Tenableは10月18日、「境界を超える: 新常識の世界でのサイバーセキュリティの将来」と題したサイバー攻撃に関する調査結果を発表した。同日には記者説明会が開かれ、境界ベースのセキュリティ対策からの脱却が提案された。

同調査は同社がForrester Consultingに委託して、日本、オーストラリア、ブラジル、フランス、ドイツ、インド、メキシコ、サウジアラビア、英国、米国のセキュリティ担当者、事業責任者、在宅勤務者を対象に実施したものだ。総回答者数は1327人(セキュリティ担当者:426人、事業責任者:422人、在宅勤務者479人)で、国内の回答者は65人となる。

【関連記事】
≪DXとセキュリティを成功させるカギとなる「対話的セキュリティ」とは?≫
≪ゼロトラスト成熟度の高い企業と低い企業の違いは?パロアルトが調査≫

Tenable Network Security Japan カントリーマネージャーの貴島直也氏は、「新型コロナウイルスのパンデミックを経て、働き方、ビジネス、サイバーセキュリティの在り方が変わってきている。調査では日本の回答者の67%、世界全体の回答者の70%が、『今後1~2年間、少なくとも週1回、従業員が自宅で仕事をするように計画している』と回答しており、新たに実態を把握すべく調査対象者をセキュリティ担当者以外にも広げた」と説明した。

  • Tenable Network Security Japan カントリーマネージャー 貴島直也氏

同調査によれば、サイバーセキュリティ/セキュリティ戦略と予算を管理するセキュリティ責任者および事業責任者のうち、日本の回答者の93%、世界全体では92%が「過去1年間に、ビジネスに影響を与えるサイバー攻撃を受けた」と回答したという(日本の回答者数は 57 人、世界全体の回答者数は848人)。

過去12か月以内にビジネスに影響をおよぼすサイバー攻撃を受けた企業で、サイバーセキュリティ/セキュリティ戦略および予算を担当するセキュリティリーダーおよび経営幹部には、どのようなサイバー攻撃を受けたかについても調査した。

日本の回答者53人のうち、72%が「在宅型のリモートワーカー/従業員を標的としたもの」と「サードパーティソフトウェアベンダーのセキュリティ侵害に起因するもの」を挙げ、64%が「COVID-19パンデミックへの対応として会社が用意したシステムやアプリケーションの脆弱性に起因するもの」を挙げた。

また、同調査では、一般家庭におけるホームネットワークでのネットワークやデバイスの使用実態、サードパーティツール/ベンダーの利用にあたっての意識調査も行った。

週に3日以上、自宅で仕事をしている国内外479人のフルタイム従業員のうち、53%が個人所有のデバイスを使って顧客データにアクセスしているほか、36%が財務記録に、33%が知的財産にアクセスしていることがわかった。

  • ホームネットワークの利用実態、出所:Tenable Network Security Japan

サイバーセキュリティ/セキュリティ戦略と予算を管理する国内外426人のセキュリティ責任者の52%は、「パンデミックの発生以来、サードパーティベンダーを利用してリスクにさらされる機会が増えた」と回答した。

一方、取引先/パートナーを企業のアタックサーフェスの一部として認識している、サイバーセキュリティ/セキュリティ戦略と予算を管理する410 人のセキュリティ責任者であっても、「パートナーの状況を完全に、または高い可視性を持って把握している」と回答した割合は46%だった。

  • サードパーティベンダーの利用実態、出所:Tenable Network Security Japan

貴島氏は調査結果を踏まえ、「リモートワークへの移行によって、世界中の従業員が個人のデバイスを使って会社のデータにアクセスしている現状を踏まえると、企業のネットワークの境界を前提としたセキュリティポリシーや技術では、サイバー攻撃に対応できなくなってきている。財務、人事、顧客データなどのビジネスに不可欠な機能がクラウドに移行し、ソフトウエアのサプライチェーンも拡大している中では、境界ベースのセキュリティアーキテクチャからの脱却が求められる」と語った。

具体的には、デバイスを「エンドポイント」ではなく「エントリーポイント」として捉えて、エンドポイントやデバイスではなくActive Directoryの保護を進めることが重要だという。「そのために、ドメインコントローラーと設定の保護、設定管理と権限の継続的監視に重点を置くことが求められる」と貴島氏。

それでは、実際のオペレーションという観点から、セキュリティエンジニアはどう対応すべきだろうか。

Tenable Network Security Japan セキュリティエンジニアの阿部淳平氏は、「セキュリティチームとIT担当者が組織化されていく中で、IT担当者はどうしても可用性を重視して対策する。その中で、いかにセキュリティチーム側がセキュリティの観点から情報を可視化し、ポリシーを決め、どこまで対策を進められているかを把握する必要がある」と指摘した。

  • Tenable Network Security Japan セキュリティエンジニア 阿部淳平氏

Active Directoryの管理については、「ほとんどはIT担当者が見ていて、セキュリティ担当者が把握できていないことが多い」ため、職務を分けながら分業でセキュリティ対策を進めつつ、セキュリティの観点でクラウドや仮想環境などさまざまな領域を包括的に見ていくことが、今後のセキュリティ対策では求められるという。