現在、私たちはさまざまなサイバー攻撃のリスクにさらされている。
マイクロソフトが同社に対する攻撃やMicrosoft 365、Azure、XDRサービスなどから収集した、1日当たり24兆件以上のシグナルや脅威情報を元にまとめている「Microsoft Digital Defense Report」の最新版によれば、情報収集を目的とした国家主導型の攻撃はますます活発になっており、侵害成功率は昨年の21%から今年は32%へと増加している。
また、金銭を目的としたサイバー犯罪も深刻な状態で、特にランサムウェアの被害が目立っている。米コロニアル・パイプラインをはじめとする重要インフラ事業者が被害に遭うケースでは、社会的に大きなインパクトが生じてしまった。
背景には、サイバー犯罪の組織化、サービス化の進展がある。その気になれば誰でも容易にランサムウェアを用いて金銭を手にできる環境が広がってしまい、ピンポイントで特定の組織が狙われ、高額な身代金の支払いを余儀なくされるケースもある。
加えて、新型コロナウイルスの影響で、リモートワーク、ハイブリッドワークが増加していることも、サイバー攻撃者にとっては活動しやすい状況を作り出していると言えるだろう。
最新のテクノロジーと併せて抑えておくべき、基本的なセキュリティ対策
だが、決して悲観的になる必要はない。日本マイクロソフトの技術統括室 チーフセキュリティオフィサー(CSO)を務める河野省二氏によると、実はこうしたサイバー攻撃の98%は、基本的なセキュリティ対策を講じることで防げるという。
たとえば前述のランサムウェアでも他のマルウェアなどと同様に、パッチの当たっていない脆弱性を悪用し、感染後はアクセス権限を奪取して侵害範囲を広げ、重要なシステムやアプリケーションを暗号化するなどして利用不能にしたり、機密情報を盗み出したりする。
逆に言えば、「最新の環境を使い」攻撃を防ぐとともに、クラウドベースの「アンチマルウェア」などの基本的な対策をを活用することで、攻撃の対象となる脆弱性を低減し、そもそもの攻撃の成功率を減らすことができる。かつ、それでも侵害された場合に備え、被害を軽減するために、「最小権限のポリシー」に従ってユーザーに与えるのは必要最低限のアクセス権限のみに制限しておく。さらに、アクセス時には、推測や詐取が可能なIDとパスワードだけでなく、「多要素認証」を活用することで、被害を防ぐことができるというわけだ。もちろん、これらのすべての対策を実施するには、どこにどのようなデータがあり、誰にアクセスを許可するかを定めて「データ単位で保護を行う」ことが重要だといえる。こうした、サイバー攻撃に対する高い耐性を備えた環境、脆弱性を許容範囲まで抑えた状態は「サイバーハイジーン」と呼ばれる。
しばしば、他人を変えることはできず、変えられるのは自分のことだけだと言われる。セキュリティ対策についても同じことが言えるだろう。
何らかのセキュリティインシデントが発生するのは、外部からのサイバー攻撃をはじめとする脅威と、内部にある脆弱性が合致した場合だ。つまり、脅威か脆弱性のどちらかがなくなれば事故は発生しないが、他人に起因する脅威をコントロールし、なくしていくことは不可能だろう。となると自ずと、内部の脆弱性をなくし、たとえ脅威があっても悪用されない状態を作っていく、つまり、サイバーハイジーンを保つことが事故防止につながる。
最新のテクノロジーや目新しいソリューションを検討するより前に、まず基本的な対策を徹底することが重要だ。マイクロソフト&ZDNet Japan、Digital Trust Now LiveGIGのセッション「マルチクラウド時代のセキュリティ&ガバナンスの現実解」では、そのヒントを得ることができる。
IT環境をシンプルに、見通しのよいものにしていくことがガバナンスの第一歩
もう1つの重要なポイントは、ビジネス環境が複雑化する一方で、IT環境の見通しをどのように良くしていくかだ。
今や多くの企業が、オンプレミス環境に加え、プライベートクラウド、あるいはさまざまなSaaS、IaaSを活用したハイブリッド環境を構築しているだろう。しかもその環境は、企業を取り巻くビジネス環境や顧客、取引先のニーズに応じて刻々と変化しており、コンテナやKubernetesといった新たな環境も広がりつつある。
問題は、この複雑な環境の中で「一部の人にだけデータを共有するつもりが、誰でもアクセスできる状態にしてしまった」「許可すべきではない人にまで、アプリケーションへのアクセスやデータのダウンロードを許していた」といった具合に、意図せぬ設定、意図せぬ状態が発生してしまう可能性がゼロではないことだ。加えて、思わぬ脆弱性が残っているといった具合に、サイバーハイジーンが損なわれる事態もゼロではない。
もちろん、さまざまな変化に迅速に対応しようとする中で、こうしたミスが生じること自体は仕方がない部分はある。従ってポイントは、「意図せぬ状態」、つまりMiss Configurationが発覚したら、そのことにすぐ気づき、自分たちの手で直していける状態を作り出すことだ。
もし、常に自分たちが管理しているものすべてを把握し、望む状態から逸脱したら修正できる状態を作り出せれば、それはすなわち、「ガバナンスが構築できている」状態となる。ガバナンスを効率的に実現することで「レジリエンス」が確保できるのだ。 さまざまなサイバー攻撃から企業の重要な資産や情報を守るだけでなく、自分たちの事業そのものを守り、いざというときには何が起きたかの説明責任を果たすこともできるだろう。
これらの理想的な環境を構築するためには、IT環境を見通しの良いものにしていかなければならない。さまざまなサービスやアプリケーションが入り交じる複雑な環境をシンプルにするために、クラウドを利用したサービスの一元化など、基盤の再構築が必要になる。
このセッションでは、そのためにマイクロソフトがどのような構想を立て、どのようなツールを用意しているかが紹介されている。あれもこれもとセキュリティソリューションを追加し、複雑化した環境の中で運用に追われている方も多いだろうが、ぜひこのセッションを参考にし、ガバナンスの構築とよりよいセキュリティ環境の実現につなげてほしい。