イベント報告 2023/12/27

【対面イベント】Security Days Fall講演レポート#1　現在のビジネス環境に適したエンドポイントセキュリティを考える　-情シス担当1,109名へのアンケート調査から分析-

日々巧妙化・悪質化しているサイバー攻撃。企業や組織もランサムウェアをはじめとしたサイバー攻撃のリスクにますます頭を悩ませている現状があり、規模や業種を問わず、早急なセキュリティ対策が求められています。

ソリトンシステムズ（以下、ソリトン）は、注目すべき最新のセキュリティ動向や当社製品の魅力について、より多くの企業担当者様に知っていただきたいという思いのもと、2023年10月17日〜20日にJPタワーホール&カンファレンスで開催された情報セキュリティに関する専門イベント「Security Days Fall 2023」に参加し、全4つのテーマで講演を行いました。

今回の記事では、イベント1日目に行った講演「現在のビジネス環境に適したエンドポイントセキュリティを考える-情シス担当1,109名へのアンケート調査から分析-」について、概要とポイントをご紹介します。

ビジネス環境の変化を背景に高まる、PC利用認証の重要性

DX・デジタル化やクラウドシフトの進展、ハイブリッドワークの登場など、ビジネス環境に劇的ともいえる変化が起きた昨今、これまで紙やテープに保管していた情報は軒並みデジタルデータ化され、クラウド上や社内システムに保管されるようになりました。

これは便利な変化であると同時に、攻撃者にとっても、より多くのデータにリーチできる可能性が高まっているという側面があります。かつては紙媒体として厳重に保管していた住民情報や契約書といった情報も、いまでは盗取される可能性のあるデジタルデータになっているなど、あらゆる場所で情報漏えい時のリスクが増大しているのです。

この状況を踏まえ、国もデータ保護に関する法整備を進めています。たとえば、個人情報保護法や不正競争防止法において、違反時の罰則強化や、保護範囲の拡大が行われました。そのため、まずはこれらの法令に則って対策を進めていくべきだといえるでしょう。

ただ、保護が義務付けられている個人情報、金融情報、医療情報だけでなく、自社の経営計画や製造ノウハウ、営業マニュアルといった営業秘密も、事業継続、経済安全保障の観点から保護が欠かせません。これらの機密情報を正しく取り扱うためには、一人ひとりの善意や自社内のルールだけでは限界があるのです。

特にDX・デジタル化が進んだ今では、ほとんどの機密情報にPCからアクセスできてしまいます。そのため、まずはシステム的な“戸締まり” として、業務PC利用時の認証を「多要素認証」によって強化することが重要です。

それでは、実際の現場ではどれくらいセキュリティ対策が進められているのでしょうか。ここで、2023年4〜5月に当社が企業・組織のシステム担当者約1,100名を対象に実施したインターネット調査の結果をご紹介します。

【業務PC利用時のセキュリティについて】

前述した通り強固なPC利用認証が必要とされているにもかかわらず、ID・パスワードのみで業務PCが利用できてしまう企業が4割程度存在することが分かりました。

【情報システム部門が抱える悩みや課題】

そしてさらに注目すべきは、情報システム部門が抱える悩みや課題として多くの票を集めたのが「情報セキュリティ対策が万全でない」以上に、「新たなシステムを企画・導入できる人員・人材が不足している」という回答であることです。
つまり、ほとんどの企業・組織が何かしらの対策強化が必要であると認識していながらも、リソース不足によって着手できていない、ということがわかります。

負荷を抑えた対策が、組織のセキュリティレベルを底上げする

以上の調査結果から、これからのセキュリティ対策は「情報システム担当者の導入・運用負荷を抑えること」が重要な要件のひとつになることがわかります。具体的には以下のような点を条件として見ていくとよいでしょう。

・個別の要件に即した柔軟な設計が可能
・構築・展開の手間を抑える機能や工夫がある
・緊急時の対応を助ける等の運用向け機能が充実している
・トラブルが少なく安定性が高い

情報システムの担当者は、『社員の負担にならないこと』や『業務を止めないこと』を優先するあまり、自らの業務負荷を軽視してしまいがちです。セキュリティ対策を検討する際に忘れてはいけないのは、無理なく導入でき、スムーズにユーザーへ展開できること。そして、運用開始後の対応が少なく済むこと。これらは情報システム担当者の導入・運用負荷が軽減されるだけでなく、結果としてユーザーにとっての利便性向上にもつながります。

そうして情報システム担当者のリソースに余裕が生まれれば、脆弱性対策をはじめとした日々のメンテナンスや、新たな知識・スキルの獲得ができるようになり、セキュリティ対策をより適切な内容にアップデートできます。負荷を抑えたセキュリティ対策により、組織のセキュリティレベルはむしろ無理なく底上げできるわけです。

「SmartOn」で “導入しやすく・使いやすく・高セキュリティ” を実現

ソリトンでは、安全性と利便性を両立したデバイス認証ツール「SmartOn」をご提供しています。顔や指紋、ICカードなどを用いた多要素認証により、PCの利用者を確実に識別することで、なりすましを防いでPCの“戸締り”を行います。複数の人が同じPCを利用する共有端末環境でも、誰が端末を利用しているのか、本人確認をしたうえでしっかりと証跡を残すことができるのもメリットのひとつです。

そのうえで、特徴的なのは導入・運用負荷を抑える機能が充実していること。ユーザーやICカード情報の一括登録、顔写真での事前一括登録（顔認証）、管理者権限の分散・移譲など、大規模環境や複数拠点、管理者不在環境でもスムーズな導入が可能です。さらにユーザー情報や権限、制御ポリシーを一元管理できるため、運用開始後のメンテナンスやアップデートも負荷なく行っていただけます。

しかし、多要素認証でセキュリティを強化できても、ユーザーにとって負荷が高い方法では業務効率に影響が出てしまうでしょう。今回の調査でも、PCログオン認証強化ソリューション選定の際に重視したポイントとして、「ユーザーへ負担をかけない」「安定性、障害の少なさ」が多くの票を集めました。

そのため、認証方式が『ユーザーの業務環境に適しているか』や『安定して運用できるか』についても考慮しなければいけません。

「SmartOn」は、お客様の要件に合わせて柔軟な設計が可能です。認証要素とその組み合わせを幅広くお選びいただけるほか、部署や人単位で異なる認証方式を採用することもでき、組織にぴったりな形でシステムをご提供します。

また、「指先を怪我してしまい指紋認証が行えない」「ICカードを紛失してしまった」など、ユーザーが認証を行えない場合の運用にも配慮しています。期限付きパスワードや臨時カードを発行することで、多要素認証を形骸化させずに運用を継続可能です。

多要素認証には、知識要素・所有要素・生体要素とさまざまな認証要素があり、『どの要素がもっとも優れている』といった絶対的な正解はありません。それぞれの特徴をふまえ、自社にとって導入しやすく、使いやすそうな選択肢の中から、セキュリティレベルの高い方式を選択するとよいでしょう。

自身の講演について、 ITセキュリティ事業部プロダクトマーケティング部の光井一輝は最後にこう振り返ります。

“デジタル化やDXが進み、機密情報を含めPCで取り扱うデータ量が増加している今、エンドポイントでのセキュリティ対策はより重要になっています。あらゆるデジタルデータの入り口となっているPCの『認証強化』を行っておくことは、とても大切なセキュリティ対策のひとつです。

また、IT人材が急速に足りなくなる今後を考えると、認証に限らずですが、導入や運用の負荷を抑える選択をもっと優先的におこなう必要があります。情報システム担当者の負担を減らすことで、はじめて必要な対策やメンテナンスを充分に行えるようになり、結果的に組織のセキュリティを向上させる良い循環が生まれてくるはずです。