【ラック】5年、10年先を見据えたセキュリティ対策として今何をすべきかを考え、5Gの普及にも備える
Withコロナ、ポストコロナの時代を迎え、テレワークや在宅勤務をはじめとして大きくワークスタイルが変わってきています。サイバー攻撃は防御の弱いところをついて防御を破ろうとしてきます。なりすましメールや、パソコンなどのクライアント端末のウイルス感染といった従来のサイバー攻撃は依然として増加傾向にあり、その上さらにワークスタイルの変化よるサイバーリスクも生じてきているのです。
一人ひとりのネットの使い方や機器の扱い方や意識が向上しないと、そこが弱点になり攻撃の対象になるということも知っておくべきでしょう。企業など特定の組織を守るだけでなく、個人レベルのセキュリティ意識や対策を向上させる必要があるのです。
このような環境下、わが国でも2020年から5G商用サービスが開始されました。5Gの導入により、情報システムは高速大容量、低遅延、多数同時接続のメリットを活用できるようになります。いつでも、どこでも、どんなデバイスからでも、4G環境より情報システムへのアクセスや利用環境が向上します。しかし、当然のことながら攻撃者にとっては、そのメリットはすべて攻撃機会になると考えるはずです。サイバー攻撃の手法は5Gの環境にすぐに適用し、5Gならではの攻撃手法を発見し、今まで以上に高度化・複雑化を続けてくるでしょう。
ニューノーマル下でのセキュリティ対策で注意すべき点はどこか、そのための教育体制はどのようにすべきか。便利になること=セキュリティリスクが向上することと捉え、私たちはどういった準備をすべきか。ラックがこれらについてセミナーで解説をしました。
【ラック】ポストコロナ、5年後のネットワークを形作るゼロトラスト・アーキテクチュアについて学ぶ――ジャパンセキュリティサミット2020セミナーレポート
ポストコロナ時代に向けてのセキュリティ対策には何が必要かを、2025年のネットワーク状況を予測しながら、その際のゼロトラストセキュリティについての説明を含めてセミナーでは解説がありました。
2025年には、大阪万博が予定されています。また2025年には国民の4人に一人が75歳以上という超高齢化社会になっているはずです。5Gの利用、IPv6、クラウドの利用も進み、2025年の崖というITシステムの課題もささやかれています。
そして、テレワークについても大きく変わってきています。以前のテレワークは、オフィスで働きながら、必要に応じて違う場所で働くということでした。つまり働き方の多様性の一つとして推奨されていたものでした。しかし、COVIT-19により増えたテレワークは、オフィスネットワークの中に人がいなくなって、VPNの中で仕事をすることを求められました。
ラックでは、そこで解決すべき課題が「三つの“混”」であると説明します。帯域の「混雑」、オンプレ・クラウドサービスの「混在」、そして機密データと私物データの「混入です」。
さらには、ネットワーク環境を会社から支給できていないケースで、社員がネットワーク機器や回線をBYODで準備するというケースも多くあります。この場合の脆弱性は多く指摘されています。2025年に向けて、5G、IPv6などの普及が考えられる中、セキュリティをいかに担保していくかを考えなければならないでしょう。
そこで、ゼロトラストという考え方が必要になります。セミナーではゼロトラストについてこう説明しました。いままでのネットワークアクセスは静的な(一度決まった認証を変更しない)アクセスコントロールを利用していました。しかしゼロトラストでは、ユーザー認証、デバイス認証もリアルタイムで行う動的なアクセスコントロールによって行うというものです。つまりは事前の認証を信用しないという考え方なのです。
またネットワークにおけるセキュリティ上の区画分けを、物理的なネットワークセグメントよりも細かい単位で行うマイクロセグメンテーションの考え方を含めてゼロトラストを知っておくべきだと説明がありました。
それでは、ゼロトラストはどのように始めるべきか。ゼロトラストセキュリティとしてはまずネットワークアーキテクチャ全体を更新していくことが必要ですが、まずは足元のセキュリティ施策のアップデートから近づけていくべきでしょう。セミナーでは、1つ目はID管理の統合、2つ目がオンプレミスサービスのゼロトラスト化、そして3つ目がエンドポイントセキュリティの導入になると説明がありました。
【ラック】LACの情報モラル・リテラシー啓発の取り組み事例~「情報リテラシー啓発のための羅針盤」の活用を踏まえて~――ジャパンセキュリティサミット2020セミナーレポート
このセッションでは、情報モラル・リテラシーの啓発についての必要性およびラックの取り組みについて解説がありました。社員教育の一環にぜひ活用したい内容でした。
サイバー攻撃は、セキュリティの弱いところから攻めてくるので、企業や団体だけでなく個人にも攻撃があると考えられます。従って、サイバーセキュリティは全員参加が必要であり、そのための啓発活動が必要です。ラックでは、ICT利用環境啓発支援室を設置し、情報セキュリティ、情報モラル・リテラシーの啓発活動も行っています。事業の柱は「調査・研究・発表」「啓発活動」「Grid Enhancement構想の推進」の3つです。
具体的には、図版に示した4つの活動を行っています。
ラックではこれらの活動で、2019年に238の講座を行いましたが。そのノウハウや知見を活かして小冊子を制作し、提案を行っています。それが、「情報リテラシー啓発のための羅針盤(コンパス)」です。
青い表紙がテキストで、37項目のトラブルに対して何を教えるべきかがガイドされています。赤色の冊子は、トラブルそれぞれを解説するための説明用スライド集であり、セットで提供されています。
ラックではコンパスを作った経緯を、「年々新しいトラブルが生まれて、保護者や教員の教育が必要と感じたこと、2018年以降不適切投稿によるニュースが増加し、SNSなどに起因する犯罪が増えたこと」などへの対応が求められていたことにあるといいます。トラブルについて何をどう教えるか、啓発をするときに大人にも子供にもわかりやすい資料がないかという部分に注力しているとのことです。セミナー時点までに約1700冊を配布し、活用されています。
現在同社ではコンパスの青本、赤本だけでなく、「情報活用編」の提供をしています。社内研修や学校での教育に活用できるようなっているので、是非詳細を確認して活用してください。
ラック、「情報リテラシー啓発のための羅針盤(コンパス) 情報活用編」を公開 | セキュリティ対策のラック (lac.co.jp)
【ラック】未知の脅威に立ち向かう新しい対策「MDR」とペネトレーションテストの融合――ジャパンセキュリティサミット2020セミナーレポート
5Gのセキュリティ対策についての解説は、他ではあまり見ないものです。今後の5Gおよびローカル5Gの産業分野での普及を考えると、押さえておくべき項目でしょう。物事は便利になるとその分リスクを背負うことになります。便利を享受するために、快適な5Gを利用するために、起こりうるリスクを理解し、対応をして欲しいところです。
5G技術については難しい部分はありますが、この講演では5Gセキュリティの勘所ということで視聴者にいくつかの質問を投げかけながら、視聴者と一緒に学ぶ形式で進められました。
2019年のラグビーW杯では、5Gによってリアルタイムの映像がスマートデバイスに送られました。5GであればDVD1枚の映像がほんの数分で手元に入ります。通信の遅延がほとんどなくなりゲームなどが遅れていら立つことがなくなり、多数端末の同時接続も可能になります。私たちの生活のあらゆる部分がデジタルと融合し便利になると期待されます。
しかし、この5Gを使った情報システムが悪意ある第三者に乗っ取られたら・・・人命に関わったり、大事故を起こしたりなどのリスクが想定されてしまいます。そう考えると5Gセキュリティは非常に重要であることがわかってもらえるでしょう。
5Gによって、セキュリティはどう考えるべきでしょうか?今まで行っていたセキュリティでは対応しきれないことはすぐにわかるでしょう。
ラックではまず、5Gセキュリティの原則を以下のように説明します。
こうした中でどのような環境・対策が必要なのかは、業種や業務などによって違います。今までのように単純なネットワークの制御ではなくてどういう業務にどういうネットワークの環境が必要で、それにどういうセキュリティが必要だといったことを考えなくてはなりません。そこで、どこにどういった脅威があるのかを把握しなければなりません。脅威については脅威モデリングで確認し、ユーザー企業自身がユースケースの分析をすることが重要なポイントです。
