Security Days Spring 2024セッション①「ゼロトラスト時代のデータ保護戦略- 効果を最大化する「ちょうどよい対策」とは？」 -

サイバー攻撃は、巧妙・悪質な手法へと変化し続けており、情報資産を盗まれるリスクが増大。企業や組織には、最新の脅威動向を踏まえたセキュリティ対策が求められています。

ソリトンシステムズ（以下、ソリトン）は、注目すべき最新のセキュリティ動向や当社製品の魅力について、より多くの企業担当者様に知っていただきたいという思いから、2024年3月12日～3月15日にJPタワーホール&カンファレンスで開催された情報セキュリティに関する専門イベント「Security Days Spring 2024」に参加し、全4講演のセミナーを実施しました。

今回の記事では、イベント1日目に実施したセミナー「ゼロトラスト時代のデータ保護戦略- 効果を最大化する「ちょうどよい対策」とは？ -」について、その概要とポイントをご紹介します。

DXの推進とリスク対策は、適切なバランスでの実施が必要不可欠

昨今では、業務効率化や無駄なコストの削減などの理由から、あらゆる業界でDX（デジタルトランスフォーメーション）が推進されています。もちろん、ビジネスの観点から見てもDXを進めることに大きなメリットがあるのは間違いありません。

その一方で、データへのアクセスが容易になることで、外部からの侵入や内部不正のリスクが高まる懸念もあります。実際、ランサムウェア被害の件数は増加傾向にあり、内部不正も問題になっています。

このように、DXのメリットだけを見てセキュリティ対策を放置すると、企業・組織にとって大きな不利益が発生する可能性があります。とはいえ、リスクがあるからとDXを必要以上に敬遠してしまっては、業務効率の改善やビジネスの拡大は見込めず、時代の変化に取り残されていくことになりかねません。

また、企業・組織によって必要とされるセキュリティ強度や業務効率の要件が異なるため、自組織にとって「ちょうどいい対策」とは何かを見極める必要があります。

そのヒントになるのが、リスクマネジメントの基本的な考え方です。

【リスクマネジメントの考え方】

• 高いリスクから優先的に対応
  • 発生頻度が高く、影響の大きいリスクから対応する
  
  
• 受容可能なリスクレベルの定義
  • リスクを完全にゼロにする必要は無く、自組織で受容できるリスクレベルに抑えられていればよいとして判断する
  
  
• リスク環境の変化への追従
  • 特に近年は変化が激しいため、外部・内部のリスク環境変化をしっかりウォッチする
  
  

  自組織の状況に合わせて、業務効率化を求めるDXの推進とセキュリティリスクへの対応という2要件を両立していく必要があり、多くの組織のDX推進担当・セキュリティ担当は、絶妙なバランス感覚を求められています。つまり、自組織において「ちょうどいい対策」を見極める時期にきているとも言えます。

  高いリスクから対処するなら、「認証」強化は最優先

  リスクマネジメントの基本的な考え方として“高いリスクから優先的に対応”と紹介しました。この定石に則ると、優先的に行うべき対策は、ユーザーが本人かどうかを特定する「認証」の強化です。

  
  

  

  
  

  上記の図は、1年間のうちに発生したデータ漏えい・侵害の発生経路を集計したグラフです。盗んだID・パスワードの悪用やパスワードリスト攻撃など、手法は様々ですが、約半数は認証情報を起因として発生していることが分かります。

  そのきっかけの1つとなっているのがDX推進です。DX推進により、システムそのものがクラウド化してインターネット上に露出するようになりました。さらに、テレワークも浸透したことで、クラウドアプリケーションやリモートアクセス（VPNなど）の入口である認証さえ突破すれば、効率よく攻撃ができるようになっていることもあり、認証情報がより狙われるようになりました。

  そのため、非常に高いリスクとなっている認証を今まで以上に強化することが、リスク対策における最重要項目になっています。

  
  

  

  
  

  代表的な対策としては、多要素認証（MFA）とシングルサインオン（SSO）があります。

  たとえば上記の図のパターン。クラウドサービスにログインする際の認証で、ID・パスワードだけではなくもう一つ別の要素を求めるMFAにすることで、不正アクセスを防ぐことができます。ID・パスワードしか持ち合わせていない攻撃者はログインができません。また、SSOを導入すると、一度の認証で他のシステムやクラウドサービスにもアクセスできるため、業務効率の大幅な向上が期待できます。

  ソリトンが提供している「Soliton OneGate」は、偽造が難しいデジタル証明書を組み合わせたMFAで不正アクセスを防止することができます。クラウドサービスへのSSOだけではなく、専用アプリやSAMLプロトコルに対応していない旧来のオンプレミスシステムに対しても、ID・パスワードを代理入力できるなど、様々なSSOに対応。セキュリティ強度と業務効率、どちらも担保した「ちょうどいい対策」を実現する1つの手段としてご活用いただけます。

  認証の次に考慮すべきセキュリティ対策としてのデータ保護

  認証を通過した、正規のアクセス権を持ったユーザーは、次に業務に関わるデータや機密データを扱うわけですが、そこにおいてもリスク対策を行う必要があります。

  まずは正規のアクセス権を持つユーザーは、DX推進をされている組織において、どのような環境・状況に置かれているのかを改めて整理します。

  【DXによってユーザーが置かれる状況】

  • 業務で利用するシステム数の増加
  • 働き方の多様化・利便性の向上
  • 業績やビジネススピードが重視されることによるプレッシャー

  DX推進をすることで、クラウド利用の拡大や組織を超えたデータ共有が行われるようになり、利便性やビジネススピードは加速している一方、従来とは異なる情報漏えい経路も同時に広がっているといえます。そのため、正規のアクセス権を持つユーザーが置かれているリスク環境に合わせ、内部不正などの対策が必要です。

  組織の正規ユーザーが内部不正を行うきっかけとしては、米国の組織犯罪学者ドナルド・クレッシー氏の理論をもとにした「不正のトライアングル（Fraud Triangle）」という考え方があります。

  
  

  

  
  

  「動機・プレッシャー」「機会」「正当化・姿勢」の3要素が揃ってしまった場合に、人は不正行為を働くとされています。

  【動機・プレッシャーの例】

  • 必ず目標売上を達成しなければならない
  • 出世欲が強く、人より優位に立ちたい
  • お客様の希望納期に追われている

  【機会の例】

  • 自分以外に業務の実態を把握している社員がいない
  • 会社の情報管理が不十分で、持ち出そうと思えば情報を持ち出せてしまう
  • 外部ストレージの制限がなく、私物の機器接続が容易にできてしまう

  【正当化・姿勢の例】

  • 社内で不正が多く行われているため、自分がしても問題ない
  • 自分の不正は会社に対して大きな影響を与えない
  • 会社のためを思っての行動なので仕方ない

  不正を防ぐためには、3要素全ての対策を行うことが理想です。ですが、社員のマインドセット、組織の実態などが原因となっている要素もあるため、全ての要素に対して対策することは簡単ではありません。そのため、技術によってアプローチができる「機会」への対策が、まず実施すべきアクションであると言われています。

  「Soliton OneGate」では、機密情報を持ち出す機会を防ぐことができる

  「Soliton OneGate」に、新たにセキュアブラウザ機能を搭載しました。セキュアブラウザ機能は、端末内に仮想的な保護領域を作成。データの保存やコピー、印刷など、保護領域からローカル領域へ情報を持ち出す行為を禁止します。さらにセキュアブラウザを終了すると、ブラウジングしたキャッシュ情報や一時ダウンロードしたファイルなどのデータが端末から削除されます。このようにデータの持ち出しが難しくなる仕組みを導入するなどして、不正をする機会をなくすことができれば、情報漏えいのリスクは格段に下がるでしょう。

  
  

  

  
  

  DXを推進する組織においては、業務効率化を推し進め、ビジネスを大きく変革しようとするなか、セキュリティ対策が後回しとなり、課題となっている現状があります。「Soliton OneGate」は、認証強化とデータ保護という、優先度の高いセキュリティ対策を、DX推進を阻害することなく実現可能なため、DXを成功させている組織においても「DXを支えるセキュリティ基盤」として活用されています。
  DX推進とリスク対策のバランスに悩む方は、自組織に「ちょうどよい対策」を実現させる一つの方法として、「Soliton OneGate」を検討してみてはいかがでしょうか。

  自身の講演について、ソリトンシステムズ ITセキュリティ事業部 エバンジェリストの荒木 粧子は、最後にこう振り返ります。

  “自組織が受容できるリスク、求められているセキュリティ要件を理解した上で、「ちょうどよい対策」を見極めることが大切です。

  具体的な対策として、まずは外部からの攻撃を防ぐための認証の強化。そして、内部での不正を防ぐために、技術を活用して不正を働く機会を奪うこと。この2つが最低限、必ず行うべきリスク対策です。

  ソリトンはその解決策として、約10年間提供してきた実績のある「Soliton SecureBrowser」の経験をもとに、「Soliton OneGate」に新しくセキュアブラウザ機能を搭載しました。最優先で対処すべき認証強化と、内部不正が問題になったことで重要視されているデータ保護をまとめて1つのソリューションで解決できるのは、お客様にとっても大きなメリットになると考えています。

  ソリトンには、認証とデータ保護に関して、豊富な知見と実績があります。今後も、セキュアブラウザ機能を搭載した「Soliton OneGate」の提供を通して、「ちょうどよい対策」でお悩みのお客様をご支援できれば嬉しいです。”

  今後も各イベントに出展予定です！

  ソリトンは、セミナー・ウェビナー等の開催を通して、Soliton OneGateをはじめとするセキュリティの課題解決に役立つ情報を発信してまいります。皆様のご来場、ご参加を心よりお待ちしております。

  皆様のご来場、ご参加を心よりお待ちしております。

  ソリトンの 出展情報はこちらからご確認いただけます。

  
  株式会社ソリトンシステムズ