ハイブリッド職場環境におけるサイバー衛生を改善する
ジャスティン・フォックス[*]
ハイブリッド・ワークモデルは、従業員に柔軟性、自律性、自由度を提供する一方で、この傾向は悪意ある行為者にサイバー攻撃を行うより多くの機会を与えることにもなる。4社のうち3社は、最近のサイバー攻撃の急増が、リモートとハイブリッドの職場環境の脆弱性によるものだと非難している。
このようなハイブリッド環境では、組織はセキュリティ構成を再評価し、ベストプラクティスについて従業員を再訓練し、より高いレベルのサイバーセキュリティ衛生を復活させなければならない。これらの基本的な対策を整備するにより、ネットワーク、データ、組織を危険にさらすことなく、従業員がハイブリッドな職場環境を最大限に活用できるようになる。
ハイブリッドの脆弱性
重要なインフラから医療、巨大IT企業群に至るまで、あらゆるものに大きな打撃を与えたため、FBIに寄せられたサイバーセキュリティに関する苦情は、パンデミックの間に約4倍に増加した。労働力の大部分がハイブリッド型ワークモデルを推進する中、攻撃はさらに勢いを増している。現在、リモートワークが可能な従業員(オフィスから離れて働く選択肢を提供された従業員)の10人に8人は、完全リモートワークまたはハイブリッドスケジュールで仕事をしている。ハイブリッドモデルの拡大は、結果として、脆弱なパスワード、安全対策のない個人ネットワーク、個人所有のデバイスから会社の機密データへのアクセスなど、サイバー犯罪者が侵入できるオフィス外でのポイントを多数作ることになってしまった。
しかし、組織で最も脆弱な部分はテクノロジーではなく、人間である。実際、サイバーセキュリティ攻撃の95%は人為的なミスによるものであり、リモート従業員は悪意あるハッカーにとって、絶好の標的となっている。
オフィスであれば、従業員は不審なメールをデスクの向かいにいる人に簡単に確認することができる。同様に、オフィス内であればセキュリティチームは、特定の企業情報やウェブサイトにアクセスできるデバイスやユーザーを制限することができる。しかし、自宅では、ITインフラやスタッフからの安全性確保をすり抜けてしまうため、従業員が有害なリンクをクリックしたり、知らない情報をダウンロードしたり、ソーシャル・エンジニアリング攻撃(ビジネスメール詐欺やフィッシングなど)の被害に遭う可能性が高くなる。
例えば、フィッシング攻撃は、詐欺師が個人や企業の機密情報を漏らすように仕向ける電子メールやメッセージを送信するもので、パンデミック中に2倍以上に増加した。攻撃者の中には、インターネットから公開情報を収集し、高度にパーソナライズされたメッセージを作成し、標的を欺く者もいる。遠隔地にいる従業員は、自らのデバイスに任せていて、このような進化するサイバー脅威に対して非常に脆弱である。
実践におけるサイバーセキュリティ衛生
サイバーセキュリティは組織全体の取り組みであり、明確で一貫性のあるサイバーセキュリティ対策は、様々な場所で働く従業員にとって不可欠である。現在のサイバーセキュリティ対策を見直す際に、ハイブリッド環境において従業員、パートナー、組織の安全を守るために、以下のヒントを検討してほしい。
1.サイバーセキュリティの衛生管理を常に徹底する。
ハイブリッドワークは、オフィスに行くかどうかにかかわらず、すべての従業員に公平な競争条件を確保するために、革新的なオフィスに向けた調整、より優れたテクノロジーツール、新しい政策を必要としてきた。しかし、1つだけ変化のないものがある。組織が、事前に潜在的な攻撃を回避するために取り得る、最も効果的な手法の1つとして、サイバーセキュリティの基本的な衛生管理が重要であるということである。
スタート地点は、すべてのオペレーティング・システムのセキュリティ・ベンチマークを設定するCIS(Center for Internet Security)であり、以下の対策は、貴社の組織全体で標準とすべきである。
・機器およびインストール済みソフトウェアの在庫を確保する
・定期的なパッチやアップデートを実施する
・(生年月日や電話番号など類推しやすいものではなく)セキュリティをしっかりと考慮した“リアルパスワード”を考案する
・データをバックアップし、定期的にバックアップをテストする
・多要素認証を使用する
これらの防御の有効性は証明されているにもかかわらず、組織は、予防可能な脅威が有害な攻撃に変わるのを阻止することができる、このような日常的なセキュリティ対策を軽視することがよくある。マイクロソフトの調査によると、組織全体で強力な認証を使用している企業は20%未満であることが判明した。
2.仕事で使う機器のセキュリティパラメータを設定する。
従業員が自分の好きな場所で仕事ができるといった柔軟性はとても素晴らしい。しかし、仕事で使う機器、あるいは機器を使ってできることにまでその柔軟性を拡張すべきではない。
機器のカスタマイズや設定の再設定まで自由にできるようにしてしまうと、例えば組織のファイアウォールをオフにしたり、未知のソフトウェアをダウンロードしたり、公共の場でコンピュータのロックを解除して放置したりするなど、リスクの高い行動を取る可能性が高くなる。
個々のユーザーではなく、IT部門のみが変更可能なように、すべての作業用機器およびソフトウェアプログラムに対して、確実なセキュリティパラメータを設定する必要がある。従業員も、このような全社的な基準を明確にし、この取り組みがビジネスにとって重要であることを認識すべきである。このようなガイドラインは、最初は従業員にとって厄介なものかもしれないが、組織全体でセキュリティプロトコルが守られるようになれば、長期的にはセキュリティチームが頭痛の種から解放されることになる。
3.サイバー脅威について従業員を教育し、テストする。
従業員個人は、セキュリティ上の最大の弱点かもしれないが、最大の資産でもある。従業員はサイバー犯罪者の標的になるリスクが最も高いため、デジタルリスクを最小限に抑え、脅威を認識し、適切に対応するための訓練とリソースがあれば、起こりうる攻撃を回避し、貴方にそれを警告してくれ、貴方と同じ立場になる。
ソーシャル・エンジニアリング攻撃の危険性については、頻繁な研修、最新のコンテンツ、フィッシングキャンペーンやその他の攻撃をシミュレートする定期的なテストによって、従業員を教育する。サイバーセキュリティ・テストは、従業員がミスをしたらバスの下に投げ込むような「犯人捜し」の場ではなく、悪人が人々を騙して攻撃を実行できる多くの方法を強調する学習体験であるべきである。
従業員個人が一夜にしてサイバーセキュリティの専門家になれるわけではない。しかし、従業員がオフィスや自宅、その他の場所で、自分の機器に関連して安全な行動をとり、デジタル衛生の向上を実践するための知識やツールを自由に使えるようにすれば、より良いものになる。たとえ、機器のソフトウェアを定期的にアップデートすることから始めたとしても、それは正しい方向への一歩となる。
4.全階層がセキュリティ機能を担う。
1台の侵害されたコンピュータやハッキングされた電子メールアカウントが、組織全体に災いをもたらすようなことがあってはならない。ビジネスのあらゆる階層でサイバーセキュリティの取り組みを強化することで、たとえその一部分に侵入したとしても、悪人の会社への侵入を困難なものにさせることができる。
アプリケーションレベルの保護からネットワークサーバーの構成まで、ネットワーク上のすべての機器とユーザーを継続的に評価し検証するために、サイバー防衛策はそれぞれが重層的に活用されるべきである。
このような方法の1つは、組織が、ネットワーク・セキュリティが常に危険にさらされており、すでに侵害が起きていると仮定し、すべてのアクセスの試みが毎回検証されることを必要とするゼロ信頼モデルを実装することである。同様に、行動バイオメトリクス検査技術は、ネットワークへの侵入を試みる悪意ある行為者や自動ボットを発見するのにも役立つ。ユーザーの行動をオンラインで分析することで、ユーザーのタイプ、マウスの稼働方法、行動バイオメトリスクの検査からログイン元などを分析することで、疑わしい行動を検出し、特定することができ、必要に応じて追加のセキュリティ手順を起動することができる。
職場環境がより柔軟になるにつれ、組織として強力で統一されたサイバーセキュリティ対策を採用し、実施することがこれまで以上に重要になってきている。基本的なサイバーセキュリティ衛生を忠実に守り、複数のセキュリティ層を配備することで、従業員がどこで働いても安全で、攻撃者が組織に侵害する前に攻撃者を払いのけるような十分な強靭さを持てるよう、信頼できる防御を構築することができる。
トピックス
サイバー、新興リスク、リスクマネジメント、セキュリティ、技術
注意事項:本翻訳は“本翻訳は“Improving Cyber Hygiene in Hybrid Work Environments ”, Risk Management Site(https://www.rmmagazine.com/articles/article/2023/04/19/how-to-measure-risk-capacity-for-strategic-initiatives) April 2023,をRIMS日本支部が翻訳したものです。原文と和訳に相違があるときには、原文を優先します。本文中は敬称略です。
[*] ジャスティン・フォックスはニューデータ・セキュリティ者主席製品管理者。