知らないと危険! テレワーク導入に必須のセキュリティ2つのポイント

新型コロナウィルス感染問題を機に多数の企業でテレワークの導入が進んでいます。
このコラムでは、テレワーク導入メリットと導入における課題、そしてテレワーク環境のセキュリティの2つのポイントについてご紹介します。

テレワーク導入のメリット
「アフターコロナ」では、テレワーク実施企業が益々増え、場所の制約やコスト削減のメリットを享受する機会が増えていくと考えられます。
具体的には、通勤・移動時間の削減や就業場所の自由化、Web会議やチャットツールの活用によるコミュニケーションツール活用の広がり、また経営的には、オフィスコストや交通費、各種経費の削減、柔軟な勤務体制導入による優秀な人材確保等があげられます。
アフターコロナの世界における
テレワーク
<働き方改革>
通勤時間、移動時間の短縮
通勤が減って十分な睡眠時間を確保できる
家事、育児と両立する時間の確保
働く場所の自由
在宅、モバイルワーク、サテライトオフィス
住む場所、勤務先も自由に
地方から東京本社の仕事をリモートで受ける
集中できる環境の確保
コミュニケーションの利便性はそのまま
ZoomやTeamsで気軽にコンタクトや雑談もできる
<従業員のメリット(業務効率化)>
場所、移動時間にとらわれず柔軟なミーティングの開催
メールからチャットなどのコミュニケーションツールへの移行
ウェビナーの活用による情報発信の多様化
受講者も移動が不要で参加しやすい
場所の確保等が不要になる
承認のハンコ文化からの脱却方向
業務整理による役割分担
外注できる業務のアウトソーシングやRPAの活用により、本業に専念
<経営的メリット>
コスト削減
通勤費、交通費、オフィス賃料、印刷代、備品代、その他諸々
移動時間の減少や業務効率化による残業代の削減
コアタイム勤務などの雇用形態
不要な支店の閉鎖
BCP対策
台風や大雪など災害時にも業務を継続できる
社員の出社リスクも減らせる
企業イメージの向上
働き方改革や福利厚生に力を入れているという対外的な良い印象
離職率低下
育児や介護に携わる社員の雇用継続、そのほか社員の満足度が高まって優秀な人材の流出が防げる
採用が柔軟に
全国どこでも採用ができ、勤務時間も多様に選択できるようになる
ベテラン人材や、地方の安価な労働力、副業、フリーランスなど要件に応じた人材確保
テレワークを早期に導入するには
十分な準備が出来ていないと、テレワーク導入後様々な課題が発生します。
その中で最も顕著なものは、回線不足の問題でしょう。オンライン会議の導入により、利用者の急激な増加が原因で回線不足気味になり、従来の回線のままでは接続不備が発生することが多々あります。
回線やリモートアクセスのスペック向上をはかろうとしても、構築自体に時間を要し、迅速な対応ができない場合もあるでしょう。
これらの特に回線に伴う諸問題は、適切なクラウドのリモートアクセスサービスを活用することで対処が可能です。クラウドサービスでは、必要が見込まれるリソースの確保(サイジング)や、ネットワーク設計が不要なため、回線や通信状態の影響を受けにくく、テレワークの早期導入が出来るためです。
しかし、テレワークを本格的に導入していくには、本コラムのテーマであるテレワーク環境下におけるセキュリティ対策も重要な課題となります。
テレワーク環境のセキュリティ2つのポイント
外部攻撃(サイバー攻撃の脅威)
サイバー攻撃に対する十分なセキュリティ対策がなされていない場合、マルウェア※への感染やリモートPCが踏み台となって社内システムにアクセスされることによる情報漏洩の危険があげられます。理由は、社外や自宅でPCを使う場合、自由にインターネットにアクセスできる(ポリシー制御されていない)ため、安全性が確保されていないサイトや改ざんされたサイト、またフィッシング※サイトへのアクセスが可能になり、マルウェアに感染するリスクが高まるためです。
さらにリモートPCに対するOSのアップデート等、パッチ管理が不十分だと脆弱性が残ることがあります。適切なパッチが当たっていない場合、やはりマルウェアに感染するリスクが高まります。作業環境がリモートになることで、セキュリティ管理者のインシデント※の把握にも影響があります。リモートPCでは、マルウェアの感染やその兆候の把握が出来ない場合もあれば、感染した端末の調査をしようとしても、遠隔への安全なリモートアクセスの手段がなく、感染端末への迅速な対処ができない場合もあるでしょう。
また、テレワーク導入と共に、Office365やBox等各種クラウドサービスの利用を開始するケースがありますが、このようなクラウドサービスのアカウント漏洩や、認証の不備があった場合、外部から不正アクセスされ、メールや機密情報が流出する危険があることも考慮しなければなりません。
これらに対処するには、安全性の確保されていないサイトへのアクセスを防ぐ、また適切なセキュリティパッチ管理とアンチウイルス対策等、社外から社内のネットワークに接続するPCやタブレット等のエンドポイントセキュリティ※対策の強化等、万が一サイバー攻撃が発生した場合に備えて、早期に検知・対処できる仕組みの導入を考えておく必要があります。
フィッシング:正規のメールやWebサイトを装い、暗証番号やクレジットカード番号などを詐取する詐欺。フィッシングサイトとは、フィッシング目的に作成されたサイト。
マルウェア(Malware):不正かつ有害な動作を行う意図で作成された悪意のあるソフトウェアや悪質なコードの総称で、ウイルス、ワーム等複数存在する。感染被害としては、マルウェアの種類により様々な被害が発生する。例えばコンピュータ内にあるファイルを消したり、改ざんしたり、外部ネットワークに勝手にさらしたりといった動作をユーザーの知らない間に行う等がある。また情報の消失、書き換え、外部流出といった被害もマルウェアによる被害の一例。
インシデント:コンピュータやネットワークのセキュリティを脅かす事象。例として、不正アクセス、Webサイトの改ざん、Dos攻撃等がインシデントに該当する。
エンドポイントセキュリティ:特にITセキュリティの分野でネットワークの中継機器などと対比して、ユーザーが操作するパソコンやスマートフォン等(エンドポイント)を対象とした保護施策。
外部攻撃イメージ図
内部不正(社員による情報漏洩)
社員による内部不正は、対策がされていない場合、サイバー攻撃より深刻な情報流出につながるケースがあり注意が必要です。
最初に考えられるのは、管理者の見えないところで社員が不正を犯すリスクです。普段とは違って、自宅やカフェでの作業では周囲による抑止力が働きにくくなるためリスクが高まります。Webへの機密情報や不適切な発言の書き込み、個人使用のBoxやGmailアカウントへの機密情報の転送、個人所有のUSBデバイスによる機密情報抜き取り、また外部サイトへのアクセスによるウイルス感染等は組織の信頼失墜につながります。
次に考えられるのは、たとえ従業員に悪意が無くても、意図しないミスによる情報漏洩の可能性もあります。 クラウドの活用が普及するに従い、これまで社内にのみに保存されていた機密データが、クラウドに格納されているケースが増加しているため、利用者側の設定ミスにより外部の第三者にクラウドストレージを公開し、情報が漏洩したり、不用意なファイル共有の設定により、重要情報を意図せず外部と共有してしまったりしたことにより情報漏洩につながってしまったケースも起こっています。
これらのリスクに対処するためには、業務に関係のない、または安全性の確保されていないサイトへのアクセスを徹底的に防ぐことが肝要です。そのためには利用者の役割に応じて、サイトの利用制御(WEBの閲覧は許可するが、書き込みは不可等)や、シャドーIT(許可されていないサイトやクラウドサービス)の利用を把握し、利用を許可しているクラウドサービスに対しては、社内ルールから外れた設定や利用を防ぐ必要があります。
内部不正イメージ図
テレワーク環境で推奨するセキュリティ対策
以上のようなテレワーク導入によるセキュリティリスクに備えるためには、以下の4つの観点から万全のセキュリティ対策が必要です。
セキュアなリモートアクセスの実現
クラウドサービス活用の統制
エンドポイントセキュリティ強化
セキュリティ診断およびアセスメント※
アセスメント: サイバー攻撃のリスクを調査・分析・評価し、その対応案を策定します。
では実際にどのような方法で上記の推進が可能になるのか、またどのような場合にこれらの対策が必要とされるかをサービス群と製品と共にそれぞれご紹介します。
セキュアなリモートアクセスの実現
テレワークやクラウドの活用が増加すると、リモートPCから社内ネットワークにアクセスする回線への負荷が増大し、ネットワークの遅延が発生しやすくなります。
また、クラウドサービスを利用する場合には、社内ネットワーク経由よりも、リモートPCから直接クラウドサービスにアクセスする方が、ユーザーの利便性が向上しますが、ここではインターネット経由によるマルウェア感染や、フィッシングサイトの脅威に備えることが重要です。
クラウドで危険なサイトへのアクセスを防ぐURLフィルタリングや、不正アクセスを防ぐIPS、またそれらを高度に監視・分析するサービスの導入
心配およびお困り事 サービスおよび製品 推奨ポイント
セキュリティ製品のアラートが多く、運用負荷が高い セキュリティの専門家に運用をお任せ。誤検知過検知を極小化することで運用負荷低減。
新型コロナウイルスに便乗したフィッシングメールによるマルウェア感染が心配 フィッシングメールだけでなく、標的型メールにも対応したSaaS型※メールセキュリティサービス。手軽に導入できる
テレワーク環境で自由にインターネットアクセスできてしまう。(マルウェア感染が心配)
Prisma Access、Zscaler(製品)
外部攻撃
内部不正
本社、支社、サテライト、テレワーク環境など、場所に関係なく統制されたセキュリティ対策を提供
SaaS型(サーズ型):SaaSとはSoftware as a Serviceの略で、インターネットを通じて提供されるソフトウェアの販売方法
クラウドサービス活用の統制
業務上許可されていないサイトやクラウドサービスへのアクセスがないかどうか把握することにより、内部不正や情報漏洩のリスクを抑えることが重要です。
また、許可されているクラウドサービスでも、社内ルールから外れた利用方法や設定により、外部からのアクセスを招き、情報漏洩につながるケースがあります。
クラウド利用の可視化や制御を行うソリューション(CASB: Cloud Access Security Brokerの略称)の導入によるセキュリティポリシー管理
心配およびお困り事 サービスおよび製品 推奨ポイント
許可されていないクラウドサービスの利用状況を把握できていない。
許可されているクラウドサービスの場合でも、ルールから外れた利用や不正なアクセスが無いか把握できていない
MVISION Cloud(製品)
外部攻撃
内部不正
許可されていないクラウドサービスの利用状況を可視化。クラウドサービスのリスク判定に活用
許可されているクラウドサービス(Office365等)が適切に利用されているか可視化
CASBの導入から運用まで一気通貫で支援
AWS等のIaaSを使っているけれど、セキュリティ設定問題ないか心配
Prisma Cloud(製品)
外部攻撃
内部不正
IaaSのセキュリティ設定が正しく運用されているか可視化
パブリッククラウド セキュリティ運用支援サービス
外部攻撃
内部不正
IaaSのセキュリティ設定を診断し、対策をアドバイス
エンドポイントセキュリティ強化
テレワーク環境のセキュリティは脆弱になりがちです。そこでリモートPCには、次世代アンチウイルスソフトの導入等、より強力なセキュリティ対策を施し、マルウェアや脆弱性をついた脅威からの侵害リスクを抑えることが重要です。
また、万が一ウイルスに感染した場合に、遠隔からセキュリティ管理者が当該端末の感染検知や対処が出来ないことで、被害が拡大する恐れがあります。
EDR利用による脅威の検出、隔離、調査を含めた迅速な初動対応
心配およびお困り事 サービスおよび製品 推奨ポイント
エンドポイントのセキュリティに不安がある。テレワーク時にマルウェア感染した場合の検知や適切な対処ができない
Cortex XDR 、Apex One(製品)
外部攻撃
エンドポイントのセキュリティを強化
万が一感染した場合の対処が可能
外部攻撃
セキュリティの専門家に運用をお任せ
アラートの分析から通知、感染端末の隔離といった対処まで対応
EDR(イーディーアール:Endpoint Detection and Responseの略称):エンドポイントセキュリティの1種です。エンドポイントで脅威を検知し、対応を支援することを目的としており、エンドポイントにおける脅威の動きを包括的に可視化し、ハッキング活動の検知・観察や記録、攻撃遮断等の応急措置の機能が用意されている
セキュリティ診断およびアセスメント
個別のセキュリティソリューション導入前に、自社環境のセキュリティ診断やアセスメントを実施することで、予め必要とされるセキュリティ対策を把握することが出来、段階的かつ計画的なテレワークソリューションの導入が可能になります。
テレワーク導入に必要とされるセキュリティ対策の把握
心配およびお困り事 サービスおよび製品 推奨ポイント
テレワーク環境を導入したが、セキュリティ対策が十分か不安。
セキュリティ対策の優先順位を考えたい。
総務省のテレワークセキュリティガイドラインに基づいてセキュリティ対策状況を可視化。
短期間で診断可能。
お客様環境を踏まえた推奨対策の考察をご提示
その他の対策 ルール策定と教育
テレワークにおける情報セキュリティ対策では「技術」「ルール」「人」のバランスの取れた対策の実施が重要です。
本コラム「知らないと危険!テレワーク導入に必須のセキュリティ2つのポイント」では「技術」を中心とした対策を取り上げましたが、同時に「ルール」と「人」への対策も同様に考えていく必要があります。
当社では、技術的なセキュリティ対策に加え、セキュリティ規程/ルールの策定支援や、セキュリティ教育等もご用意しております。これらのソリューションにご興味がありましたら、お気軽にお問合せ下さい。