前回は、2003年に発表された報告書(PDF)から、当時のCSIRTが直面していた課題の上位3件(インシデント件数や作業量の急激な増大、予算確保、優秀なスタッフの獲得と維持)が、現在のセキュリティ運用が抱える課題と類似していることを紹介しました。これは、企業がITシステムの状況を考慮し適切なセキュリティ対策を講じないと、類似した課題が表出することを示唆しています。本稿では、現在の企業に内在するITシステムを考察し、課題の解決に有効なアプローチについて考えます。
複雑化が進む企業のITシステム
企業は、社内の業務改善や事業強化を目指してITを本格的に活用し始めてから今日に至るまで、内部や外部の環境変化を幾度となく経験してきました。企業の買収や組織の統合が行われ、それに合わせてITシステムの連携や分離が進められることもありました。しかし多くの企業では、カスタマイズの積み重ねによりブラックボックス化したITシステムの改修を十分に進められず、継ぎはぎだらけの連携や強引な分離が行われ、複雑化したITシステムが散見されました。
ビジネス環境の変化に伴うITシステムの改修に加えて、仮想化やクラウドサービスといった新しい技術もITシステムの複雑化を部分的に助長しました。旧来は、ハードウェアとソフトウェアが一体となったITシステムを自前でそろえてオンプレミスで運用することが一般的でした。オンプレミスではシステムリソースの効率性や経済性に関する課題はありましたが、ITシステムのおのおのの運用範囲が明確で、インシデント発生時の影響範囲も限定的でした。やがて仮想化やクラウドなどの技術によって効率性や経済性の課題は解決に向かい、データとアプリケーションは保管や設置の場所に縛られることなく、活用が進みました。その一方で、さまざまなサービスを絡み合わせながら稼働することが簡単にできるようになり、ITシステムの複雑性が助長されました。
CSIRTをはじめとするセキュリティ組織は、インシデントの発生を防ぐことはもちろん、インシデント発生後の被害を最小限に抑えなくてはなりません。しかし、複雑化が進むITシステムでは、システム全体の状況を迅速に把握することが困難になってきています。さらに、適切なセキュリティ施策の検討と導入を阻害し、インシデント発生時の調査や被害範囲の特定に遅れが生じます。結果として、インシデント対応の長期化によるビジネスへの影響が懸念されることとなります。
コロナ禍による拙速なテレワークの導入
ITシステムの複雑化が進む中で2020年1月に、新型コロナウイルス感染症(COVID-19)が発生しました。感染予防のために出社を控えようと、多くの企業が拙速なテレワークの導入を余儀なくされました。一般的にテレワークとは、業務で使用する端末を社外に持ち出し、インターネットを経由して就業することを指します。具体的には、対面での打ち合わせはオンラインのビデオ会議に切り替わり、社内へのアクセスはVPN回線を経由してアクセスするようになりました。
このようなテクノロジーを活用して迅速にテレワーク環境を社員に提供するべく、多くの企業では、暫定的にセキュリティポリシーを緩和し、VPN回線を増築し、クラウドサービスの導入を決めました。しかし、可用性の確保だけを目的として適切なセキュリティ対策を講じずに導入されたITサービスやシステムは、企業に新たなITリスクをもたらします。実際にCOVID-19が世界保健機関(WHO)によりパンデミックと認定された2020年3月以降、世界中で多くのサイバー脅威が発生し、一部の企業に重大な被害をもたらしています。
コロナ禍で増えるフィッシングの報告(フィッシング対策協議会「2020/12 フィッシング報告状況」より)
コロナ禍で増えるインシデント(JPCERT コーディネーションセンター「2020/10インシデント報告対応レポート」より)
新たなITリスクへの対応には、多様なスキルに基づく高度な判断が求められるため、ITセキュリティ人材の力が欠かせません。しかし彼らの多くは、既存のITシステムのセキュリティ対応に手一杯です。だからこそ、今まで以上にITセキュリティ人材の適正配置が求められています。