ITの進化はめざましく、クラウドやモバイルなどビジネスの効率化を加速させた。企業は新型コロナウイルスのパンデミックの発生を受けても、リモートワークの実現により事業を継続してきた。一方で、拡大し複雑化する企業ネットワークはサイバー攻撃を受けやすくなっており、早期の対応が求められる。

そこで、企業におけるリスクと対策のポイント、サイバーレジリエンスなどについて紹介する。

ビジネス環境の多様化に伴うリスク

ITは日々進化しており、もはやITがないとビジネスが立ち行かないほどだ。その進化を、アプリケーション、デバイス、ネットワーク、ユーザーの視点で見てみたい。

アプリケーション分野では、クラウドアプリケーションが普及した。特に、Microsoft 365やGoogle Workspaceによって、多くの業務アプリがクラウド経由で利用できるようになった。

従来は企業内に構築したアプリケーションを利用していたため、基本的に出社して企業ネットワークにログインする必要があった。しかし、アプリケーションのクラウドサービス(SaaS)の登場により、インターネットに接続できれば場所を選ばず業務を行えるようになった。

デバイス分野では、モバイルデバイスが普及した。スマートフォンやタブレットの進化によって、外出先でもPC並みの感覚で業務が行えるようになった。キャリア回線を使用する電話のほか、通話機能を持つアプリも増え、現在ではテレビ会議システムもモバイルデバイスから利用できる。

また、複数の通信機能を搭載していう点もモバイルデバイスの特徴だ。キャリア回線はもちろん、Wi-Fiも標準搭載されており通信料を気にすることなくインターネットを利用できる。VPN機能も用意されているため、企業ネットワークへのアクセスも安全に行える。さらに、BluetoothやUSBポートを備える機種もあり、周辺機器との接続も可能だ。

ネットワーク分野においては、従来の企業ネットワークでは安全な接続を実現することが難しくなってきている。これまで、従業員は企業ネットワークに入り、インターネットへの通信は企業ネットワークを介して接続していた。それがコロナ禍を受けたリモートワークの普及により、VPNを介して企業ネットワークにアクセスするようになったが、VPNの帯域が不十分であったり、VPN機器などに脆弱性が確認されたりするなどの問題が多い。

さらには、クラウドサービスを利用する際に企業ネットワークを経由すると速度が落ちることから、直接インターネットに接続するローカルブレイクアウトが増加している。こうなると、クラウドサービスへのアクセスを企業側が把握できなくなるという課題が生まれている。いわゆる「野良Wi-Fi」もリスクが高い。

そしてユーザーについては、リモートワークの普及によって企業ワークの利用が極端に少なくなった。業務用デバイスは企業貸与のノートPCやスマートデバイスとなり、ユーザー個人の持つデバイスがゲートウェイになっている状況だ。

こうしたITが進化した結果、サイバーセキュリティのリスクも拡大している。クラウドやモバイル、リモートワークなどにより、サイバー攻撃を受ける可能性のある面を指す「アタックサーフェス」が拡大したためだ。クラウドやモバイル、リモートワークに加えて、企業に導入されているIoT機器、そしてビジネス上のつながりであるサプライチェーンも最近は脅威にさらされている。

ITの進展によって働き方は多様化したが、そのあらゆる場面がサイバー脅威の対象になっていることを認識する必要がある。

ランサムウェアをはじめとするサイバー攻撃の変化

サイバー攻撃は増加の一途をたどっているが、その手法も変化している。特に、ランサムウェアによる被害はしばしばニュースになっている。ランサムウェアは、感染したPCに保存されているファイルを暗号化して使えなくし、復号するために“身代金”を要求するマルウェアだ。共有フォルダにあるファイルも暗号化するため、業務が停止してしまうことも多い。

以前のランサムウェアは、不特定多数にメールで送信される“ばらまき型”が大半を占めていたが、最近は他のサイバー攻撃の一部として使われている。例えば、マルウェアや脆弱性の悪用により企業に侵入し、水平移動(ラテラルムーブメント)を繰り返しながら重要なファイルを盗み出した際に、ランサムウェアを仕掛ける攻撃が増えている。

そして、盗み出したファイルの一部をサイバー攻撃者の持つ、いわゆる“暴露サイト”で公開すると脅し、身代金を得ようとする「二重脅迫」が増えた。また、脅迫にDDoS攻撃を加える「三重脅迫」、暴露することをステークホルダーに伝えると脅す「四重脅迫」なども発生している。ばらまき型も継続して拡散されているが、ランサムウェアの使われ方が変わってきている。

また、「人の脆弱性」を狙うサイバー攻撃も急増している。これは人をだまして目的を達成させようとする攻撃で、フィッシングメールがその代表的な手法だ。社長などのふりをして送金指示などを行う「ビジネスメール詐欺(BEC)」も増加しているし、侵入した環境から入手したメールのやり取りを悪用するマルウェア「Emotet」も増加と減少を繰り返している。

一方で、システムの脆弱性を悪用するサイバー攻撃も依然として多く、不正侵入の手段となっている。最近では、不正侵入後にラテラルムーブメントを繰り返して、Active Directoryで自らの権限を昇格し、重要なファイルを入手する直前で攻撃を停止し、その状態を販売するサイバー攻撃者も増えているという。

ここ数年で、サイバー攻撃者の目的が金銭のみになっていることも大きな変化といえる。ランサムウェアはその最たるものだが、情報の窃取やフィッシングも最終的には金銭目的である。スキルの高いサイバー犯罪者グループは国家からサイバー攻撃を委託されるケースもあり、潤沢な資金によって時間をかけて標的型攻撃を行っている。

サイバー犯罪者グループのように、組織化も大きな変化である。サイバー犯罪者グループは一般的な企業のように投資対効果を重視するようになり、そのためにAIや自動化の手法を取り入れている。中でも、ランサムウェアやフィッシングは少ない投資で大きな成果を上げられるため、攻撃が増加していると考えられる。もちろん、これらの攻撃が有償サービスとしてアンダーグラウンドで提供されていることも要因の一つであろう。