情報システム部門が
考えるべきセキュリティ対策

　2021年1月に首都圏において2度目となる緊急事態宣言が発令され、2府5県についても対象地域が拡大されました。企業においては、新型コロナウィルス感染症（COVID-19）への対応で、昨年より各社で働き方の見直しが行われてきました。

　しかしながら、最新の調査では国内企業でのテレワーク実施率は、1回目の緊急事態宣言時の2020年5月の31.5%に比べ、2回目の2021年1月は22%に減少しています。さらに大企業が集中する1都3県においても41.3%（1回目）、32.7%（2回目）と低い実施率です。（公益財団法人日本生産性本部 2021年1月 報告^*1）
　感染状況に大きな違いはあるものの、米国では6割を超える実施率でテレワークが取り入れられており（2020年5月 Gallup社調べ^*2）、日本はまだまだ低い水準にあるといえます。
　しかし、今後は、ニューノーマル社会での働き方が広く浸透し、テレワークを積極的に導入する業種や自治体も増え、より生産性の高い業務が求められていくのは間違いないことでしょう。コロナ禍においては、テレワークを急ピッチで対応せざるを得ない企業も多く、これまで想定していなかった新しい課題も見えてきてきました。今回は、今後さらに拡大が予測されるテレワークの重要な課題である、セキュリティ対策についてご紹介します。

*1：[出典]　公益財団法人日本生産性本部 2021年1月22日 第4回 「働く人の意識調査」資料1：調査結果レポート
*2：[出典]　独立行政法人日本貿易振興機構（ジェトロ）「アメリカにおけるテレワーク（リモートワーク）の現状」

　独立行政法人情報処理推進機構（IPA）は、情報セキュリティにおける脅威のうち、2020年に社会的影響が大きかったトピックを「10大脅威選考会」の投票によりトップ10を順位付けし、「情報セキュリティ10大脅威 2021」^*3を公表しました。「組織」の立場でのランキングは下表のとおりです。

　組織の順位では、「ランサムウェアによる被害」が1位となりました。昨年8月にIPAは、ランサムウェアを用いた新たな攻撃の手口として「人手によるランサムウェア攻撃」と「二重の脅迫」について注意喚起を行いました。
　従来はウイルスメールをばらまくなどの方法で広く無差別に攻撃が行われていましたが、新たな攻撃者は、明確に標的を企業・組織に定めています。
　標的型攻撃と同様の手法で企業・組織のネットワークに侵入したり、データを暗号化するだけでなく窃取して公開すると脅したりして、身代金を支払わざるを得ないような状況を作り出します。　昨年は国内企業への攻撃も報道され、大きな話題となりました。
　新たなランサムウェア攻撃は、標的型攻撃と同等の技術が駆使されるため、例えば、ウイルス対策、不正アクセス対策、脆弱性対策など、基本的な対策を、確実かつ多層的に適用することが重要です。

　また、「テレワーク等のニューノーマルな働き方を狙った攻撃」が初登場で3位となりました。
　昨年は新型コロナウイルス感染症の世界的な蔓延に伴い、感染症対策の一環として政府機関からテレワークが推奨されました。テレワークへの移行に伴い、自宅などからVPN経由で社内システムにアクセスしたり、Web会議サービスを利用したりする機会が増えました。
　また、私物PCや自宅ネットワークの利用や、初めて使うソフトウェアの導入など、以前までは緊急用として使っていた仕組みを恒常的に使う必要性がでてきました。こうした業務環境の急激な変化を狙った攻撃が懸念されています。基本的な対策のほか、テレワークの規程や運用ルールの整備、セキュリティ教育の実施などが重要です。

「情報セキュリティ10大脅威 2021」（IPA発表より引用）

*3：[出典]　独立行政法人情報処理推進機構（IPA）2021年1月27日「情報セキュリティ10大脅威 2021」

　このようにテレワークによる業務環境の急激な変化により、新たなリスクが発生しています。従来のオフィスワークでは、主にファイアウォールに守られた社内ネットワークに閉じた業務であり、社外回線を使うことは禁止されていました。
　出張時でも、外部にPC等を持ち出しする際は、VPN等の専用回線のみに規制されてきましたが、早急にテレワークにシフトせざるを得ない企業は、インターネット経由で自宅やシェアードオフィス等から社内システムに接続して業務をするようになりました。
　ファイアウォールから外れたインターネット回線から社内システムに直接接続する企業も多く、セキュリティ対策が脆弱なまま業務を行うことが問題になってきています。
　そのような脆弱な部分を狙った、コンピュータウイルス・マルウェアからの攻撃が懸念されています。

　VPNやファイアウォール等で守られたネットワークにおいても、セキュリティ対策は万全ではありません。コンピュータウイルス・マルウェアが巧妙化しているためです。
　ファイアウォールは、外部ネットワークと社内ネットワークとの間に設置され、許可された通信だけを通過させ、不正なアクセスは受け付けません。さらに一般的には、ウイルス対策ソフト等を導入して社内のウイルス攻撃を監視しています。
　しかしながら、業務に必要なWebサービスやメールなどを使うためにファイアウォールに最低限いくつかのポートを開放する必要があり、その開放済みのポートから外部に情報が流失するパターンが近年、多く発生しております。

　一例として、2019年末から最近まで国内の約3,200組織から被害報告された「EMOTET（エモテット）」^*4が挙げられます。EMOTETは、時代の流れにあわせて形を変えながら悪事を働く「自己拡散型のマルウェア」で、多くのマルウェアと同様、スパムメールを介して添付ファイルやリンクをクリックさせることから感染していきます。スパムメールのほか、Windows APIを悪用してさまざまな被害をもたらしており、国内での例では大学教員のPCがウイルスに感染し、PCから最大1万8千件のメールアドレスが流失した可能性があることを公表された例（東京都公立大学法人 2019年11月1日）のほか、企業・自治体等を中心にありとあらゆるところまで感染拡大していきました。
　また、海外では身代金を要求する事例が発生しております。2019年6月に米国フロリダ州レイクシティ市の職員がメールの受信からEMOTETに感染、その後に別のウイルスに感染、最終的にランサムウェア「Ryuk（リューク）」へと感染し、サーバと電話回線、電子メールが人質となる状況に陥り、身代金50万ドル相当を支払うという被害が実際に起こっています｡（出典：経済産業省　2020年12月18日^*5）

　このように近年のコンピュータウイルス・マルウェアでのサイバー攻撃は、なりすましメール等によって簡単にすり抜けられてしまい、従来のウイルス対策だけではウイルスの侵入を防ぎきれない状況になっております。テレワークが不可欠なものとして普及してきている現在では、さまざまなクラウドサービスの利用のためにインターネットに常時アクセスしていることを前提に、一層の注意と対策（セキュリティモデル）が必要となります。

*4：EMOTET（エモテット）
2014年に初めて検出され、2019年にもっとも流行したウイルス。自身だけでなく他のさらに強力なマルウェアをダウンロード・実行して感染させるマルウェアのプラットフォームとなっている。2021年2月19日 総務省と警察庁は ”マルウェアに感染している機器の利用者に対する注意喚起の実施” を行っております。

*5：[出典]　経済産業省 2020年12月18日「最近のサイバー攻撃の状況を踏まえた経営者への注意喚起」

　では、コロナ禍において、より有効なセキュリティモデルとは一体どのようなものでしょうか。
　巧妙、かつ多様なウイルスの脅威の中で生まれてきた新しい考え方が、ゼロトラストセキュリティモデルになります。

　政府のCIOポータルの「政府情報システムにおけるゼロトラスト適用に向けた考え方」^*6によると、

　ゼロトラストとは利便性を保ちながら、クラウド活用や働き方の多様化に対応するため、ネットワーク接続を前提に利用者やデバイスを正確に特定、常に監視・確認する次世代のネットワークセキュリティ環境です。また、「内部であっても信頼しない、外部も内部も区別なく疑ってかかる」という「性悪説」に基づいた考え方から、利用者を疑い、デバイス（機器）を疑い、データを疑い、アプリケーションを疑います。許可されていたアクセス権でも、なりすまし等の可能性が高い場合には、動的にアクセス権を制限する運用を行います。
　アクセス権は、必要最小限を前提に、真に必要な利用者や機器等のみに限定して設定され、「デバイスがすでにマルウェアに感染している可能性がある」「利用者が不自然な利用をしている」「セキュアでない環境からアクセスしている」等、リスクを常に動的に評価し、高リスクな場合にはアクセスが制限されます。

政府情報システムにおけるゼロトラスト適用に向けた考え方、本文一部引用

とあります。

　つまり、これまでの外部からの攻撃を防御するファイアウォールには限界があり、一定の侵入を前提としつつ、情報流失の防止や損傷をいかに最小限にとどめるかが重要となります。仮に「内部に攻撃者を侵入させない」ためには外部と内部を遮断する必要がありますが、情報の厳密な遮断は利便性の観点から難しく、本来業務の生産性低下と運用負荷の増大を招き、逆にシャドーITと呼ばれる抜け穴の拡大につながる可能性を否定できないとも記載されています。
　また、ネットワーク上で内部と外部を100％遮断できたとしても、USBメモリー等の媒体経由でのマルウェア感染、標的型攻撃による詐欺的な手法、内部犯行のリスク等も存在します。
　さらに、外部と遮断されたネットワークでは、最も重要なセキュリティ対策であるOS等のアップデート、セキュリティパッチ適用の自動化が困難なため、運用負荷からこれらの適用が遅滞し、脆弱性が放置されてしまう恐れもあります。

　このように、クラウド活用や働き方の多様化に対応しながら、生産性を高め・利便性を保ちつつ継続的なセキュティ対策を行うためにも、ネットワーク接続を前提に利用者やデバイスを正確に特定し、常に監視・確認する取り組みが必要となります。

*6：[出典]　政府 CIO 補佐官等ディスカッションペーパー 2020年6月「政府情報システムにおけるゼロトラスト適用に向けた考え方（内閣官房）」

　「ゼロトラスト」というと、動的にアクセス権を制限する運用として、一般的にはリソースへのアクセスポリシー（認証・制御）に重きが置かれがちですが、実際には「エンドポイント」「ネットワーク」「アプリ・ワークロード」「オペレーション」の4つの領域で、それぞれどのようなセキュリティ対策を行うべきかを考える必要があります。
　ファイアウォール等の境界型セキュリティでは十分な対応ができないニューノーマル社会の働き方において、セキュリティのカギとなるのがエンドポイントでの対策です。「エンドポイント」とは、「末端」「終点」を意味する言葉で、セキュリティ用語ではネットワークに接続されている末端の機器、つまりPCやサーバのほか、スマートフォンやタブレットなどの端末機器のことを指します。これらのエンドポイント自体や、エンドポイントに保存している情報を、サイバー攻撃から守るためのセキュリティ対策が「エンドポイントセキュリティ」です。
　近年のサイバー攻撃は極めて高度、かつ組織的なだけでなく、世界的に拡散したマルウェア「Emotet」のように被害が広範囲化しており、誰しもが攻撃を受け、感染する可能性があります。攻撃者が優位である現状では、マルウェア対策ソフトがインストールされていれば安心、最新にアップデートしてさえいれば安心、というこれまでの考え方では深刻な被害にあう可能性が高まります。既知のマルウェアだけでなく、未知のマルウェアに対しても、挙動や振る舞いから危険性を判断し防御できる先進的なアンチマルウェアの仕組みが求められています。
　また、ネットワーク環境だけでなく、PCそのものを社外に持ち出す以上は、盗難や紛失のリスクもあります。PC内の情報を抜き取られたり、なりすましで企業システムを利用されたりすることで、業務上の機密データや個人情報が漏洩するようなことがあれば、経営に直結する極めて重大な問題となる場合もあります。
　情報システム部門としてはデータセンターで集中管理できるサーバー群と異なり、エンドポイントは社内・自宅・シェアードオフィス等分散した場所にあり、これまで以上に複雑なセキュリティ対策を確実に実施することが今まさに求められています。

　ニューノーマル社会のTPO（時間/空間/場合）に応じて、場所を問わない働き方へシフトしつつあります。自宅やシェアードオフィス等でPCを使用する機会も増え、今まで以上に周囲にいる第三者やウイルスの攻撃に備えるセキュリティが重要です。
　また、VPNやファイアウォールなどで守られたオフィス環境でも、未知のウイルスへの対策など新たなセキュリティ対策が必要となってきています。

　富士通では、多様化する利用シーンにおいても安心してPCをご利用いただけるように、それぞれのリスクを想定したエンドポイントセキュリティ対策をご提案します。