サイバー攻撃は、セキュリティ対策が追い付かず手薄なところ、利用者のリテラシーが低いところを集中的に狙う。その手口はますます巧妙化・高度化しているが、ターゲットは「必ずしも大企業だけではない」ということを強く認識しておきたい。
「情報漏えいやサイバー攻撃のリスクは大企業ほど高くなるのでは?」と考える人が多いかもしれないが、実は大企業と取り引きのある中小企業やテレワーク中の個人も狙われているのだ。
特にテレワークでは自宅や外出先から社内のシステムに接続することになり、その途中経路となる端末やネットワーク機器が狙われやすい。中でも見落とされがちなのがVPNである。VPNを利用すれば基本的に端末と社内システムの間は安全に通信できるが、それは「正しいユーザーがアクセスしている」ことを保証するものではない。
実際、2020年にはVPN機器に潜む脆弱性を突いたサイバー攻撃によって、ユーザーのアカウントやパスワード情報が流出し、社内への不正アクセスが発生した事例が後を絶たなかった。
シスコシステムズ 提供資料
経営者にこそ知ってほしいアフターコロナの最新セキュリティ事情と対策
> > 資料ダウンロードはこちら
ゼロトラストという概念を取り入れたセキュリティ対策
前述の話はVPNに限った内容ではなく、OSやアプリケーションなどさまざまな脆弱性は修正プログラム(パッチ)を適用することで対策できる。これを怠るとサイバー攻撃の格好のターゲットになるわけだが、さまざまなメーカーから数多く提供されるパッチを当て続けるのも大変な作業であることには違いない。
そこで「ゼロトラスト」という概念を取り入れることも考えておきたい。従来はネットワークの内と外の間に境界を設定し、境界内(社内)のネットワークは安全であることを前提にセキュリティ対策を行ってきた。
しかしテレワークが広まった現在では、社外の端末が社内ネットワークに頻繁にアクセスする状況が当たり前になり、中には社内に感染を持ち込む端末がある可能性も十分に考えられる。もはや社内ネットワークは信頼できず(ゼロトラスト)、ユーザーが社内のシステムやクラウドサービスを利用しようとするたびに認証やデバイスチェックを行うという方式が有用といえる。
* * *
ここまで、大企業以外もサイバー攻撃の対象となり得ること、セキュリティ対策にゼロトラストという概念が有用であることなどを説明してきた。ほかにも、自宅の脆弱なネットワーク環境、多様化する端末の管理、不正アクセスのリスクといった観点から、自社のセキュリティ対策を見直すことをおすすめしたい。詳細については下記のリンクからダウンロードできる資料を熟読いただければと思う。
ダウンロード資料のご案内
シスコシステムズ 提供資料
経営者にこそ知ってほしいアフターコロナの最新セキュリティ事情と対策
> > 資料ダウンロードはこちら
[PR]提供:シスコシステムズ