プロキシプロバイダーの米プロキシラック（Proxyrack）が発表した最新レポートによると、昨年はサイバーセキュリティ侵害の件数が急増したという。ポストパンデミック期のリモートワークの流行が主な原因だ。

同社はIBMの「Cost of a Data Breach Report 2021」（2021年「データ侵害のコストに関する調査」レポート）を利用、データ侵害1件当たりの平均コストをリモートの従業員の割合に基づいてレベル分けした。最上位レベル（リモートの従業員が81%～100%の企業）では平均コストは550万ドル強（約7.2億円）。最もコストが低いのはリモートの従業員が41%～60%の企業で、平均コストは310万ドル（約4億円）だった。

また、同じ調査を利用して、米国が現在世界で最も標的とされている国であり、過去3年間で4億5,200万件、昨年だけでも3,000万件のデータ侵害を経験、これまでの合計は24億件に上ることも明らかにした。

「会社のシステムに従業員がリモート接続できる環境では、IT部門でシステムへの攻撃を注意深く監視することができなくなります。このため、リモートワークが台頭して以降、ランサムウェアやフィッシング詐欺が急増しています」。プロキシラックの不正アナリスト、アリアナ・バーゴ（Ariana Bago）氏が米SDxCentralのメール取材に応じて説明した。

サイバー犯罪者は従業員を標的にポップアップメッセージを表示したり、eメールでリンクを送り付けたりする。クリックしてしまうとパスワードや情報を盗まれたり、コンピュータシステムにアクセスできなくなったりする仕組みだ。また、バーゴ氏によると、リモートワーカーの5人に2人がセキュリティで保護されていないデータを会社のシステムから個人のメールアカウントに移動させており、これも不正アクセスが可能になる原因になってしまっているという。

「企業はリモートワークのためにネットワーク構造の変更や新規導入をしてきました。しかし、安全でないネットワークがデータ侵害増加の主な要因となってしまっています」と氏。「脆弱なパスワード、時代遅れのソフトウェア、セキュリティで保護されていないeメールを使用していたことでハッカーが企業のリモートワークシステムを攻撃することが可能となり、データ侵害の発生につながっています」

企業はこうした問題に対処するため、ネットワークの刷新においてはセキュリティ管理をますます重視するようになっており、CISO（最高情報セキュリティ責任者）の役割もいっそう重要度が高まっている。

犯罪者に後れを取らないために

業界には現在普及しているVPN接続からゼロトラストに移行しようという動きが見られるが――アマゾン ウェブ サービス（AWS）が「AWS Verified Access」を発表するなど――バーゴ氏はVPNを支持しており、「従業員が自宅でネットワークを保護するには最も有効な手段」だと述べている。結局のところ、この類の脆弱性から身を守る鍵は多要素認証（MFA）だと氏は言う。

プロキシラックによれば、BYOD（Bring your own device：私物端末の業務利用）の事例は2020年から58%増加しているが、各社は十分なBYODポリシーや監視で対応することをしておらず、個々の従業員はデータセキュリティの面から見ると脆弱性になってしまっており、高くつく可能性があるという。

「社内データを扱うデバイスを増やすとサイバー犯罪者が狙う攻撃対象領域が拡大し、データ侵害の発生につながります。データ侵害のコストはますます高くつくようになっています」と氏。「こうしたリスクを軽減するには社内データを扱うすべてのデバイスに多要素認証を導入すべきです」

また、バーゴ氏は従業員がリモートワークで個人所有のデバイスを使用することは許可すべきでないと警鐘を鳴らしている。社内データを複数の自宅デバイスに分散させてしまうと「ハッカーが利用できる攻撃対象領域を大幅に拡大」するためだ。

また、サイバー攻撃がますます検知しにくくなっているなか、従業員がそれと気付けるように半年ごとに研修を実施して常に最新の情報を共有することが重要だと述べている。

Remote Work Rocketed Data Breach Costs