掲載日：2021/12/17

目の届かないところで軽視されるセキュリティ：ハイブリッド・ワークプレイスにおけるサイバーセキュリティの課題に関する洞察

※ 本ブログは、2021年10月28日にHP WOLF SECURITY BLOGにポストされたOut of Sight & Out of Mind: Insights into the Cybersecurity Challenges of Hybrid Workplacesの日本語訳です。

「自分が持っているとわかっていないものを守ることはできない。」このセキュリティの格言は、今も昔も変わりません。しかし、この18ヶ月間に起こったリモートワークへの大規模な移行は、企業にとってこのアドバイスに従うことをより困難にしています。オフィスで使用されているテクノロジーの正確なインベントリを維持することだけでも大変なのに、今度は従業員がリモートワークをサポートするために自宅で使用しているテクノロジーを監査しなければならないという事態に直面しています。これらのテクノロジーは予期せぬセキュリティリスクをもたらす可能性がありますが、それらが雇用者に見えなければ、理解、評価、そして最終的には管理ができません。

HP Wolf Securityの最新レポート -Out of Sight & Out of Mind（目の届かないところで軽視されるセキュリティ）- では、ハイブリッドワークの台頭によりユーザーの行動が変化し、IT部門に新たなサイバーセキュリティの課題が生じていることを明らかにしています。調査によると、IT部門の管轄外で認可されていないデバイスを購入して接続するユーザーが増えていることがわかります。また、攻撃者が防御を回避したり、ユーザーを騙してフィッシングリンクや悪意のある電子メールを開かせたりすることに成功するケースが増えており、脅威のレベルが高まっていることも明らかになっています。これらのことが、ITサポートをこれまで以上に複雑で時間とコストのかかるものにしています。

本レポートは、パンデミック時にリモートワークに移行したオフィスワーカー8,443人を対象にしたYouGovのグローバルオンライン調査と、Tolunaが実施した1,100人のIT部門の意思決定者を対象としたグローバル調査のデータを用いて検討しています。

「分散化が進む中、クリックする前に何かおかしくないかと健全性を確認する普段の繋がりが減っています。教育は役に立つという程度でしかありません。従業員がインシデントを報告しやすく奨励する必要はありますが、自己報告のみに頼ることはできません。適切なレベルの可視性を実現できる多層型のセキュリティを確立することが重要です。」- HP Inc.最高情報セキュリティ責任者（CISO）、 Joanna Burkey

主な発見

パンデミックに起因するシャドーITが増加している：本レポートでは、ワーカーがIT部門の監査を受けずにデバイスを購入し、接続していることが明らかになりました。調査対象となったオフィスワーカーの45％が、過去1年間に在宅勤務をサポートするためにIT機器（プリンタやPCなど）を購入しました。しかし、68％が購入時にセキュリティを重視しなかったと回答し、43％が新しいノートPCやデスクトップPCのIT部門によるチェックやインストールを受けておらず、50％が新しいプリンタについても同様の回答をしています。
フィッシングやその他のソーシャルエンジニアリングの手法に引っかかる従業員が増えている：調査対象となったITチームの74％は、昨年、従業員がフィッシング・リンクを開いてしまうケースが増加したと回答しています。調査対象となった18歳から24歳までのオフィスワーカーの40％が、悪意のあるメールをクリックしたと回答しており、約半数（49％）が在宅勤務になってからクリックする回数が増えたと答えています。リンクをクリックした、またはクリックしそうになったオフィスワーカーのうち、70％はIT部門に報告しませんでした。その理由は、24％は重要ではないと考えていため、20％は「面倒だから」と答え、12％は雇用主からの報復や処罰を恐れていたためでした。
ITチームはパンデミックでより多くのデバイスを再インストールしている：調査したITチームの79％が、パンデミック前よりも現在の方がより多くのデバイスを再インストールしていると報告しています。デバイスを再インストールする最も一般的な理由の1つは、マルウェアに感染した場合であり、全体的な再インストール率の増加は、攻撃者がリモートワーク環境でのエンドポイント防御の突破に成功したことを示唆しています。ITチームの80%は、従業員のデバイスが危険にさらされているかもしれないのに、それに気づいていないことを心配しています。
リモートワークにより、ITサポートに時間がかかるようになった：調査対象となったITチームの65％が、在宅勤務への大規模な移行により、エンドポイントデバイスへのパッチ適用がより時間を要し、困難になっていると回答しており、64％が新入社員への安全なデバイスのプロビジョニングとオンボーディングについても同様の回答をしています。また、77％のチームが、過去1年間で脅威のトリアージにかかる時間が増加したと回答しており、エンドポイントに関するアラートの62％が誤検知であると推定され、時間の無駄につながっています。
リモートワークにより、ITセキュリティのコストが増加している：調査対象のITチームは、セキュリティに関連するITサポートのコストが昨年1年間で52％増加したと推定しています。
ITチームは、リモートワークによって生じる課題に過剰な負担を感じている：調査対象となったITチームの83％は、パンデミックにより、在宅勤務者のセキュリティ問題が発生したため、ITサポートへの負担がさらに大きくなったと述べています。また、77％のITチームは、在宅勤務が自分たちの仕事を非常に難しくしており、チームが燃え尽きて辞めてしまうのではないかと懸念していると述べています。

未来の仕事をシステマティックに守る

ハイブリッドワークがもたらすリスクを軽減するには、システマティックなアプローチが必要です。今回の調査で明らかになった従来のセキュリティアプローチの弱点の1つは、ユーザーが簡単に単一障害点になってしまうことです。この問題の根源は、メールクライアントがメッセージを開く、Webブラウザがリンクを開くなど、アプリケーションが処理するリスクの高いタスクが、デフォルトで必要以上のオペレーティングシステム（OS）へのアクセスを与えられてしまうことにあります。このような境界の欠如により、攻撃者はアプリケーションを悪用し、エンドポイントを完全に制御することができます。

この弱点に対処する1つの方法は、HP Sure Clickで採用されているような粒度の細かいZero Trustモデルをエンドポイントに導入することです。そのアプリケーション隔離技術は、危険なアクティビティをハードウェアで強化されたマイクロ仮想マシン内に隔離することで、エクスプロイトの影響を制限し、ユーザーのワークフローをサポートしながら、アプリケーションが機能するための最低限のデータとアクセスのみを許可します。これにより、アプリケーションがエクスプロイトされても、悪意のあるコードはホストシステムから隔離され、無害なものとなります。

「未来をリードする技術は、設計に組み込まれた『Secure by Design』の考え方を採用し十分なインテリジェンスを備えたものになり、脅威を検知するだけでなく、その影響を封じ込めて緩和し、いつでも誰にでも起こり得るセキュリティ侵害を受けた場合に迅速に復旧できるでしょう。このような保護は、OS下やOS上に拡張し、既知と未知の脅威だけでなくゼロデイ攻撃に対する保護も提供するべきです。ハードウェアからセキュリティを構築することで、サポート部門の負担を軽減し、ユーザーが制限を受けずに業務をこなせるようになります。」- HP Inc. パーソナルシステムズ事業、セキュリティ部門グローバル責任者、Ian Pratt

企業が直面する2つ目の課題は、ネットワークの可視性が低く、迅速かつ大規模な修復ができないことです。この問題に対処するためには、IT 部門とセキュリティ部門がより優れた可視性と管理性を備えたエンドポイント・セキュリティを装備することが必要です。企業は、エンドポイントのOS以下の部分のセキュリティについても検討する必要があります。なぜなら、しつこい攻撃者はますますデバイスのファームウェアを標的にしているからです。例えば、リモート・リカバリー機能を備えたデバイスや自己修復機能を備えたファームウェアなどを内蔵したエンドポイントを検討すべきです。

この調査について

本レポートは以下に基づいています。

米国、英国、メキシコ、ドイツ、オーストラリア、カナダ、日本の成人8,443人を対象にYouGovが実施した調査。対象は、パンデミック前にはオフィスワーカーとして働き、パンデミック後も以前と同様、またはそれ以上に在宅で仕事をしている人。調査は2021年3月17日～25日にオンラインで実施。
米国、英国、メキシコ、ドイツ、オーストラリア、カナダ、日本のIT部門の意思決定者1,100人を対象にTolunaが実施した調査。調査は2021年3月19日～4月6日にオンラインで実施。