従業員のセキュリティ意識は、ITにおける重要なファイアウォールとなる
あなたの会社には、最強のファイアウォール、最強の侵入検知および保護システム、および最強のセンサーおよびフィルターが導入されていて、それらによってIT組織は取り囲まれているかもしれません。あるいは、あなたの会社では、堅固なセキュリティで知られるIBM iプラットフォームを使用していて、最も厳重なセキュリティで守られており、誰もが強力なパスワードを頻繁に変更しているかもしれません。また、あなたの会社には、出口点およびウイルスの温床となり得るIFS(統合ファイル システム)を監視するツールを使用する管理者がいるかもしれません。さらにまた、あなたの会社では、ファイアウォールおよびウイルス対策ソフトウェアを、インフラストラクチャーにアクセスするデスクトップ、ノートPC、タブレット、およびスマートフォンすべてにインストールしているかもしれません。
しかし、こうした非常に高度な(そして費用の掛かる)セキュリティも、慌ただしさから注意散漫になった1人の従業員が、ほんの数秒の間にフィッシングの不正なリンクをクリックしてしまうだけで、すべてすり抜けられてしまいます。
その時点で、攻撃者は侵入するためのインフラストラクチャー セキュリティの隙間に手を掛けたことになります。その隙間を削って、すぐにこじ開けたら侵入完了です。大規模なデータ盗難またはシステムのロックが引き起こされ、その後は、お決まりの身代金の要求です。
したがって、真の意味でのヒューマン ファイアウォールというのは、最新のセキュリティの本質に精通していて、最も重要なことには、世に出回る脅威について理解し、それに屈せず立ち向かえることが認められた従業員から成るものということになります。
セキュリティ意識向上トレーニングというのは、そのようになるためのものであり、データセンターや、組織のあらゆる場所に置かれている、多額の費用を掛けた、こうしたすべてのセキュリティ アプライアンスおよびセキュリティ ソフトウェアと同じくらいに重要なものなのです。決してこれを無視したり、おざなりにしたりしてはなりません。
原則的には、全従業員がヒューマン ファイアウォールになる必要があります。彼らは、日々の仕事に勤しむ中で重大な間違いを犯さないようにするためにも、現在、世に出回っている脅威について常に意識するようにしておく必要があります。とりわけ、ソーシャル エンジニアリング攻撃については意識を高めておくことが必要です。ハッカーは特定の従業員から情報を収集することを試み、そこで得た情報を別の従業員に対して使用することで、組織に関するさらに多くの情報を得ようとします。必要な情報を得ることに成功したら、ハッカーは会社に対する攻撃を仕掛けることができるようになるという次第です。
これは、IBM iプラットフォームを使用してクリティカルなシステムを稼働している小規模、中規模の企業だけに起こることでありません。つい先週、洗練されたテクノロジーで知られるライドシェア大手のUber社が、厄介なことに、まさにこの手法で公然とハッキングされてしまいました。『ウォール・ストリート・ジャーナル』の レポート によれば、Uber社を攻撃したハッカーは、Uber社の従業員をだまして同社のVPN(仮想プライベート ネットワーク)へアクセスできるようにさせ、そこから特権アクセス管理サーバーへアクセスすることに成功したということです。このサーバーには、Uber社のすべてのクリティカル システム(すなわち、HackerOneセキュリティ アカウント、開発者向けのSlackチャンネル、内部VMware仮想インフラストラクチャー、Amazon Web ServicesおよびGoogle Cloudでの同社のクラウド サービス)へのアクセス用データが保管されています。ハッカーは、辺りをうろつき、アクセスできたことをスクリーン ショットによって誇示した以外は何も行っていませんが、この一件は、こうしたセキュリティという鎖においては、鎖を形成する1つ1つの人間という輪がいかに重要かということを示しています。
また、コロナウイルス パンデミックのせいで、今もなお私たちの多くが在宅勤務を行っているため、ノートPC、タブレット、スマートフォンなどのBYOD(Bring Your Own Device: 私物端末の業務利用)端末や、自宅ネットワーク(企業のVPNにアクセスするために私たちの多くが使用)のセキュリティ対策は不可欠になっています。したがって、ファイアウォールの外からITシステムに入って来るすべての従業員、パートナー、およびサプライヤーは、適切なセキュリティ プロトコルについて認識している必要があります。
こうしたセキュリティ意識は極めて重要です。また、脆弱性は広がり続け、変化し続けるものであるため、セキュリティ意識もアップデートすることが必要となります。これは、ウイルス対策ソフトウェアで、マルウェアのフィンガープリントのアップデートが必要であるのと同じことです。こうしたことから、Focal Point社では、提供しているセキュリティ意識向上サービスの一部として、ビデオ トレーニングを提供するとともに、フィッシング攻撃の模擬テストも実施しています。ビデオ トレーニングでは、一定のカテゴリーのセキュリティ意識の向上を図ることができますが、さらにフィッシング テストを実施することにより、ビデオ トレーニングの成果、すなわち、フィッシング メールまたはテキストがどのようなものか従業員が理解しているかどうか、それらが前後の脈絡から外れていることはないか常に注意を払う必要があることを認識できているかどうかを確認することができます。たとえば、仕事用のメールにUberやAmazonからのメールが送られてくるのはおかしくないでしょうか。あるいは、自宅用のメールで、中国の見込み客のサプライヤー パートナーからの新規契約のメールを受け取るというのは普通のことでしょうか。中には、前後の脈絡について常に考えるようにする訓練が多めに必要な人もいますが、それがその人の考え方の一部になるまで追加のトレーニングを受けることができます。
それだけではありません。たとえば、メールを分析して、悪意のあるコードやWeb上のロケーションが含まれていないかリンクをチェックするセキュリティ ソフトウェアをインストールすることもできます。このソフトウェアは、添付ファイルをサンドボックスに入れて、ちょうど本物の爆弾を爆発させるように、サンドボックス内で実行させることができます。しかし、ゼロデイ攻撃は存在し続けています。このメール セキュリティ ソフトウェアも、組織が攻撃を受けた時点でアップデートが行われていない可能性もあります。
Focal Point社では、企業は少なくとも四半期に1度はセキュリティ意識向上プログラムを実行することを推奨しています。組織の許容力に応じて、年に1度、実行している顧客もあれば、毎月、実行している顧客もあります(もちろん、こちらがお勧めです)。また、毎月のフィッシング テストの実施も推奨していますが、四半期ごとに実施している組織がほとんどです。また、フィッシング テストは、Focal Point社が実施することも、顧客のIT組織の管理下で、テストの実施方法を学んで顧客自身で実施することも可能です。どちらのやり方でも問題ありません。問題があるのは、セキュリティ意識向上トレーニングを実施しないことです。
また、IBM iプラットフォームでは、顧客に無償のセキュリティ診断も実施しています。セキュリティ診断は、Windows ServerまたはLinuxを稼働しているX86サーバー、あるいはAIXまたはLinuxを稼働しているPower Systemsマシンにも適用することができます。セキュリティ診断は、組織内の潜在的な弱点を顕在化させることができます。機能強化が必要かもしれないIBM iの構成およびコントロールを綿密に調査し、脆弱性の危険度が重大、高、または中のどのレベルであるかを調べます。診断結果は、セキュリティのベスト プラクティスを用いて、どのようにしてそれらの問題を修正したらよいか理解するのに役立てることができます。IBM iには、管理者によって設定されたシステム値がありますが、一部のシステム値によって、IBM iプラットフォーム内で露出が生み出されることがあります。それはコントロール レベルで起こるかもしれませんし、パスワード レベルなどで起こるかもしれません。これらのシステム値は分析することができますが、Focal Point社では、それらの値をよりセキュアなものに変更する方法に関するベスト プラクティスを顧客に提供することもできます。それらの値を変更することで、利用しているアプリケーションが動作しなくなる場合もあるため、Focal Point社では、顧客と協働して、顧客の環境について理解し、それらの値を変更することで組織のあらゆる場所に及ぶ影響を把握するようにしています。
セキュリティ診断に関して言えば、IBM iに新機能が加わると、値が変わったり、コントロールが変わったり、IBMからの構成が変わったりすることもあるため、こちらも定期的に実施することが重要です。
クラウド顧客には、セキュリティ意識向上トレーニングを強く推奨しています。また、これは、クラウド環境で提供されるトレーニングまたはセキュリティ製品スイートを利用しない場合にのみ、顧客がチェックを外す必要がある項目です。すべての新規のクラウド顧客向けには、既存の環境に対してセキュリティ診断を実施しています。詳細なレポートを用意し、顧客とともに修正作業を実施した上で、クラウドへのマイグレーションを開始しています。セキュリティ意識向上トレーニング サービスは、様々なレベルのシステムおよび複雑性に対応するべく、大・中・小の3タイプのパッケージで提供されますが、いずれもお手頃な料金でご利用いただけます。障壁というのはない方がよいものです。ただし、会社を守る、ヒューマン ファイアウォールという堅固な障壁は必要なものなのです。