働き方改革やテレワークの取り組みが進むなか、どのようにセキュリティ対策を講じていくかが課題になっている。特に中堅中小企業はセキュリティ予算が限られることもあり、十分な対策ができていないケースが目立つ。そこで活用したいのがクラウドベースのセキュリティ対策だ。
今なぜ中堅中小企業にとってセキュリティが重要なのか
「蟻の穴から堤も崩れる」「鎖の強さは最も弱い環の部分で決まる」──。そんな古今のことわざがサイバーセキュリティの世界で現実のものになっている。アメリカに本社を置く大手通信事業者のベライゾンが毎年発表している「データ漏洩/侵害調査報告書」の2018年版によると、昨今のサイバー犯罪の主要なターゲットはサプライチェーンにあるという。攻撃者が企業からデータを盗もうとする場合、その企業との取引関係を洗って、サプライチェーンのなかで"最も弱い環"や"穴"を見つけ、そこから攻撃を開始しているということだ。シスコシステムズの執行役員 セキュリティ事業担当である田井祥雅氏は、脅威の背景をこう解説する。
「サプライチェーンのなかで弱い部分になりやすいのが中堅中小企業です。規模の大きい企業はセキュリティ対策に割ける予算は相対的に大きくなります。しかし、中堅中小企業は限られた予算で大手企業と同等のセキュリティを実現しなければなりません。サイバー犯罪者が狙うのはそのギャップです。セキュリティ対策に十分な手が打てない中堅中小企業からまず情報を盗み、その情報を使って大手企業に攻撃をしかけていくのです」(田井氏)
実際、ベライゾンの調査レポートでも、サプライチェーンからのデータ漏洩/侵害のうち中小企業が狙われて事故につながったものは全体の約60%に及んでいる。
「サプライチェーンは単に企業間の取引関係を示すだけではありません。IT化の流れのなかでさまざまなシステムが結びつくようになりました。受発注システムはもちろん、企業の信用情報や顧客データをやりとりするケースも増えています。そうした情報をIT担当者に気づかれずに盗み出したり、IT担当者のIDを乗っ取って取引先のシステムに侵入するといったことが現実に起こっているのです」(田井氏)
近年は、EUの一般データ保護規則(GDPR)のように、個人情報の取扱に関するガイドラインが世界的に強化される傾向がある。セキュリティ侵害の被害がサプライチェーン全体に及ぶ場合、取引先から途方もない損害賠償を請求されることもある。中堅中小企業にとって自社システムが「攻撃の踏み台」にされることは事業継続の危機とも言えるものだ。「うちには重要情報がない」「中小企業だから狙われない」ではなく、中堅中小企業だからこそセキュリティ対策を強化することが重要なのだ。
働き方改革への取り組みで重要な役割を果たすセキュリティ
セキュリティ対策というと、投資効果を生みにくいものとして、どうしても予算確保が後手にまわりがちだ。だが、セキュリティへの投資が、ビジネスに好影響を与えることは近年の常識になりつつある。例えば、働き方改革への取り組みでは、セキュリティが重要な役割を果たす。
働き方改革のなかでも特に効果が期待できるものとして総務省が導入を後押ししているのがテレワークだ。総務省の「ICT利活用と社会的課題解決に関する調査研究」(平成29年)によると、テレワークの導入にあたっての課題として最も多く寄せられた回答は「情報セキュリティの確保」(複数回答で約50%)だった。テレワークを行う際には、自宅などの社外で利用するPCからの情報漏洩が懸念され、導入に二の足を踏む企業も少なくない。そのことが調査にも現れていると考えられる。
「しかし、このことは適切なセキュリティ対策を施しさえすれば、企業として働き方を変え、さまざまなメリットが得られるチャンスになると考えることができます」と田井氏は指摘する。
日本テレワーク協会によると、テレワークの導入効果は大きく7つある。「事業継続性の確保(BCP)」「雇用創出と労働力創造」「オフィスコスト削減」「優秀な社員の確保」「ワーク・ライフ・バランスの実現」「生産性の向上」「環境負荷の軽減」だ。
企業としてテレワークを推進し、柔軟な働き方ができる環境を整えることは、こうしたメリットを享受するチャンスになるわけだ。
「優秀な社員をどう確保するか、ワーク・ライフ・バランスをどう実現するかは、中堅中小企業にとっても大きな課題です。セキュリティがボトルネックになってテレワーク導入に踏み出せないという状況は多い。そのボトルネックをなくし、中堅中小企業であっても大手企業と同等なセキュリティを確保できるようにし、メリットを最大化していくことが重要です」(田井氏)
Cisco Umbrellaで簡単かつ高度なセキュリティを実現
では、どのようにしてセキュリティを確保し、働き方改革のメリットを最大化していくのか。そのためにシスコが提案しているのが「Cisco Umbrella」だ。シスコシステムズのセキュリティ事業 サイバーセキュリティ セールススペシャリストの福留康修氏はこう説明する。
「Umbrellaは文字通り『傘(アンブレラ)』を意味しています。クラウドサービスとして提供され、Cisco Umbrellaが、本社や取引先、外出先、リモートオフィス、自宅、カフェなどに傘のように覆いかぶさるかたちでユーザーを保護します。ユーザーはどのような場所で仕事をしていても、さまざまな脅威から身を守ることができます」(福留氏)
ネットワーク機器で知られるシスコシステムズだが、実はセキュリティサービスでも世界有数の企業だ。ネットワークで培ってきた知見や経験を生かし、他社では提供できないような画期的なセキュリティサービスを提供している。Cisco Umbrellaは、シスコがそうした経験を生かして中堅中小企業向けに提供するサービスだ。特徴は「傘」を構成する際にDNSの仕組みを活用していることにある。
「DNSは、インターネットの電話帳のようなものです。インターネットの住所にあたるIPアドレスは数字の羅列であり、そのままでは扱いにくい面があります。そこで電話帳であるDNSを使って読みやすい名前に変換します。この名前解決の仕組みを活用して、社内外にかかわらずPCやスマートフォンからのすべてのインターネットアクセスをCisco Umbrellaを通してチェックして、マルウェアが潜むサイトへのアクセスをブロックし、攻撃を未然に防ぐのです」(福留氏)
例えば、ランサムウェアによる攻撃をどう防ぐかを見てみよう。ランサムウェアはユーザーが悪意のあるWebサイトを訪れたり、メールに添付されたリンクやファイルを開いて悪意のあるWebサイトに飛ばされてしまうことで感染する。
Cisco Umbrellaを利用すると、ユーザーがWebサイトへアクセスする際に、インターネット接続の名前解決を実行し、サーバのIPアドレスを確認、悪意のあるWeb サイトである場合はこの通信をブロックし、実害が出る前に脅威を防ぐ。PCやタブレット、IoT機器などのインターネットに接続されている社内外のすべての機器で脅威を防御することが可能だ。
「DNSは、PCなどのデバイス上でアドレスの指定を変えるだけで設定が可能です。また、インターネットに接続する際は基本的にすべてのアクセスで名前解決が行われます。そのため、簡単で高度なセキュリティを提供できるのです」(福留氏)
中堅中小企業の今も、未来も、支え続ける
DNSによる名前解決を行う際に重要になるのが、悪質なWebサイトの存在をいかにすばやく正確に把握できるかだ。ここでシスコのネットワークに対する知見や経験が生きてくる。
「シスコには世界最大級の解析力と情報提供体制を持つセキュリティ インテリジェンス&リサーチ グループ「Cisco Talos」があります。Talosが収集する1日あたりのユニークマルウェア数は150万件、1日あたりに処理されるDNSエントリ数(名前解決の件数)は1,750億件に達します。これは、セキュリティ専門ベンダーをも大きく凌ぐ規模です。また、シスコはインターポール(国際刑事警察機構)や、日本では内閣サイバーセキュリティセンター(NISC)などの様々な情報セキュリティ機関と連携し共有される事でサイバー犯罪への対処や防止にも取り組んでいます」(福留氏)
Cisco Umbrellaは、このCisco Talosのインテリジェンスが基盤にあり、最新の脅威にすばやく対抗できるようになっている。また、DNSだけでは判別できない脅威にも対応しており、IT部門に許可を得ずにITを利用する「シャドーIT」を可視化することや、社内で利用できるアプリケーションを指定してコントロールするといったこともできる。
国内での事例も豊富で、インターネット通信そのものを監視し、初期費用を抑え、シンプルで安全なネットワーク環境を実現した武蔵野赤十字病院や、導入負荷や管理負荷が軽く、エンドユーザーに特別な教育が不要なことを評価して導入した光文社などの事例※がある。
※詳しくは下部のURLから
「サプライチェーン上でのITのつながりは今後ますます密接になっていきます。また、クラウドの利用が広がり、テレワークのようにさまざな場所で仕事をするスタイルが広がってきています。脅威は日々進化していて、従来のような社内向けのアンチウイルスやUTM製品だけでは対抗できなくなっています。そんななか、簡単に導入でき、クラウドサービスで傘のようにデバイスを保護できる仕組みは大きな力となるはずです」(田井氏)
特に、限られた予算でセキュリティ対策を取り組まなければならない中堅中小企業にとってはCisco Umbrellaは力強い味方になるはずだ。生産性向上や人材確保の面でも大きな効果が期待できる。無料のトライアルも受け付けているので、試してみてはいかがだろうか。
[PR]提供:シスコシステムズ合同会社