急ごしらえのテレワーク
新型コロナウイルスにより「Stay Home」を余儀なくされましたが、緊急事態宣言が解除され経済活動が徐々に再開されています。感染の第二波が懸念されている最中に、働き方改革によるテレワークも推進されていたもののまだ道半ばという状態で「今」を迎えてしまいました。
そもそもテレワークは、「いつでも」「どこでも」効率的に仕事ができる環境が求められましたが、強制的な在宅ワークとなってしまい、「ノマドワーカー」ができていた人までも「Stay Home」しなければならない状態です。テレワークのメリットの一つである事業継続(BCP対策)だけがクローズアップされ、急ごしらえの環境が構築されるに至った事例は少なくありません。
まずは、これまで通り社内サーバへ接続して社内業務の遂行。これを「早く、予算をあまり掛けず」というのが急務であったと思われます。
しかし、コロナウイルスの影響は長期化することが予想されており、また、来年に延期されたオリンピックが開催された場合、コンパクトなオリンピックの実現や会場周辺の混雑緩和のために、今後もさらに一層のテレワーク環境が推進されると思われます。
そこで、急ごしらえの環境を見直し、環境の変化に適用できるセキュリティ対策を行うために、テレワークのあり方を振り返ってみます。
テレワークの利便性と安全
まずは、テレワークの目的、意義を考えます。日本テレワーク協会によれば、テレワークに期待される効果として、大きく7つを上げています。
(https://japan-telework.or.jp/tw_about-2/tw_effect/)
● 事業継続性の確保(BCP)
● 環境負荷の軽減
● 生産性の向上
● ワーク・ライフ・バランスの実現
● 優秀な社員の確保
● オフィスコストの削減
● 雇用創出と労働力創造
通常のオフィス勤務と同様の生産性が在宅ワークでも確保できるのであれば、これらの効果を期待することができると思われますが、便利な反面、その分脅威や脆弱性がついてくるのも事実です。
利便性と安全をどのようにバランスを取っていくかは、今後の新たな経営課題となってきます。経営者やCIO、システム担当責任者は避けて通れない問題です。
アクセス方法とデータの保護
テレワークを検討するに当たって最も大きなポイントは、テレワークを行う端末におけるデータの扱いです。
端末にデータを残さないようにするために、仮想デストップやリモートデスクトップなどシンクライアント方式を選択する場合、管理面からだけ考えると最も安全な方式だと思われます。安全なのでBYODも活用しやすいのがメリットです。
しかし、その場合、クラウドサービス利用に関しては、パフォーマンス、回線品質などにより大きな制限を受けることになる。Web会議などは利用できないことが少なくありません。また、リモートアクセス、アプリ起動、操作に時間がかかることも想定され、メールや資料のチェックなどわずかな隙間時間での作業に関してはやる気になれないほどです。
一方で、データを会社環境と同じように扱えるようにする場合は、パフォーマンス、回線品質にはそれほど影響がなく、生産性をあまり落とさずに済みます。
ただし家庭は企業ネットワークほど手厚くセキュリティ対策がなされていないため、そのままではインターネット経由のウイルスやワームなどの攻撃にさらされる可能性が高いです。
データ盗難や紛失を想定した対策、さらには不正アクセス対策も社内環境同様に強化しておく必要があります。
最も重要なことは、どちらの場合にしても、ID・パスワードが漏れないよう保護することです。端末にデータを保存していなくても、ID・パスワードがばれてしまえば端末経由で会社のデータにアクセスされてしまいます。攻撃の境界は会社から、在宅ワークの端末など外へと拡大したのです。
攻撃対象となったテレワーク環境とアクセス先を共に守るために、NIST(米国国立標準技術研究所)が定義化を進めているのが「ゼロトラスト」というネットワークセキュリティのアプローチです。
ゼロトラスト時代に向けて
ゼロトラストでは、「境界内(社内)は安全」という性善説から、「誰も信用しない」という性悪説に基づいたアプローチです。クラウドサービスの利用、テレワークの普及、さらには内部不正の増加など境界防御では不十分だと考え、全てのアクセスを信頼しないという前提で対策を行うという立場をとります。
ゼロトラストとは、そもそもはアメリカの調査会社フォレスターリサーチ社が提唱した概念で、「認証してから信頼する」というもので、通信・アクセスを検証してから権限を付与していくというものです。
認証においては、以下の点が必要になってきます。
●接続ユーザの正当性 (ID、パスワード、多要素認証等)
●接続デバイスの正当性 (会社貸与デバイス等)
●接続デバイスのセキュリティ対策の正当性 (ウイルス対策、OS、アプリ、その他対策)
先にも述べた通りそもそもID・パスワードの保護は重要ですが、ゼロトラストにおいては最優先事項となり、さらには端末のセキュリティ対策も非常に重要になっています。
例えば、オーストラリア政府の調査によると以下3点を対策することで、85%のサイバー攻撃を防ぐことができるとのことです。「接続デバイスのセキュリティ対策の正当性」として最低限必要な項目になります。
● アプリケーションの利用制限
● ウイルス対策ソフト、アプリケーション、OSを最新の状態に保持(セキュリティパッチ適用)
● 管理者権限の最小化
これらはどのような環境でも当てはまりますが、特にテレワーク環境では必ず遵守したい事です。
メール、インターネットアクセスができる環境では、最近のサイバー攻撃の特徴からさらに次の2点が「テレワークセキュリティガイドライン(第四版)」(総務省)で追加されています。
(https://www.soumu.go.jp/menu_news/s-news/01ryutsu02_02000200.html)
● フィルタリング等を用いて、テレワーク勤務者が危険なサイトにアクセスしないように設定する
● 金融機関や物流業者からの事務連絡を装うなどの不審なメールが迷惑メールとして分類されるよう設定する
フィッシングサイトへ誘導する攻撃や、送信元を詐称したメールを利用した攻撃が増加している昨今の傾向に対する対策です。人が注意する事だけではもはや対応できないため、このように世界各国でシステム的な対策の強化が検討され、ガイドライン化されています。
興味のある方はぜひご覧いただき、今後の様々な変化に耐えうるテレワーク環境を構築する参考にしていただきたいと思います。
 |
JBCC株式会社JBCC株式会社は、企業のデジタル・トランスフォーメーション(DX)を支援する総合ITサービス企業です。クラウドサービスを中心にシステムの設計から構築、運用までを一貫して手掛けており、クラウド 2,150社、超高速開発による基幹システム構築 440社、セキュリティ 1,100社の実績があります。 |
