20年以上の間、サイバーセキュリティ業界は、より大規模な全国的な統合セキュリティ環境ではなく、企業に焦点を当ててきました。当然包括的な家庭(自宅)のセキュリティにも焦点を当てていません。家庭生活をより便利にするスマートデバイスの導入と採用が増えていますが、法人向けのセキュリティ業界は総じて企業のセキュリティに注力し続けています。標準の観点からも、米国標準技術研究所(NIST)は、家庭ではなく、企業と連邦政府に焦点を合わせてきました。
たとえば、高く評価されているセキュリティフレームワークであるNISTサイバーセキュリティフレームワークは、家庭ではなく企業を対象としています。しかし今日、多くの家庭のデバイスと接続性は、20年前の中小企業のものを上回っています。家庭は中小企業と同じ道をたどっており、より焦点を絞った注意と保護が必要です。
COVID-19は、瞬く間に組織の変化を強い、私たちはほぼ集中型の作業環境から高度に分散された在宅勤務インフラストラクチャへの急激な移行を余儀なくされました。セキュリティで保護されていない管理されていない環境(IT、IoT、モバイル、クラウドなど)での勤務へのこの急速な移行は、デジタル攻撃対象領域の大幅な拡大を生み出しながら、組織のサイバーセキュリティが脅威に晒されるという課題を非常に複雑にしました。これまで一部だった個人用デバイスのビジネス目的への利用が、多くの従業員が行うことになり、企業はこれらの個人用デバイスの管理と制御を強化するポリシーの採用を検討する必要があります。BYOD(個人所有のデバイスの持ち込み)に焦点を当てていたセキュリティの課題は、BYEH —「Bring Your Enterprise Home」に変わりました。この変化に対処するには、新しいセキュリティ基準とプラクティスが必要です。
当社やその他多くの企業は、この新しい企業エコシステムを保護するためのポリシー、管理プロセス、制御、機器、およびソフトウェアを導入しましたが、前提として家庭はビジネス利用には非常に不適切なセキュリティ環境であることを理解して行う必要がありました。
たとえば、私の家には、さまざまなデバイスシステム(ワイヤレス照明、スマートロック、複数のスマートTV、複数のストリーミングデバイス、スマートプラグ、ワイヤレスセキュリティシステム、デジタルアシスタント、ワイヤレススピーカー、カメラ、サーモスタット等)があります。これは、家族全員向けにコンピューター、ラップトップ、iPad、スマートフォンを追加する前のことです。IoTデバイスの数は増え続けており、人々が家をスマートホームに変えるのに役立っていますが、住宅所有者はこれらのデバイスを保護する方法を知らないことがよくあります。さらに、製品の多くは相互に通信または統合されないため、セキュリティの弱点の発見がしづらい状況が生まれます。
今日、サイバー犯罪者たちは、ドアを物理的に通り抜けることなく、家に侵入して、銀行口座、資格情報、平穏な生活(午前3時にスマートライトをオン/オフし、接続されたスピーカーから音楽を大音量で鳴らすことによって)などの価値のあるものを奪うことが可能です。これは個人にとって大きな問題ですが、COVID-19のパンデミックの間、遠隔地での作業に目を向けて業務を継続する企業や政府にとってはさらに大きな問題です。
スマートであろうとなかろうと、各家庭のすべてのデバイスに連邦政府の全従業員数だけを掛けてみても、従業員に在宅勤務を依頼することで生じた脅威ベクトルの大きさを把握できます。次に、正社員と同じレベルのセキュリティにアクセスできる場合とできない場合がある政府の請負業者を追加し、さらに、これは政府の問題だけでなく、企業やその他の組織がスタッフの企業資産へのリモートアクセスを保護および安全にする必要がある全国的な問題であることを認識してください。
取り組む必要のある分野はサイバーセキュリティだけではありません。たとえば、ISPは、停止が発生した場合に企業顧客のサポートを優先することがよくあります。企業のレポートから修正までのタイムラインは時間単位で測定されますが、消費者の停止を修正するためのタイムラインは日単位で測定されることがよくあります。しかし、今では、リモートクリティカル接続とそうでないものの間の境界線が非常にぼやけています。組織は、特定の接続に重要な指定と優先応答が必要であることをISPにどう伝えることができるでしょうか。個々の企業のインフラストラクチャのコンポーネントである「ホームポイント」の概念をどのように拡張しますか?
これに関連して、ブロードバンドアクセスとネットワーク接続速度がこれまで以上に重要になっています。25/3 Mbpsは、ママとパパが自宅で仕事をしている中で遠隔教育を受ける複数の子供がいる家族にはあまり適していないため、連邦通信委員会がブロードバンドの指定を再考する時期かもしれません。
COVID-19が引き起こした変化の波は、自宅をワークスペースに変え、家の中で接続されているすべてのデバイスを各人の雇用者にとってリスクにしています。今では、家は単なるスマートホームではありません。それは遠隔地のオフィスであり、教室、診療所、そしてモールや食料品店の正面玄関でもあります。
パンデミックをきっかけに経済と国を適応させるために取り組むとき、保護の基準が整っていることを確認するために、自宅の安全も再考することが重要です。私たちの家は現在、企業環境の一部です。国家として私たちが自宅をそのように考え、新しいBYEHの現実に対応するためのポリシーとセキュリティプラクティスを採用する時が来ているのです。
※本ページの内容は2020年11月12日(US時間)更新の以下のMcAfee Blogの内容です。
原文:Home-Point Cybersecurity: Bring Your Enterprise Home
著者:Kent Landfield