｢完全防御は困難｣でどうする？サイバー攻撃対策 ゼロトラストからサイバーレジリエンスへ

明確な数字はないが、サプライチェーン攻撃の増加も挙げられる。サプライチェーン攻撃にはさまざまなものがあり、普段ビジネスで使うソフトウェアやサービスにウイルスを埋め込み、それを使わせて被害に遭わせるケースもある。

もう一つ、テレワークなど新しい働き方を狙った攻撃が増加しており、VPN（Virtual Private Network）やクラウド環境のアクセスが悪用されている。

対策は「ゼロトラスト」が注目されている

――セキュリティ対策も進化しているのか。

対策としては、境界防御からゼロトラストへといわれている。リモートワークやクラウドの導入に伴い、社内と外部のネットワークの境界を監視・制御することによって防御するのは難しくなっているからだ。

そこで境界を越える攻撃があることを前提に、通信相手のPCやサーバーが信頼できないものとして対処するゼロトラストアプローチが注目されている。NIST（米国国立標準技術研究所）が、ゼロトラストセキュリティの7つの基本原則をあげているが、これは3つの対応にまとめられる。

1つ目は、すべてのリソースへあらゆるアクセスがあると想定し、対策をすること。組織が貸与するPCやサーバーだけでなく、スマホや個人PCなどすべてが対象だ。2つ目が、セキュリティに関する状態を常に監視し特定すること。3つ目は、ネットワーク境界における静的なアクセスコントロールだけでなく、アクセスごとに動的なコントロールをすること。

この考え方自体はよいが、採用すればゼロリスクになるわけではない。またゼロトラストへの移行期は、ファイアウォールなどを残したままとなりコストが上がったりする。また動的認証が増えるので使い勝手が悪くなったりすることもある。

そこで、ゼロトラストセキュリティという考え方をベースにリスクアセスメントを行い、リスクや対策案を洗い出して、コストや使い勝手なども考慮し関係者とリスクコミュニケーションを行いながら最適なシステム構成を決めることが重要になる。

最近、ゼロトラストセキュリティの次の段階として、サイバーレジリエンスも注目を集めている。ゼロトラストは被害を受けなくするのが前提だが、サイバー攻撃を完全に防ぐのは難しいため、攻撃を受けることを前提に予測力、抵抗力、回復力、適応力の強化に焦点を当て被害を最小限に復旧させることを指す。

「係長セキュリティから社長セキュリティへの移行」という話題もある。これは、大手、中堅企業を中心に、セキュリティ対策は経営マターという認識が着実に進展していることを表す。実際、CISO（Chief Information Security Officer：最高情報セキュリティ責任者）を設置する企業も増えている。