IoTセキュリティへの懸念から考えるハイブリッドワークフォースの安全確保

This post is also available in: English (英語)

接続が増える、デバイスが増える、脆弱性が増える

家族に来客、そして多くのスマートデバイスでごった返している家庭のネットワーク。ここにさらにオフィスが移動してきました。こうして在宅勤務モデルへと急ピッチでシフトしてきたことで、家庭と企業のネットワークは複雑に絡み合っています。かつて企業キャンパスの安全なオフィス環境に閉じ込められていたビジネス活動は、家庭へとシフトし、従業員は価値も機密性もさまざまなビジネスクリティカルデータにアクセスするようになっています。この状況に鑑み、弊社はこのほど「The Connected Enterprise: IoT Security Report 2021(コネクテッドエンタープライズ: IoTセキュリティレポート 2021)」という調査を実施しました。この調査からは、リモートワークの増加に伴い、スマート電球、心拍計、コネクテッドなフィットネス機器、コーヒーメーカー、ゲーム機などの個人用IoTデバイスが、組織のデータとヒトを保護する能力に対する課題となっていることがわかりました。

この調査によると、IT意思決定者の78%が「過去1年間で企業ネットワークに接続される業務外IoTデバイスが増加した」と回答しています。企業ネットワーク上に脆弱で侵害を受けたデバイスが存在するのなら、それはとくに自宅ネットワーク上のデバイスにおいて、セキュリティ衛生の状態が悪く、管理ができていないことを示す強い証拠です。平均的な家庭では、毎月100件以上のサイバーセキュリティ脅威に直面しています。サイバー犯罪者もそこに目をつけていることから個人や企業はリスクにさらされています。

今年初め、あるクラウド型セキュリティカメラサービス会社が大規模なセキュリティ侵害に見舞われました。このインシデントでは、顧客が撮影した機微でプライベートなビデオ監視映像が公開され、犯人は一部の顧客アカウントの企業ネットワークへの侵入すらやってのけています。この攻撃からは、企業IT機器と個人のIoT機器を同じネットワーク上に混在させたことで、脆弱なIoT機器から企業のIT機器へ、またはその逆にマルウェアを拡散できることがわかります。これにより、攻撃者にとっては、デバイス間でのラテラルムーブが容易になりました。2021年3月に13万5千台以上の防犯カメラを調査した弊社の調査では、調査対象のカメラの54%に少なくとも1つの脆弱性が存在していました。こうした脆弱性があるせいで、たとえばサイバー犯罪者がカメラを乗っ取って兵器化し、さまざまなデバイスを踏み台にして攻撃をしかけることや、幅広い企業ネットワークにアクセスすることが可能になります。

Threat Postでも参照されていますが、ある家庭用ルータのセキュリティ調査で、大手ベンダ7社が提供する100台以上のコンシューマーグレードのルータを対象にした結果、ほぼすべてのルータにパッチが適用されていない深刻なセキュリティ上の欠陥があり、これらの機器とそのユーザーがサイバー攻撃のリスクにさらされていることがわかりました。機知に富んだサイバー犯罪者は、家庭やオフィスのスマートデバイスの脆弱性を突いたり、ランサムウェアの攻撃に利用するなど、驚くべき方法で標的のWiFiネットワークに侵入しています。

この発見は、今日のビジネスリーダーが直面している最も困難な問題の1つ、すなわち「保護されていない、業務に関係のないスマートデバイスを幅広く含むハイブリッドワークフォースの安全性はどのぐらいなのか」という問題へとつながります。

多くの企業で在宅勤務のためにITシステムやインフラへの投資を急ぎましたが、その過程で生じたセキュリティギャップへの対応は十分とははいえないものでした。

完全在宅勤務モデルにIoTセキュリティの懸念が押し寄せる

企業が従業員に手配するIoTデバイスは、ノートPCやスマートフォンにはとどまりません。ボイスオーバーIP(VOIP)電話やビデオカメラ、マイク、デジタルホワイトボードなどのコラボレーションツールや生産性向上ツールが、管理されていない自宅ネットワークに入り込んできています。これらのデバイスでは、従来型の企業セキュリティ対策であるエージェントや仮想プライベートネットワーク(VPN)などが利用できません。したがって、デバイスレベルで適切なセキュリティ態勢を持てないようになっています。

自宅の従業員がノートPCにVPNを導入している場合でも、そのセキュリティがおよぶのはそのデバイスだけです。ノートPCが信頼できない家庭のWiFiネットワークに接続している場合、接続されている危険なIoTデバイスからのラテラルムーブの対象となりかねません。これにより攻撃者は企業ネットワークに侵入することが可能になります。

また、多くの企業が私物デバイスの業務利用を許可するBYODポリシーを採用していることから、従業員が個人所有デバイスで仕事をするケースも増えています。また、適切なセキュリティが施されていないPCや携帯電話、タブレットなどの私物デバイスも業務で利用する場合のリスクを高めます。これにくわえ、これまでは企業キャンパスで行われていた機微情報を扱う仕事も自宅で行われるようになってきました。たとえば金融規制当局への提出書類を作成するエグゼクティブや、知的財産上機微なソースコードやハードウェアを開発するエンジニア、高価値ビジネスや契約取引を行う財務・法務部門、サポートコールで機微な顧客データを収集するカスタマーサポートチーム、規制対象企業のビジネス上の機密情報を扱う政府関係者などです。

企業キャンパスで仕事をするなら、従業員にはバッジを付けて入館してもらえますし、IT部門はネットワーク上のデバイスにほぼ均一なレベルのセキュリティを導入することもできます。ですが、こうした状況は、もはや当たり前ではなくなっています。デジタルスマートボイスアシスタントなどの私物oTデバイスは、信頼されていない自宅WiFi環境で常時リッスン状態になっているかもしれません。ハッカーはIoTデバイスを利用して、企業のビジネスクリティカルで機微な会話を自宅でスパイしたり盗聴したりすることもできるのです。

以上をまとめると、以下の3つの大きな課題が、在宅勤務に起因するIoTセキュリティの懸念という大きな厄いをもたらしているといえます。

  • 管理不行届のセキュリティ態勢

課題: 自宅ネットワーク上にはセキュリティソフトウェアやポリシーでは保護できないさまざまなIoTデバイスが存在し、本質的に安全でない

影響: 自宅ネットワークを経由して企業に侵入する脅威への対応が困難に

  • ネットワークセグメント化の欠如

課題: 自宅ネットワークに侵入したハッカーが自宅ネットワークでラテラルムーブの足がかりを作りその後企業ネットワークに侵入してくるおそれ

影響: 企業のデバイスがハッカーに丸見えになりネットワーク侵害用の認証情報・リソース・データアクセス手段を与えることに

  • ネットワーク可視性の欠如

課題コンプライアンス、セキュリティオペレーション(SOC)/インシデントレスポンス(IR)チームは、業務用デバイスにからむアクティビティへの可視性を大きく欠く

影響: ネットワーク監査ログの欠如から効果的インシデント対応が不能に

これらの課題は、標的型攻撃キャンペーンのリスクを高め、企業の機微データやアプリケーションを危険にさらします。この新たなワークモデルに対応するには、革新的セキュリティアプローチをとる必要があります。つまり、セキュリティをデバイスのレベルからネットワークのレベルへと引き上げるアプローチです。セキュリティは従業員の勤務場所がどこであろうと企業にとって戦略的原則でなければいけません。

在宅勤務のセキュリティ確保は家庭から

このような課題を踏まえて開発されたのが、Okyo Garde™です。Okyo Gardeは、エンタープライズグレードのセキュリティをコンシューマ向けのシンプルさで実現し、今日の世界が求める方法で自宅ネットワークを保護します。単一のソリューションで、在宅勤務の従業員も、出張先の中小企業経営者も、家族を保護したいひとも、ネットワーク上のすべてのデバイスを保護することができます。

Okyo Gardeは防止に重点を置き、堅牢なアーキテクチャを持ち、ゼロトラストの原則に基づいて構築されたセキュリティを提供することで、従業員の自宅ネットワークを保護します。

  • 自宅ネットワークのデバイス検出とセグメンテーション: ホームオートメーション、オーディオ/ビデオ機器、ネットワーク接続ストレージ(NAS)、ノートPC、ゲーム機、健康機器、プリンタなどの種類・メーカー・モデルを可視化し、家庭内のすべてのデバイスを識別・分類します。Okyo Gardeは、企業のデバイスと個人のデバイスを分離し、IoTを含む家庭内のすべてのデバイスを保護します。またOkyo Gardeは、許可されたデバイス間の安全な通信を確保し、ラテラルムーブを制限します。
  • データを中心とするセキュリティコントロールのエンフォース: マルウェアのダウンロードを阻止し、感染デバイスを検出し、感染デバイスと攻撃者間の通信をブロックします。パロアルトネットワークスが提供するクラウド型脅威インテリジェンスを活用し、既知のフィッシングや悪意のある発信元サーバー・URLへのアクセスをブロックします。
  • ゼロトラストセキュリティを家庭にも拡大: 組織のセキュリティ戦略は、ゼロトラストの原則に従い、最小特権アクセス制御のポリシーをエンフォースして、許可されていないデバイスの企業ネットワークへの接続を阻止する必要があります。信頼されたエンタープライズセグメントを家庭にも拡張し、在宅勤務の従業員にも企業キャンパスのような安全な環境を提供します。

家庭が新たなセキュリティフロンティアとなるなか、現代企業がアクセスとセキュリティの両方を提供するために必要なものとは何でしょうか。Ignite '21(11月15日~18日)では、世界中のサイバーセキュリティ専門家から、サイバーセキュリティチームが次に来るものに備える方法を学ぶことができます。セッション「Okyo Garde: Securing the Enterprise by Securing Work-from-Home(Okyo Grade: 家庭の保護が企業の保護に)」では、Okyo Gardeがどのようにして家庭にエンタープライズグレードのセキュリティを提供し、従業員が自宅で仕事をする際に従業員と企業を守ることができるかについて、OkyoのプロダクトマネジメントVPであるMike Jacobsenが説明します。