中小企業に導入してもらえる セキュリティ提案 Part2

　コロナ禍では感染症対策のため、多くの企業でテレワークが実施された。新型コロナウイルス感染症の感染症法上の分類が5類に移行された現在はオフィス回帰が起こっているものの、在宅勤務とオフィス勤務を組み合わせたハイブリッドワークによって、柔軟に働くスタイルを採用している企業は多い。一方でこの急速なテレワークの普及によって、従来型のセキュリティ対策である境界線防御が破綻し、セキュリティリスクにさらされている企業も少なくないのが現状だ。

　特に標的型攻撃は企業規模を問わず発生する。昨今では大企業と比較してセキュリティ対策が十分でない中小企業を狙うケースも多いのだ。オフィスの外で仕事をすることが増えたことによって、標的型攻撃メールによる被害を受けた場合でも、その旨を迅速に報告できずに被害を広げてしまう可能性もある。セキュリティリスクを低減していくためには、対策製品を導入することはもちろん、従業員に対する教育も重要になるのだ。

　日本全国の企業の自衛力向上を目指し、セキュリティ業界全域で事業を展開するGSXは、サイバーセキュリティ教育カンパニーとして従業員向けからエンジニア向けまで幅広いセキュリティ教育講座や訓練を行っている。

　GSX コーポレートエバンジェリスト 武藤耕也氏は「セキュリティ教育のニーズは今、非常に増えています。しかし、企業内のルール作りも人材教育も、セキュリティの実効性を向上させるために必要な基本的な事項は全て同じです。まずは防犯意識とリスク認識を共有すること。次に、リスクを見える化することです」と語る。

　その後、組織体制とシステムを整え、教育や訓練による意識と運用の定着を図っていく（下図参照）。これらの流れをPDCAサイクルでスパイラルアップをしていくことが、セキュリティ脅威に強い企業づくりにつながる。

　一方で、経営者層から部門マネージャー、一般従業員の全てが、セキュリティに対する共通認識を持つのは難しい。「当社では階層別研修を提供していますが、特に経営者層や一般従業員はセキュリティに対する興味が薄いため、実際にほかの企業の皆さまがどういった攻撃を受けて、どういった被害を出したのか、といった具体的な事例を出して紹介していきます。その中で、セキュリティというのは技術の話ではなく、空き巣や詐欺のような犯罪と変わらないのだとお伝えしています。犯罪という視点で考えると、サイバー攻撃の手口は三つしかありません。一つはかかっている鍵をこじ開けて中に入ってくる空き巣の手口。二つ目はIDやパスワードを入手することで、他人になりすまして侵入する手口。三つ目は人をだまして侵入する詐欺の手口。この三つの手口を知ることで、『なぜセキュリティ対策が必要なのか』といった意識を共有できるようになります」と武藤氏。

　そうした認識を共有した上で実施するのが、サイバー演習によるリスク認識だ。GSXでは標的型メール訓練サービス「トラップメール」を提供しており、企業や組織を狙う標的型攻撃メールへの対応を、模擬形式で実践する。本サービスによって標的型攻撃への意識向上や、インシデント発生時の対応を学べる。「企業さまの中には、このトラップメールによるサイバー演習を先に行って現状を把握し、階層別研修を実施するケースもあります。その場合、サイバー演習後に実施される経営者層向けの報告会に当社コンサルタントが同席し、リスクに対する認識を深めてもらいます。その後、階層別研修を行うことで企業全体のセキュリティ意識を高められます」（武藤氏）

　他社のメール訓練サービスの中には、メールを送っただけになりがちで、実際に受信した際の従業員の対応などを評価をすることが難しいサービスも存在するという。しかし、GSXのトラップメールではメールを受信した後の対象者の行動も細かく記録される。訓練後の啓蒙にもつなげやすく、企業全体のセキュリティ意識を底上げできる。また、従業員のセキュリティ意識を向上させるためのITセキュリティeラーニングサービス「MinaSecure」も用意しており、漫画調のイラストやアニメーションなどのコンテンツで、一般ユーザーでも抵抗なくセキュリティを学べる。

　GSXでは経営者層や従業員向けの階層別研修に加え、エンジニア向けの研修も提供している。階層別研修と並行してエンジニア向けセキュリティトレーニングを実施することで、企業のセキュリティ教育の効果をよりアップできる。例えばメールセキュリティに関する知識とスキルを向上するため、従業員向けには「メール安全利用検定講座」を、エンジニア向けには「認定メール安全管理士講座」をそれぞれ提供し、企業の情報セキュリティを強化する。

　これらの講座は「SecuriST」シリーズとしてGSXが創設した情報セキュリティに特化したセキュリティプログラムだ。例えば「認定脆弱性診断士」のコースではシステムのセキュリティ強化に不可欠となる脆弱性を判断するための知識とスキルを身に付けられるコースで、トレーニングコースでそれらを習得した後、資格試験を通じて認定資格の取得も行える。「社内に脆弱性に関する知識を持つ人材が欲しい」と考えている企業にお薦めだ。

　また、SecuriSTには昨今注目度が高まっているゼロトラストについての考え方や要点の理解、導入計画の立案までを学べる「ゼロトラストコーディネーター」も用意されている。エンジニアはもちろん、営業職や企画職のユーザーにも非常に人気が高いという。「1講座90分のオンデマンド配信講座として提供しており、入門編、基礎編、応用編が用意されています。営業職や企画職の方は入門編、基礎編を受講いただき、エンジニアの方は応用編までをセットで受講いただくと良いでしょう。当社はもともと中堅・中小企業へのセキュリティ教育やコンサルティングに非常に力を入れていますので、販売パートナーの皆さまとパートナーシップを組みながら、中堅・中小企業の皆さまにとって使いやすくリーズナブルなサービスの提供を、これからも進めていきます」と武藤氏は展望を語った。

　サイバー攻撃は、企業の事業継続を揺るがす大きなリスクとなっている。昨今では、大企業の取引先や関連企業を狙ってサイバー攻撃を仕掛ける「サプライチェーン攻撃」も目立つ。「ターゲットとなる企業に直接サイバー攻撃を行うのではなく、セキュリティ対策に弱点がある取引先や関連企業に攻撃を仕掛け、それを足掛かりにターゲットとする企業に不正侵入します。サプライチェーン攻撃は、自社だけではなく取引先や関連企業を巻き込み大規模なシステム障害に発展するリスクをはらんでいます」と網屋 執行役員 マーケティング部長 別府征英氏は警鐘を鳴らす。

　サイバー攻撃に狙われやすいのが、システムの脆弱性や設定不備、ビジネスに不可欠なメールなどだ。「大企業と比べて、中堅・中小企業はセキュリティ対策が不十分であるケースが多く、サイバー攻撃の被害に遭いやすいのが現状です。アンチウイルスソフトを入れていても、すり抜けてしまう攻撃も存在します。サイバー攻撃を受けた際に、それを検知できる万全な体制を整える必要があるでしょう。また、万が一被害に遭ってしまった場合に、原因究明や復旧などを行う迅速なインシデント対応も求められます」（別府氏）

　こうした中堅・中小企業に必要なセキュリティ対策を備えた製品が、クラウドCSIRTサービス「セキュサポ」である。

　セキュサポは、中堅・中小企業のセキュリティ強化をトータル支援するクラウドセキュリティサービスだ。サイバー攻撃・内部不正の監視や事件時の原因特定、影響範囲の調査などの企業のセキュリティ対策に求められる対応を包括的に提供する。網屋のセキュリティ専門チームが企業のセキュリティ担当者に代わって、日々のセキュリティ運用を行うものだ。セキュリティ人材の不足や、インシデント対応に膨大な時間がかかるといった自社のセキュリティ運用に不安を抱える企業の課題を解消できる。

　セキュサポの特長は、「サイバー攻撃対策」「内部不正対策」「強化レポート」「インシデントレスポンス支援」「サイバー保険」「脆弱性対策」「セキュリティ相談窓口」といった企業に求められるセキュリティ対策が網羅的に取りそろえられていることだ。詳細は次の通りだ。

・サイバー攻撃対策：顧客の環境にセキュリティ異常を発見できるシステム「ALog」と遠隔からリアルタイムに監視するシステム「Verona」を初期構築し、外部攻撃を常時監視。
・内部不正対策：内部不正の兆候をAIを使って常時監視。「いつもと異なるフォルダーにアクセスしている」「就業時間外にデータへのアクセスが行われた」など、内部犯行者の不審な行動を可視化することで、異常を素早く検知。
・強化レポート：ユーザー企業のセキュリティ状況について、各種レポートを定期で提出。セキュリティ強化の取り組みを監査証跡として残せる。
・インシデントレスポンス支援：攻撃や不正の兆候が見られた際に、インシデントレスポンスを実施。事象の切り分けや攻撃リスクの判定をユーザー企業に代わって実施。
・サイバー保険：インシデント発生時に起こる原因や影響範囲の調査といった事故調査費用をサイバー保険でカバー。
・脆弱性対策：インターネットエリアデバイスの脆弱性を四半期ごとに診断。脆弱性をはらむOSやミドルウェアを検出し、対応策を提示。
・セキュリティ相談窓口：不審なメールの安全確認といった日常のCSIRT（Computer Security Incident Response Team）対応を代行。

「さまざまなシステムのログを相関分析し、攻撃の兆候や不審なアクセスがないかを監視します。ログの取得には、当社のALogを活用しています。ALogは『リスクスコアリング』というAIが搭載されており、ユーザーの振る舞いを分析し、その振る舞いから逸脱する行為があればアラートするといった機能も備えています。セキュリティの未然対策からインシデント発生後の対応までお客さまをサポートします」（別府氏）

　サイバー攻撃対策をしていても、攻撃者は今まで知られていた手口に対して方策を施し、新たな手法で攻撃を仕掛けてくる。そうしたときに重要となるのが、セキュサポの脆弱性対策だ。豊富な知識を擁する専任のエンジニアが定期的にITシステムの脆弱性を調査し、効果的な対策案を分かりやすく提示する「脆弱性診断サービス」が有効となる。

　脆弱性診断サービスでは、外部攻撃されやすいインターネットエリアを優先的に診断する「インターネットエリア脆弱性診断」や、不正侵入を前提にローカルエリアでの横展開を診断する「ローカルエリア脆弱性診断」などさまざまなプランを用意している。「ITシステムは新しい脆弱性が日々生まれ続けます。周期的に診断・報告・サポートのサイクルを回すことで、新たな脆弱性の見落としを防ぎます」（別府氏）

　セキュサポは、1カ月の無償トライアルも実施している。別府氏は、「多くの企業さまにセキュサポを知っていただきたいと考えています。セキュリティ対策に不安を抱える中堅・中小企業さまをセキュサポを通じて支援していきます」と意気込みを語った。

　コロナ禍によって在宅勤務が増加したことで、どこからでも業務データにアクセスできるクラウドサービスの利用が増加した。またテレワークの普及によりVPNを使い、社内ネットワーク環境にリモートでアクセスするユーザーも大幅に増えた。そうした働き方の変化は、従業員のワークライフバランスに良い影響をもたらす一方で、セキュリティ対策を講じる上では大きなリスクにもなる。クラウドサービスもVPNもアカウントIDとパスワードによって利用するものであるが故に、それらが漏えいしてしまうと脅威にさらされるリスクが一気に上がるからだ。

　例えば、IPAが発表した「情報セキュリティ10大脅威2023」の組織向け脅威のランキングを見ると、1位にランサムウェアの被害、2位にサプライチェーンの弱点を悪用した攻撃、3位に標的型攻撃による機密情報の窃取があり、5位にテレワークなどのニューノーマルな働き方を狙った攻撃、6位に修正プログラムの公開前を狙う攻撃（ゼロデイ攻撃）、7位にビジネスメール詐欺による金銭被害、8位に脆弱性対策の公開に伴う悪用増加が挙げられている。ソリトンシステムズのビジネス推進本部 パートナービジネス部 2G 佐藤菜緒氏はこれらの脅威に対して「Attack Surfaceを意識しなければならない脅威であり、中小企業がセキュリティ対策を講じる上ではまずこのAttack Surfaceを把握しておく必要があります」と指摘する。

　Attack Surface（攻撃対象領域）とは何か。これは悪意のある攻撃者によるサイバー攻撃の足掛かりとなり得るIT資産や侵入経路を指す。中でも外部インターネットに公開されているIT資産はExternal Attack Surface（外部攻撃対象領域）と呼ばれている。例えばIPアドレス、ドメインやVPNなど、インターネット上のIT資産は多岐にわたる。これらのAttack Surfaceは、クラウド利用の増加やテレワークの普及、システムの多様化などによって増加傾向にあるのだ。

　特に2022年に発生した重大なインシデントは、Attack Surfaceを把握できていなかったり、その脆弱性を放置したりしたことに起因したものが多いという。「悪意のある攻撃を防止するためには、攻撃対象領域（Attack Surface）となりうる外部公開IT資産を把握したり、アカウント漏えいの有無などを継続的に調査したりして管理する必要があります。そうしたサイバー攻撃のリスクを可視化し、抑えるために、当社では攻撃者目線で企業ネットワークへの侵入口や、インターネット上に漏えいしたユーザーIDやパスワードといった情報を調査し、その対策を提言する『Attack Surface Managementサービス』を提供しています」と佐藤氏。

　実際、ソリトンシステムズがこれまでに「漏洩アカウント被害調査」を行った内、全体の99.9％（ドメインベース）の企業や団体で、パスワードを含むアカウント情報の漏えいが確認されたという。「アカウントの漏えい被害件数は、事前に無償調査が可能です。そこから有償のAttack Surface ManagementサービスでIT資産の侵入口になるアカウントの漏えい元、漏えい内容の詳細内容を調査・報告することで、インターネット上にどれだけの危険が潜んでいるか可視化します。そしてその危険への対処・対策方法として当社が提案しているのが、デジタル証明書による多要素認証が行える『Soliton OneGate』（以下、OneGate）です」と佐藤氏。

　OneGateは、多要素認証の中でも優位性の高いデジタル証明書を活用している。多要素認証はID、パスワードといった「知識」、USBキーやアプリへのワンタイムパスワード配信、デジタル証明書といった「所有」、指紋や顔、光彩といった「生体」などの異なる複数の認証要素を組み合わせて認証を行う。しかし昨今、SMSによるワンタイムパスワードやスマートフォンアプリ認証の弱点を突いたフィッシング攻撃が増加しており、“多要素認証だから安心”とは必ずしもいえない状況だ。

　一方、OneGateが提供しているデジタル証明書認証は、許可端末のみの利用に制限できることに加え、フィッシング攻撃も防止可能なため、他の多要素認証と比較して優位性が高い。「デジタル証明書の活用によって『許可されたデバイス』と『利用者本人』の組み合わせのみがログイン画面に到達できるため、IDとパスワードを不正に取得されても攻撃者の侵入を防げます。また、認証強化だけでなく、Microsoft 365やGoogle WorkspaceをはじめとするさまざまなクラウドサービスにSSO（シングルサインオン）でログインできるため、業務効率の向上も期待できるでしょう。社内のActive Directory（AD）やAzure ADと連携して、各クラウドサービスのID管理を自動化したり、デジタル証明書の自動発行を行ったりできるため、メンテナンスも簡単です」（佐藤氏）

　中小企業が導入しやすいライセンス形態も魅力だ。ベーシックプランは70ユーザー、スタンダードプランは40ユーザーから利用できる。佐藤氏は「コロナ禍以降、クラウドサービスの利用が増えた一方で、まだまだオンプレミス環境中心で運用している中小企業は少なくありません。やはり『クラウドサービスはセキュリティリスクが怖い』といった感情が先に立つようです。そこで当社のOneGateを活用いただくことで、難しいと思われがちな多要素認証を簡単に適用しつつ、VPNやクラウドサービスを安全に使ってもらうことで、企業のデジタルトランスフォーメーション（DX）の実現を目指してほしいですね」と語る。

　また情報漏えい対策として、ソリトンシステムズはPCの操作ログを取得できる「InfoTrace 360」を提供している。PCの利用状況からファイル操作やデバイスの利用状況を可視化するだけでなく、労働時間をはじめとした業務環境を可視化するため、テレワーク環境下の働き過ぎも予防できる。

「当社は販売パートナーさまと共に、中小企業のクラウドシフトやDXを、セキュリティで支援していきます。中小企業の働き方改革は経営者層のマインドに左右されがちで、セキュリティリスクを懸念してクラウドサービスの導入をためらってしまうケースは少なくありません。しかし、今クラウドサービスの活用やセキュリティ対策などに投資し、DXの実現に向けて動き出さなければ企業競争力が低下し、淘汰されてしまうでしょう。まずはAttack Surface Managementでリスクの可視化を行いながら、OneGateやInfoTrace 360でセキュリティ強化を実施し、中小企業のクラウドシフトを安全に進めていく支援をしていきます」と佐藤氏は語った。