中小企業のセキュリティ対策に関して

先日某自動車メーカーの社内システムに障害が発生したニュースが流れました。外部から直接的に標的にされた形でウィルスの攻撃を受けた結果、社内システムに重大な障害が発生したと報道されております。
ウィルスなどによるシステム被害は大企業に限った話ではありません。今回は中小企業ができるセキュリティ対策のヒントになればと記事を書きたいと思います。

セキュリティの考え方の変化

社内のネットワークからのアクセスは安全で社外からのアクセスは危険であるため、社内ネットワークには特に対応を検討することなく、社外に公開するWebサーバーなどはファイアウォールをはさんでアクセス制御をさせるという考え方が多いと思います。
テレワークニーズの増加から社外からのアクセスが検討される機会が増えてきていると思いますが、従業員が社外から社内システムにアクセスさせるにはVPNを経由して社内ネットワークに接続してアクセスさせるという形が多いと思います。

ただしこの場合、社内のネットワーク間のアクセスはほとんど無防備であるため標的型ウィルスの攻撃などで社内に侵入されたとたんセキュリティ面での防御が極端に弱くなってしまいます。
ウィルス対策ソフトで防御しているとはいえ未知のウィルスなどによるゼロデイ攻撃に対しては効果は限定的になってしまいます。

ゼロトラストの考え方

そのような中、ゼロトラストと呼ばれる考え方が広まっています。

簡単に言うと、従来のように社内ネットワークからのアクセスは安全であるという考え方を捨てて、社内外含めすべてのアクセスを疑ってチェックするという方式です。
仮に社内に侵入されてしまっても、その後社内リソースにアクセスする際にも別のチェックが働けばセキュリティ被害を最小化することにつながります。

クラウドサービスの利用

近年、中小企業を含めクラウドサービスを採用する企業が増えておりますが、社内と社外のサービスの区別が付きにくくなっているという点からもゼロトラストの考え方が自然な成り行きなのだと思います。
DropboxやGoogleのサービスを使用する場合はアクセスするPCを認証（許可）するプロセスをはさみますが、ユーザー認証のみに限らずアクセス端末の認証を行うことで一段高いセキュリティを実現する形になっています。

同様に、今後クラウドサービスの利用時のみならず、社内システムに接続する際も端末認証などの多要素認証を用いるような仕組みに変わっていくのだろうと思います。

中小企業における対応策の検討

実際の中小企業においてはこういった仕組みを導入していくのはハードルが高いかもしれませんが、いざセキュリティ障害が発生した場合の対応に関しては考えておく必要があります。

近年ランサムウェアの被害などが増えてきているのが現実です。私の所属しているあるグループのDropboxのファイルが被害に遭ってバックアップからすべて復元した経験もあります。おそらく他のメンバーのPCがランサムウェアに感染した結果Dropbox内のファイルが書き換えられたと推測されますが、これにより大企業だけの話でなく身近な問題であると認識させられました。ビジネスの場合、BCPの観点からも障害が発生したときでも経済活動を継続させるために重要なファイルが復元できるよう常時バックアップを行っていくことが必須となります。この時注意しなければならないのは、Windowsのファイルをコピーするだけではバックアップとして不十分であるということです。Windowsでコピーしただけだとコピーしたバックアップファイル自体が被害にあう可能性があります。このような事態を避けるためにDropboxのバックアップ機能等を用いてスナップショットやアーカイブの形でバックアップを取るか、コピーしたバックアップを別のハードディスクにオフラインで保存するなどバックアップの手法を工夫することも合わせて検討してください。

バックアップの重要性は、いざ必要となったときにはじめて痛感させられます。今後中小企業にシステムを提案する際は、重要なファイルやシステムの構成情報等、サービスを復元するために必要なものは常にバックアップを取る仕組みを実装するようセットで提案していきたいと思います。