激化するサイバー攻撃からビジネスを守る、クラウドの活用法

コロナ禍で増加するサイバー攻撃

年々高度化するサイバー攻撃に対して、日々の運用の中に潜む危険を見逃しているケースや、クラウドの安全な使い方を十分理解しないまま、セキュリティに漠然とした不安を抱えていないでしょうか。今回は、クラウドを活用したビジネス環境におけるセキュリティ対策について考えます。

世界各国に急速に広がっているサイバー攻撃は日本においても企業の規模を問わず、深刻化しています。新型コロナウイルスの感染拡大により、テレワークやデジタル・トランスフォーメーション（DX）を推進する企業が増加していますが、総務省によると2020年4月以降、クラウドサービスを標的としたものを含め、企業などに深刻な被害をもたらすサイバー攻撃が前年同月比で33％以上増加しています。

特に、金銭的な利益を目的にしたランサムウェア感染が増えており、これらの攻撃は組織の弱点を狙って、目立たない形で行われています。

企業は、より安全で柔軟な働き方を求められる一方で、新たなリスクや規制の枠組みにも立ち向かわなければなりません。ハイブリッド・マルチクラウド環境を安全かつ効果的に利用するには、初めからセキュリティ対策について意識的に考え、人による作業が必要な部分とそうではない部分を区別する必要があります。

DXにおいてリスクを生む危険な認識

日本では、クラウド導入に向けての課題を抱えている企業が多いですが、他国で進む導入事例から、クラウド導入の良い点と悪い点の両方を学び、検討することができます。日本政府は、デジタル庁を設置し、社会全体のデジタル化の取り組みを推進しています。

日本でのテレワークの普及は顕著ではありませんが、企業や非営利団体に関わらず、働き方改革の必要性が引き続き問われています。DXという難しい変革の中で失敗を避けるためには、リスクを生み出す要因を把握しなければなりません。

特に、日本に限ったことではありませんが、企業にはセキュリティは「IT部門の責任」という考え方がいまだに、まん延しています。しかし、ランサムウェア攻撃は特定のIT専門家を狙うものではないため、この潜在意識はリスクを生む要因となります。通常、ランサムウェア攻撃は、IT部門とはかけ離れた人の脆弱性を突くように設計されています。

また、パブリッククラウドをオンプレミスのデータセンターと同じように扱うのも間違いです。企業は、オンプレミス環境に対する考え方を、そのままパブリッククラウド環境に当てはめるのではなく、発想を逆転させる必要があります。

閉鎖的な考え方から、すべてがパブリックなインターネット上にあると考える、ゼロトラストのアプローチに変えるべきです。多くの企業にとってこれは難しい改革ですが、DXにおけるセキュリティ対策には必要不可欠な認識です。

さらに、問題となるのはセキュリティ対策が企業活動を制限すると考えられてしまうことです。企業では、知らず知らずのうちに部門間で敵対意識が芽生えてしまうことがあります。例えば、ルールが業務を阻害していると考え、従業員は達成すべきことを達成するためにルールを回避するなど、各部門や従業員がルールを無視してしまうような事態に繋がる可能性が高くなります。

このような状況を防ぐためには、企業が組織的にセキュリティ対策を体系化し、個人ではなくポリシーに基づいて企業活動を推進できるようにする必要があります。セキュリティが日常業務にプログラム的に組み込まれていればいるほど、各部門や従業員の負担は軽減されます。

パブリッククラウドのドアの鍵を管理するのは企業

すべてのクラウドベンダーが独自のセキュリティ機能を提供しているのに、なぜ正しい考え方を持つことがそれほど重要なのかと疑問に思うかもしれません。パブリッククラウドは、貸し倉庫のようなものと考えてください。パブリッククラウドには、防犯カメラやフェンスが標準装備されていますが、ドアの鍵を守るのは組織の責任です。そして、クラウドベンダーは最終的な責任がどこにあるのかを常に明確にしています。

これは、完全にクラウド化する場合も、ハイブリッド・マルチクラウド戦略を採用する場合でも、同じルールが適用されます。つまり、常に適切なデータだけが公開されるようにし、クラウドサービスがシステムに新たなリスクをもたらさないように管理することが肝要なのです。

サイバー犯罪は常に進化しているため、リスクは常に存在します。ハイブリッド・マルチクラウド戦略が役立つのは、適切な認識のもと、実行管理できる現実性があるからです。パブリックとプライベートの領域に資産を分散させることで、「すべてが安全」という前提から「すべてがさらされている」という前提へとシフトする必要があります。