テレワークやクラウドなど新たな技術が普及する裏では、サイバー攻撃もまた高度化・巧妙化し続けています。このような状況下、情シスはセキュリティ対策にどのように取り組んでいるのか、2020年12月〜2021年1月にかけてソフトクリエイトが実施したアンケート結果※をもとに解説します。
※情報システムの現状とIT システム活用実態アンケート 2021
ランサムウェア被害約14%、PCのウイルス感染約40%
近年、サイバー攻撃の高度化・巧妙化が指摘されています。サイバー攻撃者は昨今、金銭目的で企業に狙いを定め、的確に弱点を突いて不正侵入を行うケースが増えています。2020年には大手企業がランサムウェア攻撃の被害に遭ったことが報じられました。このランサムウェア攻撃は、システムを乗っ取り暗号化するなどして、もとに戻すためには数億円という莫大な身代金を要求してくるものとして知られています。しかし、攻撃者は企業規模に合わせて身代金の金額を数百万円〜数千万円と設定してくるとのことで、あらゆる規模の企業にとって大きな脅威となっています。
ソフトクリエイトの調査によると、このランサムウェアによる被害に遭った企業は14.4%。この数字は決して少ないものではありません。今、企業にとってランサムウェア攻撃が大きな脅威となっていることがわかります。
また、ほかのセキュリティインシデントについては、「クライアントPCのウイルス感染・サイバー攻撃」が39.7%、「メールからのウイルス感染・情報漏えい」が31.0%という結果になりました。特定の企業を狙う標的型攻撃はメール経由でマルウェア感染するケースも多くあります。メールによる攻撃は、これまでのファイアウォールなど境界型セキュリティ対策だけでは防ぎにくいだけに、新たな脅威に備えるための対策が必要な時代となりました。
新時代のセキュリティ対策「ゼロトラスト」取り組み検討は約3割
これまでの境界型では守りきれないサイバー攻撃があることや、テレワークやクラウド活用など新しい働き方に適したセキュリティ対策として、ゼロトラスト※が注目を集めています。
ゼロトラストに対し「すでに取り組んでいる」「取り組みを検討している」と前向きな回答の合計は33.1%、「取り組みを検討していない」「よくわからない」の合計は65.7%となりました。
ゼロトラストに寄せられた情シスのコメントをいくつか紹介します。新しい考え方をどうとらえるか、自社の参考にしてみてはいかがでしょうか。
- ▼「絶対に防げる」防御方法はないので、「ゼロトラスト」は現状に則している
- IT デバイスならびにインターネットの利用が増え続けている現状において、セキュリティインシデントの発生パターンは拡大、また発生確率も上昇の一途をたどっており、「絶対に防げる」防御方法はないと断言できるため、性悪説的にトラフィックをとらえるゼロトラストの考え方は現状に則していると考えます。
- ▼人的資源、予算、知見、経営層の理解が足りない
- 全ての通信を信頼しないことを前提に、さまざまなセキュリティ対策を講じるとのことではあるが、現状そういった対策に取り組む環境(人的資源、予算、知見、経営層の理解)にない。
- ▼マッチする製品やサービス、聞くべき相手がわからない
- ゼロトラストの考え方を取り入れた対策を取り組みたいが、どのような製品やサービスが自社にマッチしているのか、調査検討する時間がなかなか作れない。また、それをどのような会社に聞けばよいかもわからない。
- ▼全てのトラフィックは信頼できない、社員全員の意識が大切
- 現在の標的型攻撃などを考えた場合、全てのトラフィックは信頼できないことは当然であると考える。社員の中のたった1人がメールに添付されたウイルスファイルを開いたことで、全社システムが停止する危険性を強く意識することが大切である。
※ゼロトラスト/ゼロトラストモデル
「内部であっても信頼しない、外部も内部も区別なく疑ってかかる」という「性悪説」に基づいた考え方。利用者を疑い、デバイス(機器)を疑い、許されたアクセス権でも、なりすまし等の可能性が高い場合は動的にアクセス権を停止する。防御対象の中心はデータ、デバイス等のリソース。
(『
政府情報システムにおけるゼロトラスト適用に向けた考え方』政府CI O 補佐官等ディスカッションペーパー 2020 年6月
より引用)
まとめ
今回の調査では、セキュリティインシデントの実態、情シスのセキュリティの新たな考え方である「ゼロトラスト」の取り組みや意識の現状などがわかりました。ニューノーマル時代のITのあり方を考える上で、堅牢なセキュリティ対策は必要不可欠なもの。他社の取り組みや考えを学び、自社への対策の参考にしてはいかがでしょうか。