Lack of Threat Awareness Creates Hybrid Work Risks
2021/11/01 SecurityBoulevard — ほとんどの米国人は、サイバー・セキュリティの脅威に気づいておらず、また、サイバー・セキュリティに関心を持つ人は増えてあひても、10人に6人近くが IT 部門の承認を得ていないソフトウェア/アプリ/クラウドストレージをダウンロード/インストールしたことがあるといいう。
この数字は、米国の 1,000人を含む 11カ国 11,000人の消費者を対象に調査した、2021 Unisys Security Index の気になる調査結果である。その理由を尋ねたところ、回答者の 45% が「会社が提供するツールよりも、ダウンロードしたソフトウェア/アプリの方が良かった」と答えている。その一方で、43% の回答者は、適切な代替オプションを会社が提供していないと答えた。
今回の調査では、米国市民のサイバー・セキュリティに関する知識の低さも浮き彫りになった。10人に6人以上 (62%) が、詐欺師がメールで個人情報や財務情報を要求する SMS フィッシング (SMiShing) の脅威についてよく知らないと認めている。
また、回答者の約4分の3が、詐欺師が自分の管理する電話機に電話番号を転送させる SIM ジャッキング (SIM jacking) について知らないと答えており、調査対象者の半数以上 (51%) が、電子メールや SNS 内のリンクをクリックすることに、注意していないと答えている。さらに、回答者の約4分の3 (72%) が、詐欺の被害に遭った場合に、どこに報告すればよいかわからないと回答している。
コンシューマ・アプリを仕事に持ち込む
Endpoint-to-Cloud セキュリティ企業である Lookout の、Senior Manager of Security Solutions である Hank Schless は、従業員は自分が使い慣れた製品を使いたいと考えており、自分のデータを管理するためのプラットフォームは、できるだけ少なくしたいと考えていると述べている。
彼は、「そのため、自宅で使っているアプリと同じものを、仕事でも使用したいと考えるかもしれない。たとえば、個人的な理由ですでに Dropbox を使用している場合には、仕事関連のデータも Dropbox で保存/共有したいと考えるかもしれない」と述べている。
Schless は、従業員が意図せずに、承認された企業アプリ以外により、データを共有してしまうリスクもあると指摘する。たとえば、コンプライアンスに関わる機密データを含む文書を、意図せずに個人の Google Drive アカウントに保存してしまうこともある。
また、アンケートの回答にもあるように、組織が提供するものよりも、従業員のライフスタイルに合ったソリューションがあるかもしれない。彼は、「従業員が、どのようなデバイスからでも、データにアクセスできることを必要とする場合、どこからでも生産性を上げることができるクラウドベースのプラットフォームと、VPN トンネルインするプライベートアプリの両方を好むかもしれない」と述べている。
アプリケーション・セキュリティ・プロバイダーである nVisium の、Senior Application Security Consultant である Ben Pick は、従業員が自分の仕事を遂行できるよう、企業はサポートする必要があると述べている。
彼は、「新しいソフトウェアやツールを使用する際の承認を合理化することで、それが可能になる。適切なアクセス制御を実施することで、企業は悪意のソフトウェアをインストールするリスクを制限し、潜在的な暴露の影響を軽減することが可能だ」と述べている。
Ben Pick の視点では、従業員の教育に注力することは適切な解決策ではないようだ。企業は、必要なタスクを拡張するためのツールが増えていることに対応して、優先順位を変更する必要がある。
彼は、「ファイル管理やソフトウェア・インベントリを実施する、過度に負担の大きなツールを適用すると、それぞれのアラートを調査するためにチームの持続性が失われる。したがって、自分の環境を十分に理解している従業員が増えることは、ツールを増やすよりもはるかに有益だ」と警告してる。また、制限の多い企業ほど、その制限を回避しようとする社員が多いとも指摘している。
Ben Pick は、「安全性よりも仕事をこなすことを優先する企業は、ポリシーを無視するように従業員を教育することになる」と述べている。
CASB ソリューションの活用
Hank Schless によると、Cloud Access Security Broker (CASB) ソリューションは、クラウド上のアプリケーションやデータの可視化、および、統一されたアクセス制御の拡張、アクセス制御ポリシーの一元化を支援するとのことだ。彼は、企業が侵害を阻止するために十分な機能を備えた、独自の CASB を特定するには、いくつかの方法があると述べている。
Mobile/Lattop/PC のいずれからでも、条件付きのアクセス・ポリシーを作成できる CASB は、どこからアクセスするにしても、安全なユーザーとデバイスだけが機密データにアクセスできるようにする。
高度な Data Loss Prevention (DLP)/User and Entity Behavior Analytics (UEBA)/Digital Rights Management (E-DRM) は、組織がデータを完全に保護するために役立つものであり、CASB に必要な要素となる。
Schless は、「CASB はシャドー IT を特定して防止するだけでなく、同じアプリ上の企業アカウントと個人アカウントの間で、データが移動するリスクを軽減することにも対応すべきだ。これらは全て、リモートワーカーによる安全な利用を確保し、意図的/非意図的なデータ漏洩から機密データを保護するために行われる。ほとんどの従業員は、承認されていないアプリを使うことで、意図的に会社を危険にさらすわけではないと言うだろうが、、より大きなリスクが存在することに気づいていないのかもしれない」と述べている。
たしかに、いろんなサービスが提供され、それぞれが使いやすく、仕事の効率をアップさせてくれます。でも、これまでの SaaS って、そこだけを追い求め、シェアを得るためにコストを切り詰めてというふうに、邁進してきてしまったようにも思えます。そのために生じるリスクについては、ユーザー側だけではなく、プロバイダー側も、ほとんど認識せずに、マーケットが拡大してきたという現状なのでしょう。先ほど、「SaaS を安全に運用するためのソリューション:CASB と SSPM の違いはどこに?」という記事をポストしましたが、こういうソリューションが広まるのか?もっと新しいパラダイムが登場するのか? いずれにしても、新しい何かが必要になる気がします。
IoT OT Security News 