Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。

BYODポリシー無しの組織が過半数

つぶやいてみた。

StxnextのグローバルCTO調査によると、BYODが許可されている組織の51%がBYODに関するポリシーを策定してない様です。

www.infosecurity-magazine.com

COVID-19のパンデミック中に在宅勤務に移行した結果、スタッフによるこれらのデバイスの使用が増加しているにもかかわらず、グローバル組織の半数以上(51%)がBYODポリシーをまだ持っていません

これは、STX Nextの最新のグローバルCTO調査によると、BYODポリシーを採用している組織でも、13%が多要素認証(MFA)を使用していないことがわかりました。

全体として、世界中の250人の最高技術責任者(CTO)の調査で、研究者は、セキュリティプロセスを現在の状況に適応させる緊急性が多くの組織にないことを観察しました。

また、組織の80%には専用の内部セキュリティチームまたは部門がなく、40%はサイバーセキュリティのニーズに特化した企業を使用していることが明らかになりました。

(Infosecurity Magazine記事より引用)※機械翻訳

 

元ソース(STXNEXT)

 

キタきつねの所感

グローバル企業250社のCTOに調査という事なので、日本企業はこのデータには入ってないか、入っていたとしても、そこそこやっている所が回答しているかと思います。

しかし、日本の企業/組織もコロナ禍でなし崩しにBYOD(従業員の私物PC/スマホ端末等)をテレワーク用途で許可している所が結構あるのではないでしょうか。

だとすれば、セキュリティ対策がされていないBYODが狙われる事を十分想定した上で、企業側はBYODポリシーを策定する必要があります

 

企業/組織側から見ると、BYODはどんなセキュリティ対策をしているか把握出来ていない端末になるかと思います。セキュリティリスクを想定し、接続してくるBYODのセキュリティレベルが、会社のデータにアクセスしても良いレベルなのかをきちんと見極める事が重要なのかと思いますが、BYODポリシーがあり、多要素認証を導入している企業は、試算上250社中106社(42.4%)程度となりますので、2社に1社以上はBYOD利用に潜在的脆弱性を抱えている可能性がありそうです。

 

攻撃側から見れば、コロナ禍において企業/組織が従来以上に脆弱点を多く抱えている現状は、大きなチャンスとしか見えないかと思います。

 

BYODに関する脆弱点を考えてみると、最も懸念されるのが、アンチウィルス対策ソフトが導入されていないBYODです。

ソフトウェアVPNや検疫システムを使う等、マルウェアの外部からの侵入を考慮したシステムを構築する事で、ある程度防御が可能かとは思いますが、そもそも既にマルウェア侵害されていた端末を完全に防ぎきれるかと言えば若干疑問です。

次に怖いのは、多要素認証が導入されてない事でしょうか。調査データではBYODポリシーがある企業でも、17%の企業が多要素認証を導入していない事が挙げられていますが、もし経営層が従業員のIDとパスワードが強固であると信じているのであれば、セキュリティ担当役員(もしいれば)を交代させた方が良いかと思います。

年末辺りに出てくる、よく使われる(最悪の)パスワード、これが従業員(恐らく経営層も・・・)のパスワード管理の現状です。

www.atmarkit.co.jp

 

それ以外では、OSや主要ソフトのセキュリティパッチも企業/組織側から強制アップデートが難しいかと思いますので、手動で従業員がパッチ当てしてくれている事を「信じる」しかないのかも知れません。

 

企業や組織が経済合理性に傾くのは仕方がない部分もあるかと思いますが、BYODのポリシーすらなくBYODを許容しているのだとすれば、セキュリティを軽視している気がしてなりません。

現在猛威を振るっている、Emotet等のフィッシングや、ランサムウェアによる企業への侵害は、原因が必ずしもBYODという訳ではありませんが、例えばメール対策やVPN(RDP)装置への対策を企業/組織が強化した場合、攻撃側が次に狙ってくるのがBYODの脆弱性である事は十分に考えられます。

 

STXNext会長は、以下の様にコメントしています。私も同感です。

何も膨大なセキュリティ投資をしろという訳ではありません。きちんとBYODポリシーを考えて(リスクを把握して)必要な部分について投資をすれば良いのです。

当面の予算が無いのであれば、従業員教育を徹底する所から始めても良いのではないでしょうか。

「小規模な組織にとって、サイバーセキュリティへの支出は多額ですが、現在の状況でサイバーセキュリティに投資しないことはもはや選択肢ではないことに注意することが重要です。COVID-19は状況を変えました。より多くの従業員が自宅で仕事をしているため、より多くのデバイスがリモートで接続しています。その結果、セキュリティに対する組織の制御は、以前ほど強力ではない可能性があります。したがって、従業員が仕事をする能力を妨げることなく安全に作業できるようにするためのポリシーを構築するための措置を講じることが重要です。」

(Infosecurity Magazine記事より引用)※機械翻訳

 

 

本日もご来訪ありがとうございました。

Thank you for your visit. Let me know your thoughts in the comments.

 

ルールブックのイラスト

 

更新履歴

  • 2020年11月8日 PM