2020年度版の「モバイルセキュリティインデックス(MSI)」を振り返る
在宅勤務の急増が企業のセキュリティを脅かす ベライゾンがレポート
2020年05月18日 11時00分更新
企業向けにネットワークセキュリティのサービスを提供しているベライゾンは、毎年モバイルセキュリティの状況をまとめたレポート「モバイルセキュリティインデックス(MSI)」を発行している。1月に公開した2020年版では、企業がモバイルセキュリティに関して十分な対策と運用を行っていないと伝えている。
コロナ以前から企業はモバイルセキュリティの甘さを認識
ベライゾンジャパン セキュリティ担当ソリューションエグゼクティブの森マーク氏は、次のように語る。
「調査では、83%の企業がビジネスのパフォーマンスにおけるモビリティの重要性を認識しているにもかかわらず、54%がモバイルのセキュリティは他のシステムと比べて『自信がない』と答えた。モバイルセキュリティの運用が難しく、企業の対応が遅れていることが示された」
ベライゾンジャパンセキュリティ担当ソリューションエグゼクティブ 森マーク氏
また、セキュリティ対策を施していて、不正アクセスは自社で検知できると認識している企業は86%に上るが、実際に事故にあった企業の39%が、外部からの報告ではじめて気づいたと回答しており、「リスクを過小評価している点も気になる」(マーク氏)と、企業の取り組み姿勢にも問題があることを指摘する。
侵入口がモバイルでも、一度企業の内部に入られた場合は深刻な被害をもたらす可能性が高い。「情報漏洩、侵害の被害に遭った企業の66%が大規模な被害と回答している。またその後の継続的な影響、対策にかかるコストの大きさも報告されている。企業にとってモバイルのセキュリティは通常のセキュリティ対策と同等に考えなければいけないリスクである」(マーク氏)
急造リモートワークのセキュリティに懸念
MSI2020の調査は2019年に行われており、その時点ですでに、企業のモバイルセキュリティに課題があったことが明らかになった。
そこへ、2020年に入ってからの新型コロナウイルスの感染拡大が追い打ちをかけている。感染防止のため世界中でリモートワーク(在宅勤務)が爆発的に増加、企業の外部からのリモートアクセス急増は、新たなセキュリティの脅威を生んでいる。
ベライゾンジャパンのパートナー企業で、日本でベライゾンのセキュリティオペレーションセンター(SOC)を共同運営する三井物産セキュアディレクションの関原優氏は、企業のセキュリティリスクが急激に高まっていることを懸念する。
「リモートワークの重要度が増したことで、VPNのコンセントレーターに対する攻撃が増えている。またリモートアクセスの容量増設が急務となっているが、オンプレミスのVPNに追加してクラウドのシステムにデータを迂回させる場合、従来は通していたセキュリティ対策を省略してしまうこともあり、リスクが増している」
三井物産セキュアディレクション コンサルティングサービス事業本部長 関原優氏
在宅勤務のセキュリティ上のリスクは他にもある。攻撃者が社員宅のホームネットワークから侵入し、在宅勤務で使うPCやモバイルデバイスから情報を盗むケースも考えられる。「特に自宅のネットワークに使っているWi-Fiルーターのパスワードが購入時から変更されていないとか、PCのセキュリティが弱い可能性がある。攻撃者にとっては、侵入経路の選択肢が増えることになり、企業は対策が必要だ」(関原氏)
モバイル端末を狙う詐欺にも注意
在宅勤務ではPCだけでなく、スマートフォンなどのモバイルデバイスが使われる場合も多い。関原氏は、モバイル端末のセキュリティに関して、PCとは異なるリスクがあることを指摘する。
「PCでは用心してクリックするか判断できる人も、スマートフォンの画面ではどこがリンクかわからず、うっかり触ってしまう場合がある。攻撃者にとってはだましやすく、費用対効果が高い標的といえる」
特にモバイル端末からニセのWebサイトに誘導するフィッシング行為が増加しているという。またビジネスメール詐欺(BEC)も、モバイル端末を標的にした被害事例が多いという。
「PCサイトでは、怪しいURLの確認や証明書などのチェック機能があることを知っている人は多い。だがモバイルサイトの場合、URLを表示しても画面内に全て見えていないこともあり、小さな画面に表示されている情報から真贋を見極めることは非常に難しい。PC以上に注意する必要があり、企業はモバイルの扱いについても社員へのセキュリティトレーニングを行うことが必要だ」(関原氏)
一方、企業側のセキュリティ対策の問題点として、モバイル用のWebサイトはセキュリティが弱い場合があると警告する。モバイルアプリケーションには比較的強固なセキュリティ対策が施されているが、Webサイトは対策が十分でないとそこを狙われる。
また、マーク氏、関原氏ともに、コロナによる個人や事業者の収入減少を補う給付金に関して、詐欺の被害が急増していることに言及した。「世界的に給付金の申請を狙う詐欺が急増している。とくに簡便な申請で給付されるドイツで、大規模な詐欺被害が報告された。日本では申請の複雑さが問題となっているが、そこを突いてくる可能性もある。十分注意してほしい」と警戒を呼びかけた。
リモートワークやモバイルがビジネスの基盤となりつつあるが、サイバー攻撃者は常に企業の弱点や隙を狙っている。コロナ以前から手薄だったと言わざるを得ないモバイルのセキュリティに手を打たなければ、大きな被害が出る可能性がある。企業はリモート環境の増強を機に、セキュリティ対策と運用の強化も行なうべきだ。
