従業員の職場復帰に伴うサイバーセキュリティ統制

マット・ドゥエンチ[*]

COVID-19のパンデミックにより、組織はその活動を継続するための危機管理計画を迅速に実施することを余儀なくされた。業務を継続していた企業では、ITおよびセキュリティチームは、新たに遠隔地で仕事する従業員のセキュリティ確保にしばしば集中してきたため、従業員が徐々にオフィスに戻ってくるのに応じて、追加的なセキュリティ上の課題を検討する時間はほとんどなかった。

CISO（情報セキュリティ担当取締役）、IT管理者、リスク専門家にとって、過去1年間でパンデミック関連のサイバー攻撃が劇的に増加していることに加えて、急速に展開する脅威の状況に追いつくことは不可能な仕事のように思えるかもしれない。多くの組織では、多層的なセキュリティアプローチの一環として一連のセキュリティ製品を配備しているが、脅威や脆弱性を管理するとなると、これらの製品は、現在対応している新しい状況にとっては適切なセキュリティを提供していない可能性がある。

セキュリティ統制の実施

サイバーセキュリティの経験豊富なリーダーの多くは、単純な脆弱性管理を超えて、サイバーリスク管理の実践を拡大する手段として、インターネットセキュリティ・センター(CIS)が提唱する重大セキュリティ統制に精通している。グローバルなITコミュニティのベストプラクティスを用いて開発されたこれらの対策は、現実世界の行動のための枠組みを構築し、それを正しく実装できれば、組織のセキュリティ態勢を強化し、より積極的なアプローチをとることに役立つ。

「CIS上位20重大セキュリティ統制」は、基本的、基盤的、そして組織的対策の3つのカテゴリーに分類されている。基本的統制は、すべての組織で実施されるべきものである。その上に基盤的統制を導入することで、人、プロセス、ワークフローに重点を置いた組織的統制への道が開かれる。組織がサイバーセキュリティの防御線を強化する方法を調査し始めたばかり、ないしは既存のセキュリティプログラムに追加しようとする場合でも、CIS統制は、組織をより完全に保護するために、脅威に関する諜報活動を、優先順位付けされた実行可能な活動に変換するのに役立つ。

この統制は、どのような規模の組織にも適用できるように設計されており、多くの組織では、セキュリティ戦略全体の指針として利用している。この一連の対策により、組織は基礎となる青写真に沿ってセキュリティ態勢を徐々に改善し、リスク遭遇可能性を低減することができる。

CISのデータによると、組織は、5つの基本的なCISコントロール統制を単純に実施するだけで、全体的なサイバー脅威とリスクの影響を85%以上削減することができる。現在、多くのオフィスがそれぞれ違った規模で再開されているが、組織は、パンデミックとその後の再開によって引き起こされるサイバーセキュリティ特有の課題に対処するために、基本的な統制の先に目を向ける必要がある。

以下は、COVID関連の課題に対処するのに役立つ「CIS上位20重大セキュリティ統制」の一部である。

CIS統制1および2:ソフト・ハードウェア資産の棚卸および管理。悪質な輩は、自分たちが付け入ることができる、脆弱なバージョンのソフトウェアを探し出そうと、継続的にターゲットとなる組織に目を凝らしている。また、中には、悪意のあるウェブページ、文書ファイル、メディアファイル、その他のコンテンツを、自分達のウェブページや信頼できる第三者のサイトを通じて配布する輩もいる。ここ数ヶ月、従業員はリモートで仕事をしており、複数の機器を使って仕事と家庭生活を両立させる必要があった。子供が学校や娯楽に使うために親のノートパソコンを借り、親が会社の電子メールをチェックするために家族のタブレットを使っていたかもしれない。これらの状況はいずれも、組織に対して潜在的なセキュリティリスクをもたらす。

許可されたソフトウェアのみがインストールおよび実行できるように、ネットワーク上のすべてのソフトウェアを積極的に管理し、追跡し、修正する。さらに、許可されていないソフトウェアや管理されていないソフトウェアを発見してインストールや実行ができないようにする。

CIS統制3:継続的脆弱性管理。米国国立標準技術研究所（NIST）は、今年に入ってから、一般的な脆弱性・リスク遭遇可能性（CVE）に関する数千件の報告書を発表しており、組織は、従業員からの要求を管理しながら、これらの脆弱性を防ぐことを優先しなければならない。脆弱性を精査せず、発見された欠陥に積極的に対処しない組織は、システムが侵害される可能性を高めることになる。

定期的に脆弱性評価を実施することで、組織はシステムの脆弱性や設定ミスを特定し、迅速な端末での防御を優先することができる。管理されたソリューションによって、ITチームに多大な負担がかかったり、オンサイトでの作業ができない場合でも、組織はオフィスにいるITスタッフに頼らずに、機能し続けることができる。

CIS統制16:アカウントの監視と統制。攻撃者は、正当ではあるが使われていないユーザ・アカウントを頻繁に探し出しては食い物にする。システム上に不使用アカウントが存在することで、攻撃者は正規ユーザになりすますことができので、彼らの存在と意図を発見することがより困難になる。パンデミックの期間中、何百万人ものアメリカ人が一時的または恒久的に職を失っているため、システム監督者は、一時解雇された従業員のアカウントが使われないように確認する必要がある。これにより、彼らの認証情報が企業のシステムや機密データへのアクセスに使用されず、不正な、時には悪意のある目的で使用できなくすることができる。

このプロセスの一環として、企業は、インターネットやダーク・ウェブ上で公開されている既知のデータ侵害から得られた情報を精査すべきである。これにより、認証情報の潜在的な漏洩を特定し、漏洩したアカウント・パスワードを迅速にリセットできる。 

CIS統制17：セキュリティ意識向上と訓練プログラムの実施。サイバー犯罪者や詐欺師にとって、COVID-19による混乱と不確実性は利益を得るための多くの機会となった。実際、FBIは4月に、サイバー犯罪事件はパンデミックが始まって以来、すでに300%増加していると報告している。企業は、COVID-19に関連する脅威に焦点を当てた教育プログラムを実施し、基本的なサイバー衛生の再教育を行うことで、偶発的な事件の発生確率を大幅に低減することができる。

第二波に備える

感染率が上昇すれば、企業は再開に踏み切った後、再度閉鎖を余儀なくされるかもしれない。特にCOVID-19での課題を考慮すると、CIS重大セキュリティ統制のような一連の標準規格に目を向けることは、変化するセキュリティ状況を管理するために必要な枠組みをITおよびセキュリティリーダーに提供するのに役立つ。上述の5つのCIS 重大セキュリティ統制は、おそらく短期的に導入することが最も重要であるが、組織が長期的にサイバーリスク軽減努力を最大限にするためには、CIS重大セキュリティ統制で指摘されているすべての項目をどのように遵守しているかを、徹底的に検証することが必要であろう。

注意事項：本翻訳は“Cybersecurity Contorls as the Workforce Returns”, Risk Management, November, 2020 pp.18-19 をRIMS日本支部が翻訳したものです。原文と和訳に相違があるときには、原文を優先します。本文中は敬称略です。

[*] サイバーセキュリティー・サービスのアークテック・ウルフ社製品マーケティング管理者。