社内から社外へと前提条件が変わった

　情報セキュリティにつきまとう悩ましい課題として挙げられるのが「トレードオフ」だ。効率化を進め生産性を向上させるために導入したITを自由に使ってもらうのが本来の姿である。しかし、自由に使えるようにするほどセキュリティリスクも増大する。そこで様々な制限を設けることになるが、それが使い勝手を阻害してしまうことにもなる。

　新型コロナウィルスの影響で、いつでもどこでも仕事ができるテレワークの普及が進んだ。テレワークでは無理だと思われていた業務も、やってみればやれることがわかった。しかしながらここでも、自由度との「トレードオフ」の関係は切り離すことはできない。

　日本HPの大津山隆氏は「これまで9割はオフィスで仕事をしていて、テレワークは1割だったのが、緊急事態宣言で逆転しました。つまりITを活用する環境自体が大きく変わったわけです。セキュリティを考える上ではこの現実を正しく理解する必要があります」と指摘する。

　具体的には、これまでのセキュリティは「境界防御」という考え方がメインだった。閉ざされた空間であるオフィス内にイントラネットを構築し、ユーザーは安全安心が担保されている環境でITを活用してきた。企業としては、リスクのあるインターネットとの境界線をファイアウォールなどでしっかり守れば良かったのである。

　しかし、テレワークを取り入れた“ニューノーマル”では、その前提条件が大きく変わる。「新しい働き方では100％オフィスにいて仕事をするということはあり得ません。むしろ基本はインターネット上でシステムを利用することになります。そこではインターネットとイントラネットの境界がなくなることを前提条件にセキュリティを考える必要があります」（大津山氏）。

　そこで問題になるのが冒頭で挙げたトレードオフだ。今まで働き方の自由度を制限することで、境界防御という形によってセキュリティを担保しようとしてきたが、その形が崩れることでセキュリティリスクが高まる。しかし、利便性を考えれば社外からでも社内システムを自由に使える環境は必要だ。テレワークを前提として、利便性とセキュリティを両立させることが求められているのである。

正しい人と正しい端末の確認が必要に

　セキュリティを考える上で重要になるのが、攻撃者がどこを狙っているのかを知ることだ。大津山氏は「攻撃者は今2つのところを攻撃対象にしています。急ごしらえで構築したVPN接続の設定の甘い部分と、社内で使うことを前提にセキュリティが設定されている端末の脆弱性です。これからのセキュリティでは、社外から安全にアクセスできる仕組みと端末自体のセキュリティの2つを強化することが柱になります」と大津山氏は語る。

　社外からのアクセスの安全性を高めるアプローチの一つとして注目されているのが“ゼロトラスト”というコンセプトだ。「どこも安全ではない、という前提に立ってシステムにアクセスする度に安全性を確認していきます。大事なのはアクセスしてきた人が誰かをその都度認証し、その端末がマルウェアなどに感染していないかを検証することです」（大津山氏）。社外、社内の別に関係なく、「正しい人」、「正しい端末」であることを確認してアクセスを認めることでセキュリティを高めていく、つまり、これまで以上に “端末が感染していないこと”が重要になるということだ。
大津山氏は「確かにWindows10になって、PCのセキュリティレベルは格段によくなっています。しかし、攻撃者は常に手薄なところを狙ってきます。今はOSより下層にあるBIOSという基本ソフトの部分までもが狙われています」と指摘する。

　BIOSは起動時のOSの読み込みや周辺機器への入出力を制御するプログラムで、ファームウェアとも言われる。BIOSの上でWindowsのようなOSが動いているので、OSのセキュリティが完璧でも、BIOSを改ざんされると、攻撃者の好き勝手にされてしまう。HPビジネスPCが搭載しているHP Sure Startのように、この部分を守るためのセキュリティも必要だ。

　「大事なのは何重にも対策を施す“多層防御”を端末にも取り入れることです。ダイレクトにインターネットに接続しても、不正侵入されることを前提に、端末側でも複数の防御層を用意しておくことで安全性を高めることができます。新しい働き方にあったPCの選択が求められています」（大津山氏）。

“ユーザーの脆弱性”への対策という視点

　「新しい技術が登場することで、常識も変わります。いち早く新しい常識を取り込むことがサイバー攻撃の被害を回避することになります」と大津山氏は語る。例えば、添付ファイルを暗号化して送付することにも、今では逆効果が指摘される。それによって暗号化された添付ファイルの中に潜むウイルスが発見できなくなる可能性があるからだ。添付ファイルの例を挙げたのには理由がある。最近の攻撃は添付ファイルやリンクのクリックなどのPC上でのユーザー操作に乗じたものが圧倒的に多いからだ。

　「攻撃者が狙っているのはユーザーの脆弱性です。“システムの脆弱性”という視点からの対策はこれまでにも多くなされていますが、これからは“ユーザーの脆弱性”という視点からの対策も必要になっています。その際に忘れてはならないのが、セキュリティ強化のために、使い勝手を下げるような強制をしないこと」だと大津山氏は指摘する。

　これらの観点から開発されたのが、HP Proactive SecurityやHP Sure Click Enterpriseといった、HP独自のセキュリティサービスだ。これらのサービスが提供している、アプリケーション隔離という技術はこれまでにないユーザーの使い勝手と高度なセキュリティを両立させるものだ。従来からのアンチウイルスが用いるマルウェアの検知に拠らず、ユーザーの脆弱性を突かれる可能性のあるリスクのあるアプリケーションをあらかじめ隔離することにより、使い勝手を変えずにセキュリティのリスクも隔離、消滅させることを実現している。「HP製以外のPCもサポートするソフトウェアとして提供されているので、広く社内に展開して最新の攻撃にも耐えられる環境をユーザーの生産性を落とさずに実現できます」（大津山氏）

　セキュリティが利便性を下げると、ユーザーが使い勝手を求めて抜け道を作ってしまう。何より生産性が低下してしまえば、なんのためにITを導入しているのか、本来の意味が失われる。やはり利便性とセキュリティの両立が重要だ。

経営問題としてとらえるべきセキュリティ

　どこでもネットワークに接続できるようになって利便性は大いに高まった。テレワークのようなワークスタイルも簡単に導入できる。しかし諸刃の刃であることは否定できない。ネットワーク化されて便利になったということは、悪意を持った攻撃者にとっても便利になったということであり、世界中が攻撃対象になってしまう。

　「悪意を持った攻撃者は防御が手薄なところを狙ってきます。セキュリティ面での対応が遅れている日本企業は、彼らにとって魅力的な攻撃対象です。ITを正しく使うには、セキュリティがベースになります。働き方が多様化することで、セキュリティの重要性はますます高まっているのです」と大津山氏は強調する。

　しかし、日々進化するサイバー攻撃にどこまで対応しておけば良いのだろうか。大津山氏は「サイバー攻撃で損失を被った場合、これまでは被害者的に扱われていました。しかし、今は常識的な対応をしていないと、守る側の責任が問われ、経営の質が悪いという評価が下されてしまいます」と解説する。

　常識的な対応を考える上で一つの指標となるのが、米国の国立標準研究所（National Institute of Standards and Technology, NIST）」が発行している「NIST SP800シリーズ」だろう。業種や規模に関係なく、セキュリティを考える上でのガイドラインとして活用されている。

　「NISTの発行しているセキュリティのガイドラインは幅広い領域をカバーしています。企業としてとるべき対策やPCに求められる機能などを検討する際に参照すると良いでしょう。当社もNIST SP800シリーズに準拠したセキュリティ機能を製品に実装しています」（大津山氏）。

　新型コロナウィルスの感染防止のために、色々な環境変化が劇的に進んでいる。それに加えてDX、デジタルトランスフォーメーションという要素ある。セキュリティを考慮せずにDXを進めれば、落とし穴に落ちる可能性もある。セキュリティの整備は不可欠だ。経営者がセキュリティの真の重要性を理解することが、今求められているのである。