規模を問わないセキュリティ – 中小から大企業まで、先を見越して保護

#KingstonCognate が Sally Eaves 教授を招待

Sally Eaves 教授は、Cyber Trust の主事を務め、サイバー調査と研究の国際機構（Global Foundation of Cyber Studies and Research）のシニアポリシーアドバイザーです。「倫理重視テクノロジーの先駆者」として知られ、国連の先端技術と社会的インパクトアワード（Frontier Technology and Social Impact Award）の第一回受賞者です。最高技術責任者（CTO）としての豊富な経験を活かし、現在は先進技術分野の教授と、新興技術分野のグローバル戦略アドバイザーを務めています。教授は、デジタル変革（AI、5G、クラウド、ブロックチェーン、サイバーセキュリティ、統制、IoT、データサイエンス）の他に文化、スキル、DEI、持続可能性、社会的インパクトなどに関して著作、司会、基調講演、ソートリーダーシップなどの活動を行い、受賞しています。

教授は次世代の才能ある技術者を積極的に支援するため、教育やメンター活動などを行っており、インクルージョン、ダイバーシティ、教育と技術の公平性などを促進するために Aspirational Futures 社を設立しました。「Tech For Good」（倫理的なテクノロジー）に関する最新の著作をまもなく発行予定です。教授は技術分野で世界的に影響力がある人物として、Onalytica などの一流の団体によって常に高く評価されており、AI や 5G から持続可能性まで、多くの分野で世界的権威のトップ 10 に名を連ねています。

サイバーセキュリティのリスクの柱

1. 特にランサムウェアとフィッシング関連で、サイバーセキュリティの経済とサービス種類が増加
2. 国家が関与するサイバー攻撃が拡大し、攻撃者がその量と規模を増加させ、検知が困難に
3. IoT や OT の集約化とイノベーションにより、セキュリティ攻撃の対象領域が拡大
4. 分散勤務モデルやハイブリッドワークモデルの急激な普及により、リスクの性質が、使用するツールから働き方そのものへと変化
5. 虚偽情報、誤った情報、悪意による情報の増加が、一連のサイバー攻撃の心理的影響や効果に影響

サイバー攻撃の増加によって、特に中小企業が影響を受けています。ランサムウェアとフィッシングの被害が目立っており、最新の調査によれば、サイバー攻撃の約 43% が小規模企業を標的にしています¹（Verizon 2022 年）2021 年の NCSC の年間レビュー（Annual Review）² では最近、英国を標準的な例として使用し、英国が現在直面しているサイバー攻撃の中でもっとも顕著なものとしてランサムウェアを挙げました。中小企業は英国と米国の企業の 99% 以上を占めるため³（SBA 2021 年）、グローバル経済の成長で中心的な役割を果たしています。中小企業を含むサプライチェーンに起因するリスクによって、さらに広範囲に企業のエコシステムが侵入されるケースが増えています。

このリスクをさらに詳しく説明すると、Datto 社の調査⁴によれば、MSP の 85% が、小規模企業にとってランサムウェアが最大のマルウェア攻撃であることを報告しています。リモートデスクトッププロトコル（RDP）は、このタイプの攻撃のもっとも一般的な手法であり、リモートワークモデルからハイブリッドワークモデルへの変化により中小企業の従業員の分散が進んだことや、職場への「個人所有機器をの持ち込み（BYOD）」が増えたことによって、新しい課題が生まれました。この課題は、要員配置の継続的な変化による脅威の範囲の拡大から、セキュリティ慣行の現状に甘んじたり、慣行を守らないリスクまで、多岐にわたっています。この課題に加えて、中小企業が自社の「手が届く」サポートのレベルに関して誤解しがちだという基本的な事実や、予算の制約が厳しいこと、リソースが少ないこと、社内のスペシャリストの技術スキル不足など、すべての要因によって、中小企業は悪意ある攻撃者にとってますます都合のよい標的になっています。すでに説明したとおり、この業界が地域経済や世界経済に与える影響を考えると、業務、財務、風評に対する被害が甚大なため、深刻な問題と化しています。

しかしこれは悪い面だけではありません。まず、中小企業はその性質やインフラの特徴から、機敏に変化し、新しい手法を導入できます。また、通常はレガシー技術の維持や、長く煩雑な意思決定などに悩まされることがありません。さらに、中小企業が今後のサイバーセキュリティ体制を改善するために、今できることはたくさんあります。今こそ、効果的なセキュリティを組み込むことはとにかく難しい、時間がかかりすぎる、費用がかかりすぎるなどの一般的な認識を乗り越えるときです。逆に、市販の「ゼロトラスト」をうたう製品を一度買えば終わりという考え方も、うまく行きません。対策は継続的に実行するものであり、終着点はありません。

では中小企業が、セキュリティにまつわる認識を変え、リスク対策を改善するにはどうすればよいでしょうか？まず、現在利用できる学習や意識改善の方法の中では、国立サイバーセキュリティセンター（National Cybersecurity Centre）⁵が提供する無料の最新リソースが、スタート地点として最適です。ある調査⁶では、中小企業は権威ある情報源に相談せず、その代わりに一般的な検索を利用するものの、ネット上のアドバイス情報の量に圧倒され、判断や優先順位付けの方法がわからないという結果が出ているため、これは大切なポイントです。従業員の教育や、関連資料の入手は絶対に必要です。パートナーシップの活用も大切です。大企業ですら、サイバーセキュリティツール、研修、ベストプラクティスが専門のサードパーティを普通に利用します。サポートも豊富に提供され、どんな規模の企業へもカスタマイズ可能です。犯罪者が結束した攻撃の増加を防ぐには、企業や組織が恒常的に協力し、ベストプラクティスをオープンに共有することが最善の方法です。

セキュリティ攻撃者は、協力してサイバー犯罪組織を結成し、さらに複雑で専門的な戦術を用いるなど、その手口を進化させ続けています。私たちも同じように業種、組織、個人の単位で対応しなければなりません。これには、技術、文化、プロセス、スキルに注力する必要があります。

正しい理解：技術とプロセス

Kingston Cognate の Twitter チャット（@kingstontechbiz）で以前述べたように、サイバー攻撃の約 98% が、適切なサイバー対策を施すことで実際に防止できています。技術とプロセスの観点から、この基盤を適切に構築するために、次の提案を行ないます。

1. いつもデータを定期的にバックアップし、テストします
2. 技術とパートナーシップの両方向からハイブリッドクラウドソリューションを検討します
3. ハードウェア、モバイル機器、アプリケーション、オペレーティングシステムなどをすべて最新に保ちます。コロナ禍の間、この頻度が少なくなっていることがよくあります
4. 適切なパスワードを使用し、可能であれば常に２要素認証（2FA）を適用します
5. 公共 Wi-Fi は可能な限り避けます
6. VPN（仮想プライベートネットワーク）や、エンドポイント検知、ファイアウォール、ウイルス対策ソリューションなどの データ損失防止ソフトウェアソリューションを活用します
7. 継続的インテグレーション/継続的実装（CI/CD）などのアジャイルな変更管理手法を採用して、小さな変更を頻繁に実施し、リスクを減らします
8. 外付け SSD や USB ドライブなどのハードウェア暗号化ストレージを使用します
9. 盗難や紛失に遭った機器を追跡、ロック、消去します

特に USB ドライブや外付け SSD などのハードウェア暗号化デバイスは、簡便にデータ損失予防を進めることのできるコスト効果の高いソリューションであり、複数の業種にわたるアプリケーションや、あらゆる規模の組織に適しています。Kingston Technology ヨーロッパ、マーケティング & テクニカルサービスの Rob Allen は、次のように述べました。

弊社では、政府自治体、国防、諜報機関向け、金融技術および医療向け、中小企業および SOHO（スモールオフィス‐ホームオフィス）ユーザー向けの暗号化 USB ソリューションを提供しています。私が非常に感心したのはタッチスクリーンで PIN とパスワードを利用できる外付け SSD で、普段の仕事でたいへん便利に使用できます。

さらに Kingston Technology の卓越した専門家に照会チームは、お客様の会社固有のストレージ環境やニーズに合わせて、潜在的な利益について助言することができます。お問い合わせいただいた要望は、直接技術リソースグループに送られます。また、データセンターのお客様、企業エンドユーザー、中小企業などが無料で利用できる、複数のリソースガイドを提供します。また、データセキュリティブログでも、さらにサポートを得ることができます。ブログには中小企業がサイバーセキュリティを向上する 12 のコツが掲載されています。