ウイズコロナ時代のサイバーセキュリティ、完璧を目指すより実践的で高い費用対効果を追求すべき――情報通信研究機構 伊東寛氏:ITmedia エグゼクティブセミナーリポート(1/2 ページ)
コロナ禍によりテレワークが常態化している現在、サイバーセキュリティ上のリスクはさらに増大し、また、その対策はこれまでにも増して難しくなりつつある。より実践的で効果的なサイバーセキュリティを追求するためのヒントとは。
アイティメディアが主催するライブ配信セミナー「ITmedia Security Week 2022 夏:長引くコロナ禍でサイバー攻撃も加速 再点検、“新常態”のサイバーセキュリティ対策」の基調講演に、情報通信研究機構(NICT)主席研究員の伊東寛氏が登場。「ウイズコロナ時代におけるサイバーセキュリティ」をテーマに講演した。
個人情報漏えい対策に力を入れるだけでなく、まず何を守るかを再検討すべき
新型コロナウイルスの感染状況(コロナ禍)が約2年続き、国民の生活様式は大きく変化してきた。その中で、サイバーセキュリティはどのように変わってきたか、またどうあるべきなのだろうか。変化の1つはテレワークの普及と常態化である。コロナ禍により出社の機会が激減したことから、テレワークをはじめとするITを活用した業務の推進が加速した。伊東氏は、「NICTは、これからの社会の絵姿として、情報通信技術の進歩による便利な世界を作ることを目指しています。テレワークの活用は遠隔地の人との会話を可能とし、通勤時間が減ったことは個人が活用できる時間が増えたと言えます」
一方で、テレワークの常態化により、さまざまなセキュリティ上の問題があらわになっている。ウイズコロナ時代のサイバーセキュリティの状況を一言で言えば、それは攻撃者にとって以前より一層便利になっているということだ。テレワーク利用の増大により、ネットに慣れていない利用者が増えたことから、攻撃者に付け込まれやすい人が増えた。また、一定程度守られていた会社と違い、自宅や出先の喫茶店で仕事をするということは、攻撃者にとって侵入の入り口が増えたことを意味する。
テレワークにありがちなリスクは、以下の通りだ。
- 在宅時にPCなどがウイルス感染したり、そうでなくても不審な状況に遭遇したりした際、その場に適切な相談相手がいない
- 在宅勤務時にPCなどがウイルスに感染していたことが後で分かる
- 在宅のはずがどこかの喫茶店で仕事をしており、そこで、のぞき見にあったり利用していた無料無線LANがダダ漏れであったりする。また移動中にパソコンなどを紛失したりするリスクも増えた。
また、コロナ化とは関係なく、ITの進歩により業務アプリケーションがクラウドに移行され、テレワークにより人やデバイスがオフィスの外からアクセスする状況が増大。企業資産が分散的に配置されるようになった。
サイバー防御の問題は攻撃側の優位性。攻撃側は防御の弱い1点を見つけてそこを突破すればよい。攻撃側が付け入りうる弱点には、ソフト、ハード(サプライチェーンリスク)の脆弱性から、人間的な失敗、規則・管理、設備の問題まで多岐にわたる。そのため守るべき場所は数多くあるし、それも増える一方である。
「これまでは個人情報の漏えいが注目されていましたが、個人情報の漏えいだけがサイバーリスクではありません。ランサムウェアのように金銭を要求したり、他にも知的財産を狙ったりなど、攻撃も多様化しており、備えるべき対象も増えています。個人情報の漏えいだけでなく、何を守るかを再検討するべきときなのです」(伊東氏)
PCよりも攻撃しやすいスマートフォンを狙うケースが増大
現在の攻撃のトレンドの1つは、スマートフォンへの攻撃である。PCにアンチウイルスソフトを入れるのは当たり前になっているが、スマートフォンに入れている割合は、まだまだ少ない。スマートフォンは、通信デバイスにPCの機能が搭載されたのではなく、非力なPCに通信機能を搭載したと考える方が正しい。
スマートフォンは、写真や動画が撮れ、インターネットに接続でき、さまざまなアプリケーションが使える非常に便利なツールだが、問題は“非力な”という点だ。PC用のアンチウイルスソフトと同等のものを入れても、CPUが非力なためPC並みの性能は期待できず、また本気でウイルス対策をするとバッテリーに大きな負荷がかかる。
そのため攻撃者は、PCよりも攻撃しやすいスマートフォンを狙うことが増えてくる。またスマートフォンは、通話の盗聴や録音、利用者の環境音、周辺の会話の傍受など、盗聴器にもなる。画像・映像記録の窃取や位置情報の追跡も可能だ。「攻撃者としては、これを狙わない手はありません」と伊東氏は言う。
Copyright © ITmedia, Inc. All Rights Reserved.