近年、取引先や子会社を経由して大企業を狙うタイプの「サプライチェーン攻撃」が急増するなど、取引先となる中小企業における「セキュリティ対策」が注目されている。だが、中小企業はなかなか情報システム部門に人手もコストもかけられず、「ひとり情シス」といわれる状況にある上、対策すべきポイントも多い。では、何から手を付けたらよいのか――。サイバー攻撃の侵入口となることが多いデバイスのセキュリティをよく知る日本マイクロソフトとひとり情シス協会の話から、すぐにでもできるセキュリティ対策のポイントを探る。
今、ランサムウェアや古いハードウェアの脆弱(ぜいじゃく)性など「弱点」を突く攻撃が活発化しているという。だが、中堅・中小企業(以下、中小企業)では、セキュリティ対策にコストをかけられず、人手も足りていないという課題を抱えたままのところも多い。そうした中小企業の情報システム部門(以下、情シス)ができるセキュリティ対策とは何か――。
本稿では、サイバー攻撃の侵入口となることが多いデバイスのセキュリティをよく知る日本マイクロソフトの佐藤久氏(業務執行役員 デバイスパートナーソリューション事業本部 事業本部長)と、ひとり情シス協会 事務局の清水博氏の対談から、今すぐにでも手を付けられるセキュリティ対策のポイントを探っていく。
『ひとり情シス』(東洋経済新報社)の著者である清水博氏が発起人となり、座長としてコアメンバーと共に運営している「ひとり情シス・ワーキンググループ」を母体として2020年に発足した一般社団法人。ひとり情シス・ワーキンググループでの交流や情報交換、議論のみならず、企画や調査、市場開発なども行っている。
──国内でランサムウェアやマルウェアの攻撃による被害が広まっています。その背景には何があるとお考えですか?
佐藤氏 まずは環境の変化があります。コロナ禍で、 PC などのデバイスを取り巻く環境、ひいては、働き方そのものが変わりました。モバイル PC を外に持ち出し、いつでもどこでも働くことがより多く求められるようになりました。 IT の運用方法も強制的に変えることになり、今まで気が付かなかったセキュリティやコンプライアンスの問題が見えるようになりました。
サイバー攻撃者はそうした変化における弱点を突いてきます。従来は OS やアプリの脆弱性を狙う攻撃が多かったのですが、ハードウェアやファームウェア、ドライバを起点にした攻撃が目立つようになりました。「ハイブリッドワーク」が徐々に浸透しつつある中で、より広範囲のセキュリティ対策が必要になりました。
清水氏 私もキーワードは「変化」だと思います。特に中小企業では、会社でデスクトップ PC を使うことが当たり前だったので、ノート PC でネットワーク越しに仕事をすることになって、これまで想定していなかったリスクにさらされています。あたふたしているうちに狙われてしまったのです。
もう1つのキーワードは「ひとり情シス」です。専任の IT 担当者がいなかったり、経理や人事の担当者が兼務したりしている環境では、高度なサイバー攻撃に対応するのは非常に難しい。ひとり情シス協会では、経験3年未満のひとり情シスを「ジュニアひとり情シス」と呼んでいます。ひとり情シス協会の調査では、そうした方たちが半分を占める状況です。
2022年4月からのいわゆる「パワハラ防止法」(※)の適用もあり、悲惨な状況に置かれたひとり情シスは減っています。とはいえ、セキュリティ対策は簡単ではありません。リモート作業が増えたことで、作業時間自体を取れないケースも増えています。セキュリティ被害に遭っても報告できないケースも多く、経営層にも危機感が伝わっていません。一刻も早い対策が必要です。
【※】パワハラ防止法:正式名称は「改正労働施策総合推進法」
──中小企業では、どうセキュリティ対策に取り組めばよいでしょうか。
清水氏 ひとり情シスによっては置かれた環境は厳しいと言わざるを得ません。限られた IT 投資額でやりくりしなければいけないことはもちろん、コロナ禍対策で大きな IT 関連の支出をしたばかりで、セキュリティ対策費用を捻出できずにいます。ひとり情シス自身がセキュリティ対策の重要性を理解していても、経営環境を考慮して強く進言できないことが多いのです。
ひとり情シスが声高にセキュリティ対策の重要性を訴えても、経営層が理解して有効性のある対策を講じるまでには時間がかかります。すぐにできる対策としてひとり情シス協会が勧めているのは、「デバイスを最新にすること」です。使用 OS が「Windows 10」ならば「Windows 11」にすることを意味します。
── Windows 11 へのアップデートはセキュリティ対策として有効なのですね。
佐藤氏 Windows 11 はハイブリッドワークのためにデザインされた OS です。ハイブリッドワークが当たり前の世界になったとき、2つのことに対応する必要がありました。1つは「オンライン会議のエクスペリエンス(体験)」、もう1つは「セキュリティ」です。いつでも、どこでも、どんなデバイスでも働くことができる環境を優れた体験下で実現するには、セキュリティ強化は必須でした。よくお客さまやパートナーの皆さまから、 Windows 10 が最後のバージョンではなかったのかとご指摘を頂くことがございますが、あえてあのタイミングで Windows 11 を出したのです。
Windows 11 では、「Chip to Cloud」(※)のセキュリティを提唱しています。 Windows 11 対応の PC は、「TPM(Trusted Platform Module)2.0」というセキュリティチップを標準搭載し、「Microsoft Defender」や各種クラウドセキュリティサービスを利用することで、スキル面でセキュリティ対策が難しい企業や組織でもスムーズに安心、安全なデバイス環境を整えることができます。危機的な状況にある今だからこそ、すぐにでも Windows 11 にアップデートしてほしい。それが偽らざる本音です。さらに昨今では、 PC メーカー各社さまと協力し、
「Secured-core PC」と呼ばれる製品のご提案にも力を入れております。昨今ファームウェアを狙ったランサムウェア攻撃などが増加している中、 Secured-core PC は
『 Windows 史上最も安全な PC 』として、箱から出してすぐにこれらの攻撃を防ぐことが可能です。
【※】Chip to Cloud:特別な CPU を搭載し、ハードウェアとソフトウェアのセキュリティが連携することでユーザー、データ、デバイスを一気通貫で保護できるセキュリティ
清水氏 Windows 11 のセキュリティの堅牢(けんろう)性は理解されても、 OS のアップデート作業はひとり情シスにとって手間がかかることです。限られた投資額の中でやりくりしなければならないので、 Windows 11 の厳しいシステム要件を満たす PC を準備すること経営層の理解を得なければなりません。
また、シニア層が戦力となっている企業では、バージョンアップに伴う操作感の変化など、配慮も必要になります。ユーザーインタフェースが変更することへの抵抗感で、アップデートの優先順位も低くなりやすいのです。
しかし、さまざまな理由や負担があったとしても既存の PC をそのまま使い続けることは、昨今のセキュリティリスク増大の観点からお勧めできません。さらにリスクは増大していくことでしょう。このアップデートの機会に、経営層と現在のセキュリティリスクについて十分に対話したり、ユーザー層にセキュリティへの意識を再トレーニングしたりすべきです。
──「早急に Windows 11 にアップデートすべき」と分かっていても、簡単にはできない事情があるということですね。では、どのようにデバイスやサービスのアップデートを働き掛けていけばよいのでしょうか?
清水氏 まずは、「リスクを正しく把握する」ことです。最新バージョンにしないことによるリスクは、十分に理解されているとは言い難い。米国では、FTC(連邦取引委員会:Federal Trade Commission)が中小企業にセキュリティ対策の警鐘を鳴らしていますが、その最初の項目が「ソフトウェアをアップデートせよ!」です。しつこいくらいメッセージアウトしています。
日本国内で起きるセキュリティ事故も、 OS やソフトウェア、ネットワーク機器のファームウェアなどがアップデートされていないことが原因になることが多いです。「意図してやっていない」のではなく「忘れていた」ということが多く、アップデートする意識が弱いと思われる点は否めません。
佐藤氏 クラウドの適切な利用がセキュリティを強固にすることも強調したいですね。働き方が変わる中で、デバイスにインストールされたソフトウェアだけで仕事をすることは少なくなり、メールやファイル管理、 Web 会議など、クラウドサービスを経由する仕事も増えています。そうした中で個人の ID やアプリ、生成したデータを守るのは容易ではありません。クラウド上からさまざまなデバイスとサービスを、安全にかつ適切に管理することが重要になってくるのです。
清水氏 メリットを伝えることも重要ですね。中小企業のひとり情シスで多いのが、 PC のキッティングやサポートをメイン業務として、サーバの構築を外部に任せるスタイルです。最新 OS の PC 管理機能の高さは、これまでのひとり情シスの業務負荷を軽減できる可能性が高い。基幹系システムに積極的に関わったり、デジタルトランスフォーメーション(DX)の企画立案などに時間を捻出することができたりと、ひとり情シスの本来のコア業務に対応しやすくなります。
── Windows 11 はセキュリティだけでなく、情シス向けの管理機能や PC 導入の機能も注目されていますね。
佐藤氏 Windows 11 はデバイス管理の「Microsoft Intune」やキッティング作業などを自動化できる「Windows Autopilot」に対応しており、ハイブリッドワーク環境においてユーザー体験の向上に大きく寄与します(※)。
【※】 Microsoft Intune 、 Windows Autopilot の利用には「Microsoft 365」のライセンスが必要です。
新入社員の入社や故障した PC の交換などをイメージしていただきたいのですが、従来は情シス部員が PC を設定し、オフィスで手渡していました。同じことをリモートではできません。しかし、 Microsoft Intune や Windows Autopilot を利用すると、社員の自宅に PC を送り、社員が PC の電源を入れ、 ID とパスワードを入力するだけで必要な設定をクラウド経由で適用できます。これは、デバイス利用においてユーザー体験を大きく向上させるものです。
またハイブリッドワークが普及していくことで、社外へと持ち出されるデバイスも増えてきています。例えば社員が出先でデバイスを紛失してしまった場合、 Microsoft Intune でデバイスを管理していれば、リモートワイプと呼ばれる機能を使って、データを削除することも可能です。
清水氏 Secured-core PC についても、全ての端末をリプレースすることは現実的ではないかもしれませんが、重要度に応じて利用することでうまく活用できると思います。例えば、中小企業では、 IT に詳しい人が全くいない営業所や店舗があります。また、 IoT の導入増加に伴い、工作機械に接続される PC が増加しています。日常的に忙殺されているひとり情シスから目が届きにくい部分の脆弱性を突かれて、全社や取引先まで影響が及ぶことが多いです。そうした企業内での「弱点」をふさぐ対策として、 Secured-core PC にリプレースしていくのです。「高いから必要ない」ではなく、「必要に応じて採用する」ことがポイントです。
──中小企業がセキュリティ対策をうまく進めるためのポイントはどんなことでしょうか?
清水氏 活躍しているひとり情シスは、社長の参謀格になっていることが多いです。管理職扱いで幹部のミーティングに参加することもあります。このような方は、各部門の管理職である部門長に直接進言して新しい IT 製品の導入などを調整することも可能です。
セキュリティ対策は、ある種の強制力を持った仕組み作りが重要です。管理や強制を厳しくすることは経営手法的には悪手といえますが、これから未知のセキュリティリスクと共存するには、経営者も実情を正確に理解してほしいですね。
同時に、社員の一人一人がセキュリティの脅威を把握し、社内に進言できる社内の文化を醸成すべきです。
佐藤氏 日本マイクロソフトでは、中堅中小企業のクラウドシフトを支援するために
「 IT よろず相談センター」を開設したり、 DX に向けた人材教育やリテラシー教育のプラットフォームを提供したりしています。まずは、 IT よろず相談センターに悩みごとを相談することをお勧めしています。
特にお伝えしたいのは「セキュリティ強化の第一歩は Windows 11 だ」ということです。セキュリティ対策の中心は、かつてはデバイスを管理することでした。ウイルス対策ソフトウェアをインストールし、セキュリティ修正プログラムを最新のものにアップデートするといったことです。特に経営層にもそのことを理解していただきたいと思っています。
今後もひとり情シス協会さまとも協力しながら、中堅中小企業のセキュリティ対策を支援していきます。
Copyright © ITmedia, Inc. All Rights Reserved.
提供: 日本マイクロソフト株式会社
アイティメディア営業企画/制作:@IT 編集部/掲載内容有効期限:2023年1月20日