サイバーセキュリティ対策が難しいと言われる理由
「サイバーセキュリティ対策は難しい」という声をよく耳にします。それを聞くと、これから対策を強化しようとしている中堅・中小企業の方は不安に感じるかもしれません。しかし、なぜ難しいと言われるのか、その理由を知ることができれば恐れずに取り組めるのではないでしょうか。
サイバーセキュリティ対策が難しいと指摘される主な理由としては以下が挙げられます。
- その脅威が見えない
- 技術の進化が速い
- 人間のミスが影響する
- システムが複雑であり、しかもこれらの要素が絡み合う
盗難や自然災害といった直感的に対処できる現実世界の脅威と比べると、ウイルスやハッキングなどサイバーセキュリティの脅威は実体を持たず、その分だけ対処の難易度は高くなります。たとえば窓が破られていれば空き巣の侵入をすぐに疑えますが、パソコンにマルウェアを送り込まれても簡単には気づけません。
そのためサイバーセキュリティ対策では「専門的な知識」と「常に最新の情報」を取り入れる努力が求められます。
図 1.脅威の把握の困難さ
最新のセキュリティを理解できないのは環境の変化にタイムラグがあるから?
中堅・中小企業が新しい技術を取り入れる際に大きな課題となりかねないのが、人材不足、情報不足、そして資金不足です。この 3 つの要素の中でも人材不足が最も大きな課題であることがわかっています。これは IT インフラの導入においても同じことが言え、そのような理由から IT インフラの進化が大企業と比べ 3 年から 5 年遅れてしまっているのです。
図 2.企業における課題の種類と製品ベンダーのアプローチ
IT ベンダーの多くは大企業向けに製品開発・販売を行っており、彼らが提案するソリューションは往々にして人材・情報・資金面が成熟した組織にしかフィットしません。特に新しい技術においてはこの傾向が大きいため、中堅・中小企業の IT 環境の変化にタイムラグが発生してしまいます。
引用:中小企業庁 中小企業におけるイノベーション
https://www.chusho.meti.go.jp/pamflet/hakusyo/2023/PDF/chusho/03Hakusyo_part1_chap4_web.pdf
中堅・中小企業は環境の変化にタイムラグがあり、大組織向けの新しい概念・対策製品・セオリーがただちにフィットするとは限らないのです。
対策すべきセオリーは常に提示されていたが、実行されなかった
国内外の公的な組織から出されてきたセキュリティ対策の注意喚起を振り返ってみると、途中バックアップの重要性や不審なメールへの注意などに触れてはいるものの、最優先事項は常に「最新バージョンの適用」です。つまり、どの時代においてもセキュリティを最新の状態に保っておくことが重要であり、そしてそれを徹底できている企業はどの時代でも多くはありません。
ウイルス対策と FW/UTM で実施していた対策を崩壊させたいくつかの環境変化
従来の UTM(統合脅威管理)システムは、ファイアウォール(FW)や侵入検知システムを統合し、ネットワーク全体を監視・管理することで効果的な防御層を提供していました。また UTM は導入が比較的容易なため、中小企業のセキュリティ対策として脚光を浴びました。
しかし現在、クラウドサービスの増加に伴って HTTPS による通信内容の暗号化が普及しています。暗号化されているのでトラフィックの中身を見ての解析ができず、脅威の検知が難しくなりました。つまり、HTTPS 暗号化は通信の安全性を高める一方で、UTM の脅威検知能力を低下させているのです。
暗号化されたトラフィック内の脅威を検出するには、SSL/TLS の検査が必要ですが、UTM のモデルによっては著しいパフォーマンス劣化につながります。
また、企業は UTM の守備範囲である公開サーバーを離れて、クラウドサービスの利用を加速しています。加え、コロナ禍を経てリモートワークが普及し、従業員が社内端末を社外に持ち出して使用する機会が増えています。セキュリティの境界線は従来のネットワーク境界より外に向かい、パソコンなどのエンドポイント端末にまで拡大しているのが現状です。
図 3. いわゆる多層防御の崩壊
コロナ禍において攻撃対象を自ら作り出してしまう流れが横行
テレワークの急速な普及を受け、自宅などからでも社内ネットワークを利用するための VPN(仮想専用通信網)を、多くの企業が急いで導入しました。しかし、十分な準備やセキュリティ対策が整っていない VPN 環境が多く、攻撃者にとってそれらの環境は格好のターゲットとなり、脆弱な VPN を狙ったサイバー攻撃が頻発したのです。
また、Shodan や Censys などのツールの登場により、インターネット上に公開されているデバイスやサービスを簡単に発見でき、セキュリティ対策が不十分な VPN 装置を容易に特定できてしまうようになりました。
とはいえ、リモートアクセスで VPN が使えなければ、業務が停滞してしまいます。往々にして、セキュリティ対策が不十分なままでも、VPN を使うことを最優先にするあまり「うちは大丈夫だろう」という正常性バイアスが働き、適切な対応が後回しになりがちです。
非合理的な選択と負の連鎖
丸投げ体質と認知バイアス
多くの中小企業は、IT セキュリティに関して「専門家(販売店)に任せれば大丈夫」と考える傾向があります。この「丸投げ体質」は認知バイアスの一種です。例えば車のメンテナンスを全て整備工場に任せるようなものです。確かにプロに任せることは重要ですが、定期的な点検やオイル交換の重要性を理解し、自分でもチェックする意識も求められます。このような認知バイアスが働くと、セキュリティ対策の重要性を過小評価し、コストを抑えるためにバージョンアップを怠ることになります。しかし、それではセキュリティの穴はどんどん広がり、ランサムウェアなどのサイバー攻撃に対して脆弱な状態が続いてしまうでしょう。
行動経済学と短期的視野
行動経済学の視点から見ると、中小企業がセキュリティ対策を後回しにしがちなのは「時間割引」という現象が起こっているからだと言えます。例えば今日の 1 万円と一年後の 1 万 1,000 円なら、多くの人が今日の 1 万円を選びます。同じように、セキュリティ対策にかかる即時のコストと将来的なリスクを天秤にかけると、目先のコスト削減を優先してしまうのです。この短期的な視野が続く限り、セキュリティ対策は後手に回り続けます。
負の連鎖と関係の悪化
例えば家の一部が火事になったのに消火活動を怠っていると、被害は拡大し、最終的には家全体が燃え尽きてしまいます。UTM 導入において、このような負の連鎖を防ぐには、販売者と購入者の間で適切なコミュニケーションが必要です。しかしそこでは「責任分解点」と「善管注意義務」の綱引きが発生し、お互いがお互いの責任を追求する関係悪化の要因になるケースも少なくありません。
図 4. VPN 装置導入における非合理な選択と負の連鎖
いま中堅・中小企業が注目すべきセキュリティ対策の定石
図 5. 新しいインフラ構成の定石
ここまでに紹介した背景や環境変化は、大企業では数年前から顕著な課題として認識されており、それが「ゼロトラスト」や「SASE」への注目につながっています。
<ゼロトラストとは>
旧来型の境界セキュリティでは主に、通信回線の出入口に UTM などの装置を設置し、パソコンなどにインストールされているウイルス対策と二段構えの対策を行うことで「多層防御」を実現していました。ところが現在では、企業の7割以上が何かしらのクラウドサービスを利用するようになったため、インターネットそのものやクラウドを中心に据え、その周囲において対策をとるという防御が主流になっています。(図中緑点線枠部分)
<SASE(サシー)とは>
ゼロトラストはセキュリティの概念であり、その実現に有効なソリューションが SASE(Secure Access Service Edge)です。セキュリティとネットワークを融合したソリューションであり、セキュリティを高めるだけでなく運用や管理の効率化にもつながります。
中堅・中小企業においては、ゼロトラストや SASE が流行する少し前にセキュリティ業界で提唱されていた「セキュリティ境界線の延伸」という考え方を取り入れることも有効でしょう。端末からインターネットへ接続する直前の、下図中の星マークの部分に対策を講じることで、従業員をマルウェアや有害サイトなどにさらされる危険性から遠ざけられます。
図6. 求められる対策箇所
中堅・中小企業においては、このように対策の境界線を延伸することに加え、ランサムウェアの被害を連鎖的に拡大させないためにクラウドの利点を積極的に活用することが推奨されます。クラウド型対策製品は変化してしまった環境にフィットするため、導入により以下のようなメリットを享受できるでしょう。
- バージョンアップが自動的に行われる
- 常に最新バージョンで運用されるため、脆弱性が生じにくい
- 多くの機能が 1 つのサービスの中で提供されるため対策が陳腐化しにくい
- 組織の規模によらず対策の強度が平等に提供される
つまり、ある意味でクラウド型対策製品は最初から「丸投げ」を想定しており、「非合理な選択」の余地を与えずに適切な対策を提供する、高度なサービスの塊といえます。
まとめ
- サイバー空間の脅威把握は難しい。意識的に理解する努力は必要だが、限界がある
- 旧来の対策群が陳腐化しているケースが散見されている
- 攻撃者は簡単な検索エンジンで脆弱な対象を見つけることが可能
- 特に UTM の導入において利用者と販売者の関係が悪化する負の連鎖が起きている
- ゼロトラスト・SASEの概念を取り入れたセキュリティ境界線の延伸をうまく取り入れることが理に適った対策である