テクノロジー
製品
リソース
会社
日本語
テクノロジー
製品
ブログ
リソース
会社

リモートワーク化に伴って企業が直面する5つのセキュリティリスク

Andrew Tsonchev, Director of Technology | 2020年3月19日木曜日

私達がリモートワークに慣れつつあるなか、世界中のセキュリティチームは非常に深刻な問題と格闘しています。ほぼ一夜にして、会社の在り方が変わってしまったのです。確立済みの手順が変更され、ベストプラクティスは急いで考え直され、ポリシーもギリギリのところまで拡大運用されています。

ビジネスの変革はどんなときもセキュリティにとってのリスクです。新しいテクノロジーや労働慣行を導入するには新しいセキュリティ対策が必要ですが、普通はこうしたリスクには注意深く、時間をかけて対応します。COVID-19はそうした贅沢をさせてくれませんでした。一部の企業においてはこの変化の規模とスピードはかつてないものになるでしょう。また、このことは誰でも知っており、攻撃者はこの状況を既に悪用しています。セキュリティチームがごく近い将来直面する最も深刻な脅威のいくつかを以下に紹介します。

1. Eメール詐欺

変化は新しさをもたらし、新しさは詐欺師に機会をもたらします。たとえば、社内のセキュリティチームが48時間で重要なリモートワーク用ツールをロールアウトするために奔走しているとします。新しいソフトウェアをダウンロードするリンクを作成し、サービスの認証に変更を行います。何が起こるかわからない状況で、ソーシャルエンジニアリング攻撃を見つけるための従業員トレーニングなどは忘れ去られてしまいがちです。しかし従業員もIT部門も、予期せぬ電話や要求に気を付けておかなければなりません:

「すみません、ITですが、新しいDuoシステムに移行できているか確認するため、あなたの2FA コードを読み上げてもらえますか?」

「すみません、自分のO365パスワードを忘れてしまったのですが、リセット用コードを個人のGmailまで送ってくれませんか?」

こうした要求は実際にあるかもしれませんし、通常のルート以外で解決する必要があるものかもしれません。警戒し、常識を適用し、また必要に応じて検証する責任は個人にあります。

また、スピアフィッシング攻撃者もサードパーティやクライアントに成りすます豊富な機会があります:

「ジョン、来週のミーティングはリモートに変更することになった。Zoomコールの招待を送ったので以下のリンクを見ておいてください。」

これらのリスクは、標準ではないWeb会議ソフトの使用やEメールでのファイル共有のために同時に緩められたセキュリティコントロールによって悪化します。攻撃者は機会と手段の両方を手にすることになるのです。

2. セキュリティコントロールの緩和

セキュリティコントロールの緩和は、単にファイアウォールのルールやEメールポリシーの設定の緩和にとどまりません。多くの既存のセキュリティレイヤはリモートワーカーには適用されないのです。仕事用コンピュータを家に持ち帰った従業員たちは、オフィスのネットワークから家庭用Wi-Fiに切り替えた途端に保護を失います。インターネットプロキシ、NAC、IDS、NGFWが存在しない状態で、クライアントデバイスは、安全ではないかもしれないネットワークの中に、侵害されているかもしれないデバイスに交じって露出させられるのです。エンドポイントセキュリティが保護をすべて背負わなければならなくなります。

また、内部のネットワークセキュリティが損なわれる可能性もあります。たとえば、従業員はこれまで特定の場所の有線ネットワークでしかアクセスできなかったリソースに、アクセスする必要が生じるかもしれません。これに対してVPNでアクセスできるようにするには、内部のセグメンテーションをフラット化しなければならないかもしれません。これにより、マルウェアの拡散と水平移動に対して門戸を開いてしまうかもしれません。また、会社のノートPCを持っていない従業員が自分のデバイスを使えるようにするため、Webサービスを保護しているクライアント証明書による認証をオフにする必要があるかもしれません。

そして、これらの変更について綿密に記録をとり、依存関係を理解しなくてはならないのです。また、緩和した分、他のところでバランスを取らなければなりません。たとえばホストAVポリシーを厳しくしてネットワーク保護の欠如を補う、あるいはオンプレミスDNSサーバーの代わりにセキュアな外部のDNSプロバイダーを使用する従業員のデバイスの設定を変更する、などが必要となるでしょう。

3. リモートワークインフラへの攻撃

既存のコントロールの緩和に加えて、新しいインフラの構築は新たなリスクをもたらします。1月、Web向けのCitrixインフラに対して攻撃が多発しました。企業は急速にVPNゲートウェイの展開を進め、Sharepointに移行し、インターネット境界を拡張していきます。この急激に広がったアタックサーフェスを、監視し、保護する必要があります。セキュリティチームはブルートフォースおよびサーバーサイド攻撃に特に警戒する必要があるでしょう。また、DDoSの防御もかつてなく重要となります。多くの企業にとっては、DDoS攻撃によって業務が不能になる初めてのケースとなるでしょう。リモートワーカーがインターネットを使ってサービスにアクセスできなくなるためです。これらの攻撃形態はどちらもまたたくまに増加すると予想しておくべきです。

4. エラーとクリエイティブな解決策

「S3バケットに入れてください。」

「代わりにjoin.meを使おう。」

「WeTransferで送るよ。」

IT部門と従業員のどちらも、それぞれ困難に直面します。彼らのニーズに対応する承認済みのソリューションはなく、またこれらのニーズは実際、きわめて急を要するものかもしれません。企業の経営状況と事業継続可能性がきわめて心配な状態にあるとき、慎重さを忘れて「これまで通り」の状態を守ろうとする圧力がかかります。さらにこのプレッシャーはトップから来るかもしれません。セキュリティ責任者は性急な決定を押し戻しつつ、クリエイティブな解決策も提供できるようベストを尽くさなければならないのです。

従業員は良かれと思ってクリエイティブな方法を生み出し、またチームリーダーには「できることはなんでもやれ」と責任が委譲されます。セキュリティチームがこれを中央から規制することは不可能かもしれませんが、注意深く監視することによりリスクの高い行動やコンプライアンス違反を見つけ出す必要があります。ただ、言うは易く行うは難しです。SOCは変化の大海原のなかからインシデントを監視するよう求められているのです。既存のユースケースやルールを適用することは不可能です。企業は検知と対処に対してより積極的で動的なアプローチが必要となります。

5. 悪意ある内部関係者と悪意ある同居人

残念なことに、困難な状況を悪用しようとする人が社内にいる可能性もあります。突然のリモートワークは悪意のある内部関係者にとっては思わぬチャンスです。自宅という誰も見ていない環境で、会社のデバイスからUSBを使って簡単にデータを取り出すことも可能です。セキュリティ監視は機能不全であったり、まったく無効な状態かもしれません。このリスクは対応がかなり困難です。解消することはできないかもしれませんが、生産性ニーズとデータへのアクセスに対してバランスを取ることはできるかもしれません。

また、私達は周囲の人間についても心配するべきです。私達は皆、一緒に住んでいる人を信頼できることを望んでいます。しかし企業から見ると、従業員の自宅はゼロトラスト環境です。盗み聞きのできる環境で機密情報が話され、世界中のリビングルームの画面やモニターに知的財産が映し出されるのです。このリスクは、ルームシェアしていることの多い若い年代でより大きいと言えますが、すべてのリモートワーカーについて言えることです。配達の人、家を訪ねてきた人、彼らは誰でもテーブルの上に置かれた会社のノートPCを持ち去ることができるのです。特にリスクの高いグループの従業員を教育することが重要となるでしょう。

デジタル化に伴うさまざまな変化の中で方向性を見出す

前述の変化とリスクはSOCにとって悪夢のような監視の課題を作り出しました。私達はデジタル未知の時代に入りつつあり、そこでは変化がニューノーマルです。データフローとトポロジーは変化し、新しいテクノロジーやサービスが展開されます。ロギングのフォーマットも違ったものになるでしょう。12か月もかけて作成されたSIEMユースケースも一夜にしてやり直しを求められることになります。これから数週間のうちに、ビジネスの慣行も急激に変化します。

静的な防御やルールは、どれだけこまめに書き直してもついていけなくなります。世界中の数千ものばらばらな場所から接続が行われるようになった今、監査ログ内からOffice365に対する悪意あるログイン試行をどうやって見つけたら良いでしょうか?企業はこの厳しい時期にあって、不確実な状況でも生産性を損なうことなくオペレーションを継続することのできるテクノロジーを活用する必要に迫られています。それにも増して、これらの脅威を封じ込めることは最優先の重要課題です。感染したマシンがあったとしても、イメージの再適用や置き換えが何日にもわたってできないのであれば、完全に隔離してしまうことは現実的ではないかもしれません。

設定ミス、攻撃、リスキーな行動を検知するには、絶え間なく進化して変化に適応できるAIシステムが最も大きな可能性を持っています。何を探すべきかが分かっていないときには、パターンを認識してリスクを定量化できるテクノロジーが必要です。Autonomous Responseテクノロジーも、チームが不在で攻撃を阻止できない場合にピンポイントに介入して悪意あるアクティビティを停止させ、デバイスやシステムを保護しつつ必須のオペレーションには影響を与えずに継続させることができます。

進化:課題に真正面から取り組む

これらの脅威に立ち向かうのは簡単なことではありません。それには大変な努力と、創造性、新しいテクノロジーの組み合わせと共に、新しい働き方へのオープンな姿勢と、従来の硬直したポリシーに代えて動的かつ積極的な防御を取り入れる意思が必要です。しかしながら、自律的な防御システムに信頼を置いて従業員を保護させることが、静的な防御が役にたたなくなった今、レジリエンスとセキュリティを維持するための最も効果的な方法なのです。

Darktraceは、この困難な時期においてお客様にCyber AIプラットフォームからさらなる価値を得ていただき、多忙なセキュリティチームの作業負荷を軽減するための努力を重ねています。私達は、Autonomous ResponseやCyber AI Analyst、Darktrace Mobile Appを含む正しいツールとテクノロジーがあれば、これらのチームは嵐の海を航海していくことができると信じています。前例のないこの不透明な時代において、変化するデジタルビジネスと歩調を合わせて進化するセキュリティへのニーズはかつてなく大きくなっています。

Andrew Tsonchev

Andrew is a technical expert on cyber security and advises Darktrace’s strategic customers on advanced threat defense, AI and autonomous response. He has a background in threat analysis and research, and holds a first-class degree in Physics from Oxford University and a first-class degree in Philosophy from King’s College London. His comments on cyber security and the threat to critical national infrastructure have been reported in international media, including CNBC and the BBC World.