2021年一回目の投稿ということもあり、2020年を振り返ってみたい。筆者が感じた2020年は「セキュリティ格差の拡大」であった。

　2020年は全世界をCOVID-19が襲い、何世代に一度あるかないかという混乱を巻き起こした。この混乱によって、観光業界や飲食業界、航空業界といった業界は政府の支援無しでは存続が危ぶまれる状況に陥っている。一方ECサービスや配達業、テレワークに関連する企業等は急激な生活様式の変化によって大きく成長する企業も現れている。

　そして、こういった混乱に便乗しサイバー攻撃も増加しており、攻撃手法も進化している。経済的に余力のある企業は進化したサイバー攻撃に対応するために、セキュリテイ対策の刷新に取り組み始めた。しかし、経済的にダメージを受けた企業はセキュリテイ対策を行う余力は乏しい。

　COVID-19感染拡大によって進化したサイバー攻撃に対応可能な企業と、そうでない企業といった「セキュリテイ格差」が産まれている、と筆者は見ている。

■体力のある企業で進んだセキュリティ設備の刷新

　筆者は普段クラウドを保護するCASBや、在宅勤務者のインターネット閲覧を制御するクラウドプロキシ、ゼロトラスト型型リモートアクセスソリューション、IaaSの設定監査を検出するCSPMやワークロードを保護するCWPPといったソリューションの導入を支援している。

　2020年まではセキュリテイに関心の高い企業でCASBやCSPMの採用が進んでいたが、こういった「クラウドを保護するセキュリテイ」に関心のある企業は、日本企業の中では少数派だったであろう。

　ゼロトラストというキーワードも2020年に入り関心が高まったが、正直なところ2019年までは「ゼロトラストとは?」を説明しても、関心が無い企業が大半であった。

　その状況が一変したのが2020年だった。COVID-19感染拡大によって企業は在宅勤務を導入せざるを得なくなり、MS365やZoom等のクラウドサービスの利用が「ニューノーマル」となった。

　そして、三菱グループやNTTコミュニケーションズ、本田技研工業、カプコンといった日本を代表する企業がサイバー攻撃によって大きな被害を受けた。これらの企業のセキュリテイ対策が甘かったわけではなく、サイバー攻撃そのものが進化しており、従来型のマルウェア対策やVPN、ファイアウォールは「存在する前提」で、古い防御技術を回避するような高度なサイバー攻撃であったことが推測されている。

　このような進化したサイバー攻撃に対して「ゼロトラスト」が一つの解決策として注目を集め、体力のある企業では「ゼロトラスト」や「新たに導入したクラウドサービス」を保護する新しいセキュリティソリューションの導入が進んだ。

■対策の進んでいない企業が標的に

　一方、COVID-19によって経営そのものにダメージを受けている企業も多く有る。こういった企業では、どうしてもセキュリテイ対策にまで予算を割り当てる余力が乏しくなってしまう。

　サイバー攻撃者の視点で考えれば、こういったセキュリティ対策に余裕のない企業は狙い目に映るだろう。企業の経営状態が悪かったとしても、経営情報や機密情報を入手出来ればダークウェブで買い手が現れるかもしれないし、ランサムウェアを潜伏させておけば、経営が回復した時にランサムウェアを発動させ多額の身代金を請求出来るかもしれないからだ。

■サプライチェーンも含めてセキュリテイレベルを強化する必要がある

　では、セキュリティ対策を最新のソリューションに刷新できれば安全と言えるだろうか?少なくとも、「従来型のセキュリティ対策のままの企業」よりは安全だろう。

　しかし、取引先や開発パートナーといったサプライチェーンまでを含めて考えるとどうだろうか?自社の対策は万全でも、サプライチェーンの中には経営状況が悪化し、セキュリティ対策にまで手が回らない企業も存在するかもしれない。そういった企業を「踏み台」として、サプライチェーン全体に脅威が波及するリスクもゼロではない。

　「自社は大丈夫」という視点だけでは不十分であり、サプライチェーンも含めた「セキュリティ対策状況のチェック」を実施すべきだろう。

■2021年もCOVID-19に便乗するサイバー攻撃は続く

　2021年も引き続きCOVID-19の混乱に便乗するサイバー攻撃は継続されるだろう。現在利用されているサイバー攻撃の多くは、従来型のファイアウォールやマルウェア対策を回避する戦術を利用する傾向にある。

　セキュリティに不安を感じている企業は「セキュリティアセスメントサービス」等を利用し、一度自社のセキュリティ対策状況が十分なレベルに達しているか、点検してみることを推奨する。