ホームワーカーのIoTセキュリティの課題を乗り越える

パロアルトネットワークスのグレッグデー

職場環境と家庭環境の境界線が薄れ続けるにつれて、企業と個人の接続デバイスの分離も薄れてきます。これにより、ホームワーカーを含むすべての人からの調整された対応が必要となる新しいサイバーセキュリティの課題が明らかになります。GregDay、VPおよびCSO EMEA、パロアルトネットワークス 。

ビジネスネットワークへの非ビジネスIoTフラッディング

家庭およびハイブリッド作業の成長により、消費者が接続するデバイスがビジネスネットワークに迷い込むことが多くなっています。 2年間、EMEA、APAC、南北アメリカの18か国を対象としたIoTセキュリティ調査の一環としてこの傾向を追跡してきました。

2021年の調査では、世界中のIT意思決定者の78％（組織にIoTデバイスがネットワークに接続されている組織）が、昨年、リモートワーカーによって企業ネットワークに接続する非ビジネスIoTデバイスの増加を報告しました。米国などの一部の市場では、レポートはさらに高く、84％が増加したと述べています。

どんなビジネスに関係のないものに遭遇しているのかを調べると、その多様性は非常に印象的です。世界的に報告されている最も一般的な非ビジネス接続デバイスはウェアラブル医療モニターであり、スマート電球、接続ジム機器、コーヒーマシン、ゲーム機、さらにはペットフィーダーが発見された最も奇妙なデバイスのリストに含まれています。この理由の一部は、在宅勤務（WFH）の習慣の高まりが、スマートホームキットのブームと、フィットネスと健康のためのさまざまなウェアラブルと一致していることです。

サイバーセキュリティの欠陥と脅威

珍しいIoTデバイスのロールコールは、おもしろい読書につながる可能性がありますが、サイバーセキュリティチームにとってセキュリティ上の課題が増えています。攻撃者は、悪用される可能性のある脆弱なデバイスを1つ持つために、1人の従業員しか必要としません。多くの消費者向けIoTデバイスには、セキュリティ機能が不十分であるか、残念ながらまったくありません。実際、100ドル（88.59ユーロ）未満のスマートデバイスで、エンタープライズクラスのセキュリティレベルをどれだけ期待できますか。同様に、成熟したソフトウェア会社が採用している優れたコーディング手法は、通常、優先度が低く、バグ修正が遅くなる可能性があります。

私たちのUnit42チームのような脅威インテリジェンスの専門家は、ホームオフィスキットの脆弱性を標的とした攻撃を報告しています。これには、2021年2月のさまざまな家庭用IoTデバイスにわたるMiraiバリアントの攻撃セキュリティの欠陥が含まれていました。最大の懸念は、侵害された非ビジネス接続デバイスを使用して、より深刻なランサムウェア攻撃を開始する方法です。この夏、ユニット42は、ランサムウェアギャングが、NASデバイスを使用して在宅勤務者を標的にするためにeCh0raixランサムウェアバリアントを使用するツールに投資しているように見える証拠を明らかにしました。これらの攻撃の動機は、悪用されたホーム接続デバイスを、巨大な身代金を生成する可能性のある大企業へのサプライチェーン攻撃の足がかりとして使用することである可能性があります。

その結果、消費者向けIoTデバイスはビジネスにとって大きな問題になる可能性があります。これは、回答者が私たちの調査で認めたものです。世界的に、組織のネットワークにIoTデバイスが接続されているほとんどのIT意思決定者（81％）は、COVID-19パンデミック中のリモートワークにより、組織のビジネスネットワーク上のセキュリティで保護されていないIoTデバイスによるリスクが高まると報告しました。 10人中7人（78％）以上の間、このリスクの増加はIoTセキュリティインシデントの数の増加につながりました。

在宅勤務もIoTデバイスの台頭もなくなることはないため、IoTサイバーセキュリティを検討する必要性が高まっています。実際、グローバルIoT調査のほぼすべての回答者（2021年に96％、2020年に95％）は、組織がIoTセキュリティへのアプローチを改善する必要があることを示しました。 2021年には、25％が完全なオーバーホールが最善であると示唆しました。

WFHワーカーがどのように役立つか

自宅でIoTサイバーセキュリティを強化する3つのアプローチが必要です。

組織は、ルーターから始めて家庭のサイバーセキュリティ衛生基準の水準を上げるために、WFHスタッフを教育し、義務付ける必要があります。一部の基本的な注文には、デフォルトのセキュリティ設定の変更が含まれ、ルーター設定をWPA3PersonalまたはWPA2Personalに更新するだけでホームネットワークを暗号化する必要があります。 WFHワーカーは、接続されているものを監査し、通常使用されていないデバイスを無効にするための料金も請求する必要があります。

取るべき別のステップがあります。 WFHの従業員は、ほとんどのWi-Fiルーターのファームウェアに通常見られるマイクロセグメンテーション機能も活用する必要があります。これにより、ユーザーは別々のネットワークを維持できます。1つはゲストとIoTデバイス用で、もう1つは企業目的で使用されます。

ネットワークセグメンテーションは、企業および家庭での全体的なサイバー衛生を改善するための鍵です。 IoT調査によると、IT意思決定者（組織のネットワークにIoTデバイスを接続している）の51％が、IoTデバイスが別のネットワークにセグメント化されていることを示しています。これらは、主要なビジネスデバイスやビジネスアプリケーション（HRシステム、電子メールサーバー、財務システムなど）に使用するものとは別のものです。ただし、比較的多くのグローバルIT意思決定者（5人に1人）が、IoTデバイスがプライマリデバイスや主要なビジネスアプリケーションに使用するネットワークとは別のネットワークにセグメント化されていないことを認めているのではないかと心配しています。英国などの一部の市場では、結果はさらに悪化し、3分の1がセグメンテーションをまったく認めていません。

最後に、組織はハブアンドスポーク接続モデルから離れる必要があります。このモデルでは、すべてが1つのセキュリティパイプを通過し、在宅勤務者がVPNを介してビジネスに接続します。今日の多様な接続されたエコシステムでは、1つのサイズのセキュリティは単に機能しません。多くの場合、ユーザーはVPNのOFFスイッチを探して、会議などのコアビジネスサービスを有効にします。いつでもどこでも世界中のあらゆる場所での作業において、エッジサイバーセキュリティは、ユーザーに透過的でエクスペリエンスを最適化する適切なセキュリティを可能にするために、状況に応じた認識に適応する必要があります。そのため、ユーザーはそれをオフにする必要を感じません。

ゼロトラストの適用

強化されたIoTサイバーセキュリティのもう1つの要素は、企業自体の内部にあり、不正なIoTデバイスがどのように監視されてネットワークに接続できないようにするかです。

組織は、最小特権アクセスポリシーを使用して、許可されていないデバイスがネットワークに接続するのを防ぐ必要があります。承認されたデバイスとユーザーのみが必要なものにアクセスできるようにする必要があります。 ゼロトラストの活用 これらのデバイスがデータの露出を引き起こしたり、ビジネスの継続性に悪影響を与えたりしないようにするための最良の方法です。

特にIoTセキュリティの場合、組織はネットワークに接続されたIoTデバイスの動作を継続的に分析するリアルタイム監視ソリューションを必要としています。これは、未知のものを知り、ネットワークに接続されているデバイスの正確な数を検出しようとします。これには、あなたが認識しているデバイスと認識していないデバイス、および忘れられているデバイスが含まれます。 IoT資産のインベントリは、既存のファイアウォールへの投資を活用して、セキュリティポリシーを自動的に推奨および実施できます。これらは、これらのデバイスで検出されたリスクのレベルと信頼できない動作の程度に基づいています。ポイントソリューションは、企業ネットワークを拡張し、統一されたセキュリティポリシー管理とセキュアアクセスサービスエッジ（SASE）をWFHの従業員にもたらすことができます。これにより、コンテキスト対応のセキュリティを実現できます。

法的な解決策を待たないでください

最終的に、IoTデバイスのセキュリティリスクは、製造業者と流通業者がそもそもより強力なセキュリティを構築するようにするための新しい規制の波によって軽減される可能性があります。しかし、EUや英国などの国々のこれらの法律はまだ初期段階にあり、数年間は真の影響を与える可能性は低いです。 IoTセキュリティを改善する責任は、従業員とその組織の肩にかかっています。

IoTデバイスが私たちの働き方や遊び方にとって重要であることを考えると、組織は従来のサイバーセキュリティへの対応方法を変え、c-suiteからすべての従業員にまで及ぶプロアクティブなサイバーヘルスの文化を構築する時が来ました。このシフトにより、サイバー攻撃を阻止し、無実のビジネスまたは個人用接続デバイスを介したサイバーインシデントの潜在的な影響を軽減するのに役立つサイバー衛生慣行への投資と集中が可能になります。

著者は、パロアルトネットワークスのVPおよびCSOEMEAのGregDayです。