上にある企業資産も狙うはずである。
まず攻撃者が実施することは、パブリッククラウドの管理コンソールの奪取である。クラウド管理コンソールは、データ分析、仮想マシン、データストア、データベース、ネットワーキング、デベロッパー サービスなど、クラウド運用に必要なあらゆるツールを管理し、状況や情報を確認できる。そのため、攻撃者にとっては、コンソールにさえ侵入してしまえば、そのクラウドリソースは使いたい放題となる。1カ所を打破すれば、その後ろにある膨大な重要なデータやリソースが奪取できるという意味では、攻撃者にとって、管理コンソールの奪取はとても効率的なのである。
クラウドにシフトした結果、企業には従来型ネットワークの境界線がなくなったが、クラウドにアップロードされたデータのセキュリティ保護は誰の責任なのだろうか。責任はクラウド・プロバイダーにあるのか、それとも、データをアップロードした顧客企業にあるのか、明確にしておく必要がある。
クラウド環境の特権アカウントの設定ミスは、こうした不明確さから生じることが多く、情報漏洩の代表的な原因でもある。初期設定時の認証情報の管理を怠ることで、必要以上の権限が許可されてしまい、関係のないユーザーまでが機密情報へ不要にアクセスすることができてしまう。
ITチームがこうした問題を解決しようとするなかで、ユーザーの権限と特権を管理する人工知能(AI)を活用した自動化ツールは効果的だ。こうした製品は、必要以上の特権を持つアカウントを発見し、余分な権限を削除する迅速かつ効率的な手段だ。
(2)外注事業者におけるセキュリティ保護
2020年に、CyberArkは企業のITおよびセキュリティの意思決定者を対象に、社内の重要な情報リソースへのアクセス管理をどのように実施しているかを調査した。この調査において、90%が業務委託企業や外注業者に企業の内部リソースへのアクセスを許可していると回答した。さらに驚くことに、英国企業の25%は100社以上の企業へ業務委託しているという。コンサルティングであれ、サプライチェーンであれ、社内業務の外注は日常的に行われており、外注事業者のアカウントだけでも、かなりの数に上ることは明白である。
業務委託先の企業の多くは、それぞれ顧客企業の社内リソースやデータベースへアクセスする必要がある。機密情報や重要資産の破損や窃盗は、重大な損害をもたらす可能性があることを理解しつつも、多くの企業が、こうした重要な社内リソースへのアクセス権を第三者に付与しているのだ。
多くの組織にとって、外注事業者のアクセスを管理・保護することは煩雑だ。多要素認証、VPNサポート、会社管理ノートブックの貸し出し、ディレクトリサービス、エージェントなどの製品を組み合わせたソリューションが必要になるからだ。また、セキュリティの責任は業務委託先に委ねられるため、ITチームにとってはかなりの負担となる。自社のセキュリティ対策、ポリシー、プロトコルは信頼できても、第三者のセキュリティ対策を信頼できるだろうか。
事実、レンタルオフィス企業であるリージャスは2020年の初め、まさに前述の状況下にいた。このことがきっかけで不正アクセスを許してしまい、業務委託先を通じて、従業員の詳細な情報が漏洩してしまった。リージャスでは、従業員の監査を業務委託しており、その業務委託先でセキュリティ対策が脆弱であったため、英国の新聞であるTelegraph紙の調査によって情報漏洩が発覚した。こうした出来事が、企業の評判や財務状況に与える影響は深刻だ。
上記の事例は、なんらかのサービスを外注するすべての企業にとって注意すべき点である。すべての外部事業者に付与されている特権アカウントは、常時管理・監視すべきである。こうしたアカウントには、セキュリティ保護、構造化し、マルチレベルでの監視体制を整えた上で、必要なアクセス権のみを委託先に付与する必要がある。
したがって、このような監視体制を実現したいと考えている企業にとって、高度なSecurity-as-a-Serviceパッケージは最適なソリューションである。
(3)従業員の監視および教育
従来のオフィスへ出社して勤務するという形から、新型コロナウイルス感染防止策の一環としてテレワークが急速に普及した。この大きな変化は今までにはなかった新たな課題をもたらした。例えば、外部から社内ネットワークへ安全に接続できるようなネットワークの構築は、ITチームの大きな重荷となった。従業員の自宅のWi-Fiルータであれ、個人のパソコンであれ、膨大な数のデバイスが仕事で使わるようになり、さまざまなセキュリティリスクが発生したのである。
こうした課題は、2021年も続いている。非常事態宣言の延長やまん延防止等重点措置が続く中、引き続き自宅から勤務する人は多いだろう。働く場所が変化しても、セキュリティを担保することは、今後も企業が対応すべき課題である。
こうした課題を解決しようと、よかれと思って講じている解決策も、実際は問題を大きくしまう場合がある。また、悪意のある脅威アクターをネットワーク内から排除する方法として、セキュリティポリシーに必要以上に依存している企業もあまりに多い。事実、CyberArkが実施した2020年12月の調査によると、英国の従業員の50%以上は、企業のセキュリティポリシーを無視していることがわかった。
セキュリティポリシーが遵守されない理由の1つとして、使いにくさや手間が挙げられる。企業はセキュリティの重要性を認識しているが、従業員が実際に使用するにはあまりにも複雑な場合がある。その結果、従業員は効率性と使い勝手を優先してしまう。
こうした問題の解決には、お互いに歩み寄ってバランスを取る必要がある。従業員がセキュリティポリシーの重要性を理解し、セキュリティポリシーを遵守して行動すべきであり、一方、ITチームは、被害を最小限に抑えられるツールとプロセスを導入する必要がある。
こうしたセキュリティ課題に共通して言えることは、特権アカウントが密接に関わっているということだ。人間にひもづくIDや人間にひもづかないマシンIDのすべてを含む特権アカウントである。特権アカウントにミッションクリティカルなデータ、システム、アプリへのアクセスの権限があることは、サイバー犯罪者もよく理解していて、関連する特権を得るために、あらゆる手法で不正アクセスを試みるだろう。企業のITチームにとっては、十分な対策を講じることで、よりいっそう強固な防御体制を確立することが急がれる。
著者プロフィール
リッチ・ターナー(Rich Turner)
CyberArk EMEA地域 セールス担当 シニア・バイス・プレジデントCyberArkのEMEA地域のセールス担当シニア・バイス・プレジデントとして、ヨーロッパおよび中東、アフリカ地域におけるCyberArkの事業成長を促進し、戦略的な取り組みの立案から実行までを担っている。 CyberArkに入社する前はFireEyeでEMEA地域の社長を務め、それ以前は、英国のセキュリティソフトウェア企業であるClearswift Systemsの最高経営責任者として活躍し、在籍中はサブスクリプション収益の向上と営業利益率の改善を推進した。そしてLyceum Capitalへの会社売却を主導し、その功績から英国サイバーセキュリティ情報誌のSC Magazineからリーダーシップを認められた。そのほか、RSAに11年以上在籍し、EMEA地域をはじめアジア太平洋地域で副社長として従事していた。