新型コロナウイルスの感染拡大によるニューノーマルの到来は、それ以前から人的リソース不足や予算の問題など、悩みがつきなかった情シス部門にとって、どのような変化をもたらしたのだろうか。さらに、テレワークをはじめとした働き方の変化により、対応すべき内容に変化はあったのだろうか。とりわけ中堅・中小企業においては、情シスがほかの複数の業務とあわせてセキュリティ対策も担っているケースが一般的だ。
そうしたなか、企業が少ないリソースでより効率的かつ効果的なセキュリティ対策を実施するためには、どのような点をおさえるべきなのか──セキュリティ専門家として活躍する、SBテクノロジー株式会社 プリンシパルセキュリティリサーチャー、辻 伸弘氏と、「piyolog」運営者、piyokango氏、そして情報システム担当者として豊富な経験を持つSOMPOリスクマネジメント株式会社 サイバーセキュリティ事業本部 上席フェロー、熱海 徹氏を招き、自由に意見を交わしてもらった。
プリンシパルセキュリティ
リサーチャー
辻 伸弘氏
( https://piyolog.hatenadiary.jp/ )運営者
piyokango氏
サイバーセキュリティ事業本部
上席フェロー
熱海 徹氏
コロナ禍で情シスの仕事はどう変わったのか?
辻氏:最初に言いたいのが、昨今はなんでもかんでも“コロナ禍”で一括にして語ってしまいがちなので、まずはそこを改めるべきなのでは、ということです。確かに、新型コロナウイルス感染症の影響を受けて、在宅ワークなどリモート環境で仕事をする機会が増えてはいます。しかし、そのことが原因となって特に気をつけねばならなくなった情報セキュリティ・リスクと、いままでも変わらず最大限に注意すべきであった情報セキュリティ・リスクとを、一緒に考えてはいけないのではないでしょうか。
たとえば、スパムメール内のリンクを踏んでマルウェアに感染してしまうといった被害はずっと以前からありますよね。そのスパムメールの文面が、世界的に注目されている事件や、季節系などのイベントから、コロナ絡みのものへと単純に置き換わっただけなのに、あたかもコロナ禍特有のサイバー攻撃であるかのように語ってしまっては、本質を見失いかねません。イベント便乗であろうとコロナ便乗であろうと、スパムメールをきっかけとした攻撃への対策というのは、基本的に変わらないのです。
その一方で、社外からのVPN接続やクラウド利用などをこれまで大々的には行ってなかった企業が、コロナ禍により急遽全面的に実施せざるを得なくなったというケースはかなり多いはずです。そうした組織を狙ったサイバー攻撃に対する備えというのは、コロナ禍ならではのセキュリティ対策としてぜひ取り組むべきものです。
つまり、前者と後者をわけて考えなければいけないのではないか、ということなのです。
熱海氏:私も同じ意見ですね。むしろコロナ禍でリモートワークなどが普及したことによって、もともと潜在的だった問題が顕在化したとも言えるのではないでしょうか。
自分が情シスをやっていた数年前と、ヒト・モノ・カネにまつわる問題自体は何も変わってはいないという印象を持っています。コロナ禍でテレワークをしなければならなくなったことで、IT予算がそこに費やされることにより、もともと予定していた“何か”──たとえば定期的な機器の更新などができなくなっているはずです。これは、昨今叫ばれているデジタル・トランスフォーメーション(DX)の阻害要因となっているかもしれません。
本来の情シスの役割というのは、単にITシステムを運用保守するだけではなく、未来の明るい職場づくりでもあるはずなのですが、コロナ禍のバタバタでそれが遠のいてしまっているような気がしています。
もともとテレワークや在宅勤務というのは、人事部主導で段階的に環境を整備していくというのが一般的でした。それがコロナ禍で一挙にテレワークを行わねばならなくなったことで、ルール作りを含めて多くの役割が情シスにのしかかってきたというのが現実ではないでしょうか。
中堅中小の情シスが陥りがちな誤りとは
piyokango氏:中堅中小企業の情シスが特に注意すべきセキュリティ・リスクとして真っ先に思い浮かべるのが、2020年夏に猛威を振るったマルウェア「Emotet」でした。幸いにして今年1月に司法当局により摘発を受け活動は停止されたものの、それまでに被害を受けた組織を追ってみたところ、比較的規模の小さな企業が多いと感じました。
ここで引っかかるのが「Emotetは誰も知らないようなマルウェアだったのか?」という点です。
最初にEmotetが国内で話題になったのは、被害が拡大して多くのメディアで報道された2019年秋ごろのことです。Twitterでは「最凶ウイルス」などと取り上げられて大きな話題にもなりました。でも実は、EmotetはWordマクロの自動実行を無効化させるなどの対策が有効で、対策自体はそこまで難しくはないのです。なので話題となった時点で私もEmotetは多くの人に知られるようになり、即知のマルウェアと同じ、つまり対策も行われもはや第二波は来ないだろうと、安心していたんです。
それが2020年夏には2019年をも上回る大規模な被害をもたらすことになってしまったわけですが、この結果を受け、対策をしていて当然と思われた脅威であっても、その存在を把握していない情シスがまだまだいたのだと、コロナ禍を通じて知らしめることになったわけです。
辻氏:そうした問題点がコロナ禍を通じて浮き彫りになったという現実については、良い方向に捉えて、次なる対策へとつなげていくべきでしょうね。Emotetのように、きちんと攻撃手法をとらえた対策をしておけば防げる脅威というのは多いですから。それが新型コロナウイルスの影響によって急ごしらえで動いたために、対応すべきアクションをスキップしてしまったというのが実状のはずです。
だからこそ、いままでもやれと言われていたこと、なのにできていなかったことをちゃんと整理して、自分たちの組織を取り巻く脅威を把握し、どうすればそうした脅威から守ることができるのか、現状を見つめ直すことが大事なのだと思います。
熱海氏:情シスが陥りがちな間違いが“いままで起きていないから大丈夫”と勘違いしてしまうことです。そのため何か起きてしまったときに、あわてふためくことになります。そうならないよう、いま何が起きているのか、どのようなことが起きる可能性があるのかを、まずは情シス内できちんと可視化してみることが必要でしょうね。
コロナ禍によって情シスが対応しなければならないことが変化したと思われがちだが、実際は「日ごろから対応しておかなければならないこと浮き彫りになっただけ」といえなくもない。まずは情シス内で現状を把握し、いま何をすべきで、何ができていないのかを、あらためて見直す機会を設けることが最初のステップとなるだろう。第2回では、実際に対応をするにあたり、情シスがどのような課題と向き合わなければならないか、またその解決策について紹介する。