CISOはハイブリッドワーク環境のセキュリティ対策をどう講じるべきか？

2020年に始まった新型コロナウイルスの感染拡大により、2021年も大変厳しい状況が続いています。しかし、企業においてテレワーク環境を短期間で整えるという当初の課題は、ほぼ対応が完了しています。しかし今、CISO（Chief Information Security Officer：最高情報セキュリティ責任者）のみなさんが直面している課題は、テレワークと会社での労働という、ハイブリッド型の労働環境を長期的にサポートすることであると同時に、この混乱を狙いますます洗練された攻撃を行うサイバー攻撃者たちから組織を守ることです。

脅威は広範かつ多様なものとなっており、より広がった攻撃対象領域において、新しい労働環境にいるユーザーを狙った数多くの攻撃方法が出現しています。世界中のCISOがプレッシャーを感じているのも不思議ではありません。

実のところ、日本のCISOの63％が今後1年以内に重大なサイバー攻撃を受ける危険性があると感じており、うち28％はこのリスクが高いと考えています。

さらに問題であるのは、リスクを知っているにもかかわらず、ほとんどのCISOが準備不足と感じていることです。日本のCISOの64％は標的型サイバー攻撃への対策の準備ができていないと考えています。しかし、パンデミックから立ち直らなければならない今、組織は新たな脅威の状況を把握する必要があります。

現在、組織の中で最も攻撃を受けやすいのは誰なのか、どのような種類の攻撃を受ける可能性があるのか、そして、CISOから人事チームまで、すべての人がどのようにしてこれらの攻撃を抑える役割を担っているのかを理解しなければいけません

古い脅威と新しい脅威に立ち向かう

現代の組織はさまざまな潜在的な脅威に直面しており、サイバー攻撃者は新旧問わずあらゆる脅威を活用しています。現在、日本のCISOが想定している攻撃の種類は、「メール詐欺(ビジネスメール詐欺)」（42％）、「DDoS攻撃」（36％）、「クラウドアカウント侵害(M365またはG suiteなど)」（34％）、「内部脅威」（32％）、「フィッシング」（26％）となっています。最近のニュースで取り上げられることの多いランサムウェアは24％で7位、サプライチェーン攻撃は19％で最下位でした。

このような多様な脅威に対して、万能の防御策はありません。複数の攻撃から守ることができるソリューションはあるかもしれませんが、それは効果的なサイバー防御の一面に過ぎないのです。

最新のサイバー戦略では、セキュリティ意識向上のためのトレーニングを中心に据えなければなりません。そして、最大限の効果を得るには、このトレーニングを特定の脅威だけでなく、最前線にいるユーザーに合わせてカスタマイズし、適応させる必要があります。最も被害を受けやすいユーザーとそのユーザーが直面する可能性のある攻撃の種類を理解していないと、サイバー防御戦略の優先順位を決めることが難しくなります。

また、ハイブリッドワーク、フレックスタイム、複数のアクセスポイントが当たり前になっている現在、その理解を得ることはますます難しくなっています。

「人」の問題を解決する

現代のCISOが直面している課題は、当然のことながら一面的なものではありません。サイバー攻撃を受ける側も、攻撃する側と同様の懸念があるのです。

日本のCISOの65％は、組織が直面する最も大きなリスクはユーザー（人）であると考えています。また、外部からの脅威と同様に、内部からの懸念もあります。意図的な不正行為、悪意のあるリンクのクリック、フィッシングの被害、パスワードの管理の甘さなどは、CISOの頭を悩ませている問題の一例です。

現在、少なくとも一部の時間はリモートで仕事をしているなど、多くのユーザーが目の届かないところにいることで、これらの懸念はかつてよりも差し迫ったものになっています。日本のCISOの61％は、リモートワークによって組織が直面するリスクが高まると考えています。その理由は容易に想像がつきます。

会社とは違う環境では、間違いや判断ミスが起こりやすくなります。その結果、サイバー攻撃を受けやすくなってしまうのです。

また、自宅で仕事をする場合、セキュリティのベストプラクティスに若干の変更を加える必要があります。個人のネットワークやデバイスを使用する場合、手順を定義し、セキュリティ対策を強化する必要があります。残念なことに、多くのユーザーはこのような環境に対応するための適切なトレーニングを受けておらず、日本のCISOの31％は、従業員がリモートで働くための適切な仕事環境を備えていないと考えています。

この状況にCISOは迅速に対処する必要があります。パンデミックによる混乱は、決してそれ単独の問題ではありません。将来的に、以前とまったく同じ状態に戻ることはないのです。私たちの仕事のやり方は永遠に変わってしまいましたが、これは決して悪いことではありません。私たちがオフィス環境を再構築し、従業員が自分の働き方をより主体的に考えられるようになったように、サイバー防御についても同じことが言えます。組織の安全を守るため、従業員が果たす重要な役割を認識するような戦略を構築するのです。

明るい未来のための防衛線を構築

この1年半のCISOの苦悩は、広く知られています。しかし、最近の課題の大きさにもかかわらず、多くの人が今後の見通しは明るいと言います。 日本のCISOの68％は、2023年までにサイバー攻撃に対する対応力と回復力が向上すると考えており、ほぼすべてのCISOがこれを可能にするためにサイバー防御を強化する意向です。最も優先すべき事項として、セキュリティオートメーションの導入、リモートワークのサポート、セキュリティ業務のアウトソースを挙げています。

いずれも歓迎すべきことですが、最も喜ぶべきはセキュリティ意識の向上です。

オフィスワークであれ、リモートワークであれ、その中心には常に人がいます。そして、どこにいようとも、サイバー攻撃者の標的は人であることに変わりはありません。サイバー攻撃の90％以上は、成功するために「人」を必要としています。

つまり、今日、明日、2年後にCISOが直面する脅威が何であれ、「人」が重要な最後の防衛線となるのです。この防衛線を構築するには、オフィスでも家庭でも、あるいはその他の場所でも、警戒心の強い、知識豊富な「人」を育てることが必要です。

それぞれのユーザーが、直面する脅威やその手法、そして自分の行動がその脅威の成功と失敗を分けることについて理解を深めれば深めるほど、組織を被害から守ることができるようになります。

CISOの仕事は簡単なものではありません。これからの時代、間違いなく多くの課題が待ち受けているでしょう。しかし、今日のサイバー攻撃の大部分で「人」が中心的な役割を果たしていることはわかっています。まずはユーザーの意識を変えることが、サイバーセキュリティ強化の第一歩なのです。