コロナ禍で世界は、サイバー攻撃はどう変わったか、ゼロトラストセキュリティのポイントは？：セキュリティ・アディッショナルタイム（45）

COVID-19によりテレワークが広まり、デジタル化の必要性が高まっている。この大変動に伴って、サイバーセキュリティの世界はどのように変わり、何に備えるべきなのだろうか。

[高橋睦美，＠IT]

RSA CTO ズルフィカー・ラムザン（Zulfkar Ramzan）氏

　2020年、年が明けたとき、この1年がこんなふうになると予測した人は果たしていただろうか。新型コロナウイルス感染症（COVID-19）が急速に拡散してからというもの世界は一変。そのインパクトは、医療はもちろん、生活、経済といったあらゆる領域に及んだ。身近なところではテレワークが広まり、これまで顔を合わせて行われていたミーティングやカンファレンスがオンラインに移行したことを肌で実感している人も多いだろう。

　「多くのカンファレンスがバーチャルカンファレンスになった。この結果、より多くの人が参加できるようになるというメリットがあった。私自身、移動時間が不要になったことからより多くのカンファレンスに参加し、スケジュールに合わせてセッションを選んでいる」と、セキュリティ企業RSAのCTO（最高技術責任者）、ズルフィカー・ラムザン（Zulfkar Ramzan）氏は言う。

　では、この大変動に伴って、サイバーセキュリティの世界はどのように変わり、何に備えるべきなのだろうか。

COVID-19がもたらした新しいスタイルと新しいリスク

　2020年、世界中で猛威を振るったCOVID-19は、多くの人の命を奪い、経済にも深刻な影響を及ぼした。ただ同時に、いや応なしにという側面はあるが、「COVID-19は、デジタルトランスフォーメーション（DX）の最大のアクセラレータになった」とラムザン氏は述べた。

　テレワークによって自宅で仕事ができるようになり、通勤時間が不要になった上、出張も不要になった。「飛行機に乗らなくても同じ日に3カ国の顧客とミーティングできるようになるなど、これまでよりも多くの顧客と話ができるようになった。この新しい環境によって家とオフィスの境界がなくなり、仕事とプライベートの境目が曖昧になり、根本的に新しいワークスタイルが生まれている」（ラムザン氏）

　オフィスで同僚とフェースツーフェースで交わす会話の良さも残るだろうが、「効率性を高めるという観点からDXは今後も継続し、これまでのやり方と新しい働き方の間で『幸せな中庸』を見いだしていくことになるだろう」とした。

　ただ、残念ながらこの新しいスタイルにはリスクも伴う。COVID-19後、サイバー脅威のトレンドにも幾つかの変化が生じたという。

　「まず、人々はより多くのコミュニケーションや取引をオンラインで、あるいはVPN経由で行うようになった。コンシューマーもオンラインで物品を購入するケースが増えているが、サイバー攻撃者はそこを狙っている。ある食料品チェーン企業の顧客は、COVID-19以降サイバー攻撃が8倍に増加したと報告している」（ラムザン氏）。

　さまざまな報道でも見られるように、COVID-19関連のキーワードを取り入れたフィッシングメールが増加している他、対策の最前線に立つ病院などの組織を狙ったランサムウェア攻撃も報告された。

　その動機はさまざまだ。これまで同様、金銭目的のサイバー攻撃もあれば、国家や関連機関がスポンサーとなったスパイ活動もあるし、何らかの主義主張や自己顕示を目的としたものもある。

　いずれにせよ「あるサイバー攻撃では、侵入後にビットコインのマイニングを行うマルウェアを仕掛け、企業のリソースを不当に使うとともに、時間をかけて潜伏して企業の重要な情報を盗んで販売していた」と同氏が説明するように、1つの攻撃が長い時間をかけ、複数の形で被害をもたらすこともあるため、いったん侵害されると、さらに甚大な被害につながる恐れがある点に注意が必要だという。

可視化し、知見を導き出し、アクションを取ることでリスク低減を

　そんな中、企業はどのように脅威に備えていけばいいのだろうか。

　ラムザン氏はまず「サイバー攻撃はいずれ成功するという前提に立ち、リスク志向で考えることが必要だ」と述べた。ある攻撃を受けたとして、それがどのくらいビジネスにインパクトを及ぼすのか、自社にどのくらい致命的な影響があるのかを検討しながら優先順位を付けていくことが重要だという。

　「なぜCOVID-19の文脈でこれが重要かというと、その影響でDXが加速し、われわれはますます多くのデジタル技術に依存するようになったからだ。多くの人がリモートで働くようになり、COVID-19への不安やストレス、プレッシャーにさらされる中ではミスを犯しがちで、それがセキュリティ上の脆弱（ぜいじゃく）性につながる恐れがある」（ラムザン氏）

　この数年でセキュリティ予算は以前に比べ増えつつあるが、「こうした新たな問題も含め、全ての課題に等しく対応していくのは困難だ。ビジネスの要件やセキュリティ上のニーズとバランスを取りながら、何にフォーカスするかを考慮して対応しなければいけない」（ラムザン氏）

　次に重要なポイントは「可視性」を確保することだ。「見えないものは管理できない。リスクに対応するにはリスクを可視化する必要がある。自社にとって重要なデジタル資産は何で、従業員がどのような動きをしており、データがどこでどのように動いているかを可視化し、把握しなければいけない」（ラムザン氏）。5G通信が本格化し、つながるIoT機器が増える中、「エンドポイントからコアネットワーク、クラウドに至るまで、そしてIoTやOTを含めて、包括的に可視化していかなければいけない」とした。

　ただ、「単に可視化するだけでは不十分だ。データを収集し、時にML/AI（機械学習／人工知能）を活用して分析を加え、それらが何を意味しているかという『インサイト』（知見）を得ることが重要だ。そしてそのインサイトを意味あるものにするためにはしっかりアクションを取らなければいけない。これにより初めてリスクが緩和できる」（ラムザン氏）

　そしてRSAとしても、リスクを可視化し、知見を得てアクションを取るという一連のループを支援し、ひいてはインシデントに効率的かつ自動的に、しかも適切に対処していけるよう支援し続けていくという。

にわかにはやった「ゼロトラスト」、そのポイントは？

　COVID-19の影響を受けてテレワークが広がる中、セキュリティの文脈で最も注目を集めるようになったキーワードが「ゼロトラストセキュリティ」だろう。

　これまでコンピュータセキュリティは、「信頼するが検証する」という考え方に基づいて構築されてきた。ゼロトラストセキュリティはさらに一歩踏み込み、「決して信頼せず、常に検証する」という考え方であり、源流はフォレスター・リサーチのアナリストが提唱するよりもずっと前、コンピュータ草創期の1970年代にさかのぼるという。

　ただラムザン氏は、実は「決して」とか「常に」といった表現が用いられるゼロトラストという言葉はあまり好きではないそうだ。セキュリティの世界はリスク管理の世界であり、白黒をはっきり付けるよりも、その間にあるいろいろなグレーのニュアンスが大事だからだという。

　その上でラムザン氏は「いずれにせよ重要なポイントは、システムやユーザーを“やみくも”に信頼するのではなく、信用すべきものを最低限にとどめることだ。そして、強力な認証とID管理、IDガバナンスのライフサイクル管理、インフラやネットワーク、エンドポイントのモニタリング・管理といった手段を通して、システムやユーザーが何をしているかを“検証”する仕組みを整えることが重要だ。さらに、ゼロトラストは製品でもなければフレームワークでも、戦略でもない。リスクに向き合う“マインドセット”であり、マーケティング上のはやり言葉に踊らされず、全体像と自社が解決したい問題に、そしてリスクを削減していくことにフォーカスすることが重要だ」と企業にアドバイスした。

　最後にラムザン氏は「今世界は大きなシフトチェンジに直面し、これまでの前提が通用しなくなっている。セキュリティもまた、この新しい運用モデルに合わせたものに再編していかなければいけない。そのためには、リスク志向で考え、可視性を確保し、そこから得られた知見に基づいてアクションを取ってリスクを緩和していくことが鍵になる」と述べていた。