037| サイバーセキュリティ企業のCISOが語るCOVID-19と企業のセキュリティ対策
情報セキュリティの世界では、コンピュータウィルスへの感染や発生のニュースが日常的なものとなっています。しかし、新型コロナウィルスによる感染症の拡大は、世界中を混乱と不安に陥れています。この1-2ヵ月で、人々の生活が激変し、企業に大きな影響を及ぼしています。エフセキュアのCISO(最高情報セキュリティ責任者)であるErka Koivunen (エルカ・コイブネン)は、サイバーセキュリティサウナ(英語)に出演し、このパンデミックが企業のサイバーセキュリテに及ぼす影響とリモートワークへのシフトについて語っています。
お聴き(英語)になる。
ヤンネ: エルカ、ようこそ。
エルカ: お招きありがとうございます。
このエピソードの収録はパンデミックの最中に行われているので、私たちはそれぞれの自宅から参加し収録していますが、まずはご自身のエフセキュアでの役割についてお話しいただけますか。
私はサイバーセキュリティ企業の情報セキュリティの責任者です。CISOとして情報セキュリティやソフトウェアセキュリティを含む社内のサイバーセキュリティを担当していますが、リスク管理やプライバシーにも関わっています。
今日のテーマからは少し逸れてしまいますが、全員がサイバーセキュリティの専門家の会社で、情報セキュリティ責任者を務めるというのはどんな感じですか?
サイバーセキュリティの会社で働くすべての人、必ずしもサイバーセキュリティの専門家ではありません。そういうある種の思い違いをなくしたいと思っています。エフセキュアで働いているのは普通の人たちです。ただし、一部の人たちは筋金入りのプロです。一人ひとりが確固たる意見を持っており、その意見を裏付けるための優れた議論をしています。会社からの指示に沿っていない場合もありますが、一定の自主性を大切にするようにしています。一緒に働くことに難しさを感じる時もありますが、皆優秀で彼らから多くの役立つアドバイスが受けることができます。
自分の方がよく分かっているとすべての人が思っているのではないでしょうか?
私も自分の方がよく分かっていると思っています。また、そうでないとしても、自分の意見はちゃんと持っています。
わかりました。それでは今問題になっている話題に移ります。サイバー攻撃者が新型コロナウィルスを攻撃に利用していることをどのように見ていらっしゃいますか?
今のところ、サイバー攻撃者は、新型コロナウィルスが多くの人にとって関心の高い話題として利用しているケースがほとんどです。われわれは、差し迫った問題に関係のあるメールのリンクやフェイクニュースの記事をクリックしてしまいがちです。新型コロナウィルスの件に関して、最新の情報を知りたいと思っている人は多くいるため、その手の話題に引き寄せられています。
また、サイバー攻撃者が企業への攻撃を拡大し始めるであろうと予測しています。 企業のIT部門は、急速に広がったリモートワークへの対応だけでなく、社内ネットワークからしかアクセスできなかった「資産」を、社外からのアクセスを可能する必要性に迫られています。今後数週間のうちに、これらの社外からのアクセスが可能になった「資産」を狙うサイバー攻撃が発生すると思います。
馴染みのない領域であるとともに、これらの変更を急遽行うことになったためでもありますね。
そのとおりです。リモートワークという働き方の変化が、顧客や社員の新しいニーズを創造したということです。こういった新しいニーズに対して、「事業をサポートしないのはなぜか?」とか、「インターネットからこれらのシステムにアクセスできるようにするのがなぜ難しいのか?」といったことを叫ぶ同僚からの声によって、CIOはストレスの多い状況に晒されていると思われます。この手の議論の中で、セキュリティに関しては、良くても補足的にしか扱われません。そのため、今後数週間のうちに「何か」が発生すると思っています。
多くの会社では、すべての社員をリモートワークさせるという初めての状況に直面しています。このため、現行のシステムやインフラを変更する必要がでてきています。このような中で、会社は何をすべきなのでしょうか? 必要なことをすぐに、安全に、完了しておく必要があると思われますが…。
そのとおりです。多くの企業が拡大したリモートワークに対処するため、VPNの容量をの増加が急務な課題です。 そのため、利用しているネットワークの帯域幅を拡大し、新たなゲートウェイを追加する必要があります。この時、実装方法によっては、新しいVPNゲートウェイの追加の際、クライアント側の再設定を行う必要があり、これを急いで実施すると、一部のユーザーがVPNに接続できないという事態が発生する可能性があります。これが一つの問題です。
認証方法も問題になる場合があります。セキュリティ向上のためには、多要素認証は不可欠なのですが、ユーザーにとっては煩雑に感じられるため、この要件が見送られることになるかもしれません。しかし、このことが後からセキュリティ的な問題を引き起こすことになると予測しています。
また、VPNのデーター通信量は限られてるため、社内サービスを利用していない時は、VPNの切断を社員に通知している会社もあります。当社でも、仕事で必要とする場合以外は、Spotifyやライブビデオをストリーミングを使わないように社員に通達しています。
つまり、企業は「フルトンネル」するか、社内とインターネットでトラフィックを分けるべきかかという問題を提起していると思われますが、どちらに賛成ですか?
異常検知ができるように、すべてのトラフィックを可視化できるようにするというのが私の意見です。現実的に考えてみましょう。もしあなたが、すべてのトラフィックを監視する立場にない場合や、このことでシステム障害を引き起こしてしまう場合は、トラフィックの一部をVPNトンネルを経由させ、内部システムやオリジンIPアドレスを制御するシステムをターゲットとするトラフィックのみを通過できるようする必要があります。VPNの分割トンネルが期待どおりに動作しない場合は、DNS Resolutionに問題があるかもれません。うまくいかない点や社員が不満を感じる点はいくらでもあります。セキュリティの推奨事項に反して社員がVPNを有効にしていたり無効にしていたりする可能性もあります。
IT部門は、社員が何をしているのかを把握することと、社員がリモートワーク中にすべきこと、すべきでないことについて明確な指示を伝えられるようにする必要があります。
コロナウィルスのスパムやフィシング攻撃について何かアドバイスはありますか?
コンピュータに関連した技術的な悩みを解決すると偽る「技術サポート詐欺メール」を多くの人が受信していることが報告されています。騙してリモートアクセスのソフトをコンピューターにインストールさせようとしたり、クレジットカードの情報を提供させたり、その両方を行わせようとします。
在宅で仕事をしていたり、外出ができず携帯電話かコンピューターが外部との唯一のライフラインであったりする場合、人は以前よりもこのような詐欺にひっかかってしまうことが多くなってしまいます。Web会議の設定に苦労していたり、VPNが故障していて社内のリソースにアクセスできなかったりしているとき、誰かが電話をしてきて、今起こっていることはすべてセキュリティの侵害によるものであると言われたら、ほとんどの人が恐らくその人の指示に従ってしまいます。
そうですね。そして同時に、企業では実際に変革が行われています。マイクロソフトのような企業では、水面下でインフラの修正などを実施しています。実際の変化も同時に起こっているということですね。
そのとおりです。Microsoft Teamsが一晩で新しいプラットフォームに移行しました。彼らのようなサービスでも負荷の増大に対応できなかったのです。
そうですか。先週、マイクロソフトの技術サポートから2回電話がありました。最初の電話にはすぐに「結構です」と断りました。しかし2度目の電話のとき、「日曜日に電話を頂いていますよ」というと、先方は「そうですか?」という反応でした。電話をよく管理する必要がありますね、戻って上司に「このリストにはすでに電話しています」と報告する必要がありますね、と言いました。何が起こっているのでしょう。
いいポイントです。当社のリサーチャーはそういった連絡がくるのを待っています。彼らの仮想マシンには独自のトラップコンピューターがあり、そのような会話を捉えたいのです。彼らはこういう遠隔管理ツールを展開したいと考えています。
電話を転送すべきでしたね。
そうですね。
冗談はさておき、このパンデミックの最中に医療機関もサイバー攻撃を受けています。COVD-19を研究しているチェコ共和国の病院がサイバー攻撃を受けているという報道がありました。サイバー攻撃の防止または低減のための迅速な防衛強化方法について、これらの企業へのアドバイスはありますか?
すでに行われているべきだったと思いますが、ランサムウェアに対しては感染しないようにすることが最良のアドバイスです。一度犯罪者に入り込まれるとネットワークやITインフラのさまざまな部分を容赦なく効率的にハイジャックされてしまいます。そして、すべての準備が整ってから自分達の存在を知らしめようとします。
最近の進展として、これらのランサムウェアのギャング集団(英語)の一部では、新型コロナウィルス対応計画の妨害を避けると公言しました。 病院が攻撃を受けた場合、その病院経営者が行うべきことは、犯罪者と相談し、救命作業が続けられるようフリーの暗号解読ツールを要請することですが、これは非常に悲しむべき事態です。
リモートワークに切り替えようとしている会社に話を戻します。この切り替えに伴う可能性のあるセキュリティの問題について、すでに少しお話しを伺いました。これからどういうことが起こるか、また、会社はどのように準備すればいいのかについて、どんなお考えをお持ちですか?
通常、社員は、自分のコンピュータや携帯電話に問題が起きたときには、会社のヘルプデスクに連絡をします。ほとんどの企業では、ヘルプデスクは最も多くの社員のいる便利な場所に置かれています。ところが突然ヘルプデスクがクローズし、オフィスへの立ち入りが禁止されるという事態に陥りました。家から出られないだけでなく、会社にも入れません。ノートパソコンの故障という単純だった問題が、大きな問題になります。会社のパスワードを変更する必要がある時などに不注意や間違いがあると、ネットワークから締め出される事態になる可能性があります。
遠隔で作業する場合は、単純なミスや簡単な技術的なミスの影響を非常に受けやすくなります。何日分かの仕事が無駄になってしまう可能性もあります。
ではどうすればいいのでしょうか?
わかりません。非常に多くの組織がこの問題に苦しんでいます。
そうですか。良い面はありますか?全員が在宅で働く場合のセキュリティ上の利点は何かありますか?
利用者が増えたことで、負荷に対応できないシステムがあるのはなぜか?といったこれまで当たり前のこととして捉えられていたことに関して、より多くの人が関心を持つようになると考えています。そして、このことが、警戒心と注意力の向上を生み、これまで見過ごされていた事が発見しやすくなると思います。これがいい点だと思います。
日常的に変更点を文書化し、計画を実行している企業では、たとえ急いでいる状況であっても、変更点を文書化する方法と、これらの変更が急いで実施される理由を理解していると思います。そのため、少なくとも将来、新たな視点で組織を見直すことができるようになります。
エンドユーザーの観点から見ると、リモートワークは新しい働き方であり、おそらく新しいツールを提案できる機会になります。IT部門がこれをやりたがらないことはわかっていますが、現在の仕事の進め方が、会社のビジネスをサポートしていないことが判明した場合や、周囲の環境、状況が劇的に変化した場合は、より良い会議ツールの利用について話し合う道が切り開かれるかもしれません。あるいは、なぜMicrosoft SharePoint がまだ活用されていないのか?、なぜ人々はこのツールを使用せず依然としてメールの添付ファイルを送ってくるのか?セキュリティも向上させるこのような改善が今回の危機によって見えてくる可能性があります。
そうなると思いますか? 企業は、これらの最新の技術を利用するようになるのでしょうか?
現在の状況から見ると、非常に多くの企業がかなり機敏に新しいサービスを利用するようになっています。この後、これらの企業が古い資産を減らしていくことを望んでいます。私のようなセキュリティの専門家の観点では、変更は良くない、計画外の変更は非常に良くないと常に言っています。このような変化の嵐を無事に切り抜ける企業もあり、そのような企業では、変更をITのいくつかの領域を新しくするための有意義な経験だったと考えるでしょう。そしておそらく働き方を2~3世代前のものからより最新のものへと変更していけると思います。
レガシーをなくし、新しい働き方と新しいインフラを文書化することを忘れなければ、このリモートワークへのシフトはセキュリティにもプラスになるかもしれません。
私が常に強調したいことの1つは、私をはじめとする40歳を過ぎた世代は、オンプレミス型のソリューションに対して、「セキュリティの証」としてこだわりのようなものがあります。ですから、システムに触れることができ、ファンの音が聞こえてくれば制御可能であり、安全であると考えています。
これは現在では、誤った思い込みです。ほとんどの企業で、オンプレミスシステムの残党が、企業を危険に晒す場所になってしまいます。 もし新型コロナウィルスによる前例のない危機への対処の結果として、サービスの一部をクラウドに移行したり、クラウド化することができれば、古いセキュリティの問題も一掃されることになります。
では世界中の会社はどう行動すると思われますか?事業継続性の点で、特に情報セキュリティの観点から見て、今回の危機は非常に大きなインパクトを与えることになるでしょうか、それとも私たちはこの危機に正面から取り組み、正しい判断を続け、最終的に非常に最悪なことは起こらないでしょうか?
人間の本質は時代が変わっても変わらないもので、時にして少し怠惰になります。長期的な解決策に対して、性急な修正はを時としてエラーを引き起こします。新型コロナウィルスの危機は、発生からまだあまり時間がたっていないので、今後の予測するのは早すぎます。しかし、すでに言われているように、この危機はこれからまだしばらく続きます。この危機が単に目を閉じて幸運を祈るだけで過ぎ去るものではないことに実際に気付くには十分に長い時間です。
最後にこの時期に同じCISOの人たちへのアドバイスが何かありますか?
情報セキュリティは、困難な時期に事業を維持させる重要な取り組みです。会社で実施中のより広範な事業継続計画を把握してください。ITと情報セキュリティは、事業の存続を支援し、社員の生活を支援するためのものです。そして、安全でプライバシーの理念に従って事業目標を達成するために何ができるかを説明するようにしてください。
適切なアドバイスですね。本日はありがとうございました。
ありがとうございました。
カテゴリ