COVID-19を機に、重点的に取り組むべき7つのセキュリティ課題Gartner Insights Pickup(161)

企業は新型コロナウイルスのパンデミック(世界的大流行)への迅速な対応を図っているが、その一方で依然としてセキュリティ侵害にもさらされている。セキュリティおよびリスク管理チームは警戒を継続し、戦略的な取り組みを推進する必要がある。

» 2020年06月05日 05時00分 公開
[Kasey Panetta,Gartner]

ガートナーの米国本社発のオフィシャルサイト「Smarter with Gartner」と、ガートナー アナリストらのブログサイト「Gartner Blog Network」から、@IT編集部が独自の視点で“読むべき記事”をピックアップして翻訳。グローバルのITトレンドを先取りし「今、何が起きているのか、起きようとしているのか」を展望する。

 チェコではサイバー攻撃が、新型コロナウイルス(COVID-19)の対応に追われる病院を襲い、全ての緊急手術が中止となり、重症患者の移送を余儀なくされた。ドイツでは、食品配達会社がDDoS(分散型サービス拒否)攻撃の被害にあった。米国では、救済法が成立した後に労働者が大量のフィッシング攻撃を受けた。

 COVID-19のパンデミックの中でも、サイバー攻撃者が全く手を緩めないことは明らかだ。多くのワーカーがリモートワークに移行し、企業が新型コロナウイルス対応にエネルギーを取られているだけに、セキュリティおよびリスク管理チームはこれまで以上に警戒を強める必要がある。

 「パンデミックの間、企業は従業員の健康と事業継続に精力を傾けることになる」と、Gartnerのアナリストでシニアディレクターのリチャード・アディスコット(Richard Addiscott)氏は語る。

 「セキュリティおよびリスク管理の担当チームは、自社のオペレーションの回復力とセキュリティを、先手を打って確保すべきだ。攻撃者が人間性や非常時のオペレーションモードに付け込もうとするからだ」(アディスコット氏)

 優先課題が多々ある中、セキュリティ/リスク管理チームは、特に7つの項目に重点的に取り組む必要がある。

重点項目1:変更された業務条件を自社のインシデント対応手順に反映させ、これらの手順を早期にテストする

 ほとんどのセキュリティ/リスク管理チームは現在、これまでとは全く異なる環境と考え方で業務を行っている。このため、インシデント対応の計画と手順は古くなっているか、調整が必要になっているかもしれない。通常なら、リスクが適切に管理されるインシデントでも、チームが効果的に対応できなければ大きな問題になることがある。

 まず、インシデント対応チームをレビューする。主担当者と副担当者、補充要員が定められていることを確認し、効果的に業務を行うのに必要な機器に誰もがアクセスできるようにする。これは、サプライヤーと連絡を取り、どのようなハードウェアが扱われているか、必要な場合にそれらを適切な人に支給できるかを確認する良い機会でもある。

 また、全てのドキュメントをレビューするとともに、対応手順を実際に確認し、全ての問題領域を注意深くチェックする。自社にまだサイバーセキュリティインシデント対応能力がない場合は、新しいシステムを立ち上げようとする代わりに、マネージドセキュリティサービスプロバイダーのサービスを利用することを検討する。

重点項目2:全てのリモートアクセス機能をテストして安全性を確認し、ワーカーが使うエンドポイントにパッチが適用されるようにする

 ほとんどの企業がリモートワークへ急速に移行したことを考えると、「セキュリティチームには、エンドポイントの基本的なウイルス対策や企業マシンの接続パフォーマンスチェックをする時間がなかったのではないか」と考えるのが理にかなっている。さらに事態を複雑にしているのは、個人のデバイスで仕事をしている従業員だ。

 企業のノートPCは、LANに接続していないときも最小限の有効なエンドポイント保護構成が施されているようにする。またセキュリティおよびリスク管理チームは、ミッションクリティカルな情報や個人情報を保存している社内アプリケーションへの個人所有デバイスからのアクセスを、注意深く管理しなければならない。

 可能なら、個人所有のデバイスに適切なマルウェア対策機能が導入され、有効化されているかどうかも確認すべきだ。導入、有効化されていない場合、従業員および企業エンドポイント保護プラットフォームのベンダーと協力して、できるだけ早くデバイスの保護を確保する必要がある。

 ソフトウェアトークンベースの多要素認証のようなメカニズムも、認可された人だけが社内アプリケーションおよび情報にリモートアクセスできるようにするのに役立つ。

 戦略レベルでは、セキュリティ問題に関するガイダンスやビジネスリスクに関する適切なアドバイスを提供する危機管理ワーキンググループに、セキュリティチームのメンバーを送り込むことが重要だ。

重点項目3:ソーシャルエンジニアリング攻撃への警戒を維持する必要性に関するリモートワーカーの認識を高める

 リモートワークでは、従業員は通常よりも注意が散漫になる。「子どもが家にいる」「家族が心配」「自分の健康が気になる」など、気が散る理由に事欠かないからだ。また、従業員は普段とは異なり、日常的な生活空間に近い環境で仕事をするので、サイバー犯罪者が混乱に乗じようとするときに、セキュリティに関する注意が薄れるかもしれない。

 このため、シニアリーダーに標的型フィッシング攻撃の例を紹介して注意を喚起したり、従業員にサイバー脅威環境の悪化を警告したりするとよい。不審な事象に目を光らせ、警戒を徹底する必要があることに気付いてもらうことが重要だ。

 適切であれば、2週間ごとにリマインダーを送り、リモートワークやモバイルワークのポリシーのような関連ドキュメントの場所や、学び直したいときにセキュリティ啓発トレーニング資料にアクセスできる場所を従業員に知らせる。さらに、従業員がサイバー攻撃の被害にあったかもしれない場合に、誰に連絡すべきか、何をすべきかを明確に周知しておく。

重点項目4:セキュリティモニタリング機能を調整し、拡張された業務環境を可視化する

 従業員の多く(セキュリティおよびリスク管理チームを含む)がリモートワークに突然移行したことで、サイバーセキュリティチームがイベントを捕捉できない可能性が生じている。

 モニタリングツールや機能を活用し、最大限の可視性を確保する必要がある。社内のセキュリティモニタリング機能やログ管理ルールセットが提供する可視性が、最大化されているかどうかチェックすべきだ。マネージドセキュリティサービスプロバイダーを利用している場合は、チェックインして、プロバイダーがモニタリングやログ管理を新しい業務環境に適応させているかを確認するとよい。

重点項目5:セキュリティサービスベンダーに、自社のパートナーの動向によるセキュリティサプライチェーンへの影響を評価してもらう

 セキュリティ状況の変化は、自社の行動のみに起因するわけではない。パートナーやサプライチェーンが行っているセキュリティ対策の中で、自社に影響が及ぶものについて、その内容を把握するようにする。

 ビジネスを通じて収集したデータや情報を、どのように保護しているかを確認することが重要だ。パートナーやサプライチェーンには、それぞれ心配すべき人々や、固有のビジネス課題があることを念頭に置かなければならない。どんな場合にサードパーティー組織が、約束されたセキュリティサービスを提供しない可能性があるかも質問するとよい。

重点項目6:サイバーフィジカル・システムのセキュリティ問題の説明責任を果たす

 COVID-19は、病院やヘルスケア施設から宅配や物流まで、経済のさまざまな担い手に大きな負担をかけている。このことは、サイバーセキュリティへの懸念がサイバーフィジカル・システム(CPS)(※)の課題としての広がりつつある状況に拍車を掛ける。特に、自動化されたサービスやシステムが増加し、社会インフラとして重要性を増していることが、こうした状況の背景にある。

※物理世界(人間を含む)とのインタラクションを実現すべく、センシング、コンピューティング、コントロール、ネットワーキング、アナリティクスの間でオーケストレーションを実行し、パフォーマンスの安全性、リアルタイム性、セキュリティ、信頼性、レジリエンス、順応性を高める、設計済みのシステム。

 例えば、病院におけるロボットは人間の作業負荷の軽減に役立つが、安全に導入展開する必要がある。また、法曹界では、法律事務所は職員にスマートスピーカーや音声アシスタントをオフにするよう求めている。

 セキュリティおよびリスク管理チームは、CPS/IoTを支えるセキュリティ対策(資産の特定やネットワークセグメンテーションなど)の徹底と、攻撃のリスク、可能性、影響に対する脆弱(ぜいじゃく)性の修正リスクの評価に注力する必要がある。後者の評価は、限られたリソースの配分に優先順位を付けることを目的としている。

重点項目7:従業員の情報とプライバシーを忘れない

 企業は、COVID-19のパンデミックに直接関連する従業員情報を収集するかもしれない。例えば、従業員が危険なエリアをいつ訪れたか、いつ体調を崩して自宅にいたかを記録しようとするかもしれない。

 だがまず、こうした情報は全て法律や産業ルールの対象になる。企業はこれらを順守するだけでなく、収集する情報をできるだけ少なくし、情報が事実に基づいていることを確認し、安全な方法で情報を保存しなければならない。情報開示をするのは、法律で要求された場合に加え、社内で必要に応じて必要な内容のみを、知る必要がある人にのみ開示する場合に限らなければならない。

出典:7 Security Areas to Focus on During COVID-19(Smarter with Gartner)

筆者 Kasey Panetta

Brand Content Manager at Gartner


Copyright © ITmedia, Inc. All Rights Reserved.

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。