「コロナ時代のBCP」第8回。新型コロナウイルス感染症(COVID-19)の影響により、リモートワークは多くの企業で常態化しました。導入増加に伴い懸念される情報セキュリティリスクについて、VPN(仮想プライベートネットワーク)攻撃を例に解説します。
本連載は、日経産業新聞(2021年4月~5月)に連載された記事の転載となります。以下の文章は原則連載時のままとし、場合によって若干の補足を加えて掲載しています。
コロナ禍を受けたリモートワークの導入増加に伴う大きなリスクの1つが、情報セキュリティだ。具体的にどのような危険性があるのか、BCP(事業継続計画)の一環でどんな点に気をつけたらよいのか、詳しく見ていきたい。
国や都道府県が要請した自宅待機により、日本企業のリモートワークは大きく進展した。もともとリモートワークは一時的なものとして整備されることが多かったが、このコロナ禍によって多くの企業で常態化した。働き方などを含めた企業を取り巻く環境が変われば脅威が変わるのはリスクの考え方の基本であり、2020年はサイバーセキュリティでも攻撃手法や攻撃傾向が大きく変化した1年であった。
まず、リモートワークを実現するにあたっては、企業内のコンピューターにアクセスしなければならない。そのためには、自宅と企業との間でVPNを張り、通信を暗号化することで通信傍受などの脅威から守ることが求められる。ここで、これまで一時的なものとして整備されてきたVPNの仕組みが常時利用する仕組みとなり、多くの企業ではVPNの増強に翻弄されることになった。
これに追い打ちをかけるように発生したのが、VPNの会社側の終端である「VPNゲートウェイ」に対するサイバー攻撃の増加である。VPNゲートウェイは会社内部と外部との境界に置かれ、自宅からインターネットを介して接続することから、インターネットから常にアクセス可能な状態にある。したがって、攻撃者にとっては格好の標的となりやすい。2020年を振り返ると、複数のVPNゲートウェイ製品が脆弱性や設定不備を突かれて攻撃され、多くの実被害が報告されている。これは今までになかった傾向である。
リモートワークが進展することで、コミュニケーションも従来の手法から大きく変化した。対面での会議の開催が難しくなったことから、コミュニケーションサービスを活用したサイバー空間での会議が浸透した。やはりここにもサイバー攻撃の魔の手が忍び寄り、コミュニケーションツールの脆弱性を突く攻撃や、案内状を模したフィッシングメールなどを用いた標的型攻撃が急増している。
しかし、リモートワークを脅かすのはサイバー攻撃だけではない。システム障害によって全世界的あるいは一部地域でデジタルコミュニケーションサービスが停止する事例が後を絶たず、事業の継続に支障を来しているという声も多く聞こえてくるようになった。
リモートワークは災害に遭遇した場合の事業継続の重要な対策として考えられてきた。しかし、リモートワークが常時のものとなった今、いつ使えなくなるかわからない脆弱な環境下で事業や業務を遂行していることを理解しなければならない。サイバー攻撃やサービス障害などによってビジネスの生命線が断ち切られないように、セキュリティ管理もニューノーマル(新常態)下の新たな視点で今一度見直すことが求められている。
執筆者
KPMGコンサルティング ディレクター 薩摩 貴人
日経産業新聞 2021年4月27日掲載(一部加筆・修正しています)。この記事の掲載については、日本経済新聞社の許諾を得ています。無断での複写・転載は禁じます。
