リモートワークで懸念されるのが、情報漏えいやデバイス紛失などのリスクです。
近年、リモートワークと親和性の高いセキュリティモデルとして、ゼロトラストセキュリティモデルが注目を集めています。
現在のリモートワークの問題点に触れながら、ゼロトラストで企業リソースを守るためのセキュリティ対策について説明します。
既存リモートワークのセキュリティ課題
オフィス以外の場所で勤務するなど、場所や時間にとらわれない柔軟な働き方「リモートワーク」。特に従業員へ社用PCを支給している企業において、リモートワークを実現するのに欠かせないのが「VPN(Virtual Private Network)」です。
VPNとは、拠点間に仮想的に張り巡らせた専用ネットワークのことです。専用線と同等のセキュリティを確保しながらも、専用線より安価なため多くの企業が導入しています。ただ、VPNでは非常に複雑な暗号化処理を行っているため、アクセスが集中するとVPNサーバーに負荷が掛かってしまうという欠点があります。
また、私用のPCを使ったリモートワークを採用している企業では、PCのセキュリティ対策は従業員任せになります。これでは、企業リソースにアクセスしようとするクライアント端末や利用している通信回線の安全性が確保できず、常に不正ログインなどの脅威にさらされることになります。
ゼロトラストセキュリティモデルへの移行
これまで、ITのセキュリティというと「守る」「防御する」ものという考え方が主流でした。一方で、近年注目を集めているのが「ゼロトラスト(Zero Trust)」という概念です。
従来のセキュリティ対策は、「境界防御モデル」に基づいて設計されています。境界防御モデルでは、内部ネットワークと外部ネットワークとの間「境界」を設け、内部ネットワークを境界線上で守ります。
よって、内部ネットワークは信頼する領域、外部ネットワークは信頼しない領域と、両者の間に明確な境界線が存在するという考え方です。また、守るべきリソースはすべて境界内に存在しているとみなします。
一方、ゼロトラストのセキュリティモデルでは、守る」「防御する」のではなく、「どのようなネットワークも信頼せず、すべてのアクセスを検証する」という考え方でセキュリティを確保します。また、攻撃されることを前提としてセキュリティ対策を行うというのが、ゼロトラストの考え方です。
考慮すべきリスクと対策
リモートワークで考慮すべきリスクと、その対策について紹介します。
IDとパスワードのみの認証
境界防御モデルにおいては、IDとパスワードさえ知っていれば、クラウドやSaaSサービスにログインできました。ただし、悪意のある第三者が不正にIDとパスワードを入手した場合、IDとパスワードは何の意味も持ちません。
そこで、ログイン時のセキュリティを高めるために、「多要素認証」や「条件付きアクセス」といった技術の導入が必要となります。多要素認証とは、IDとパスワードの他に、電話やSMSメッセージなどの認証要素を加えて、セキュリティを強化する仕組みです。これにより、仮にパスワードが流出してしまった場合でも、不正ログインを食い止めることができます。
条件付きアクセスとは、アクセス元のデバイスの状態やユーザーの位置などからポリシーを設定し、ポリシーに合致するアクセスだけに許可を与えるという機能です。条件付きアクセスにより、内部ネットワーク内のユーザーを無条件に信用するのではなく、アクセス毎に認証して、必要十分な許可だけを付与できます。
管理すべきIDパスワードの増加
トレンドマイクロ社が実施した「パスワードの利用実態調査 2017」は、複数のWebサービスでパスワードを使いまわしているユーザーが85.2%に達すると報告しています。
使い回しの理由としては、利用するSaaSの数だけID・パスワード数が増加したため「異なるパスワードを設定すると忘れてしまう」というものが69.7%で第1位となっています。
何らかの方法で不正に入手したユーザーのIDとパスワードのリストを使って、特定のオンラインサービスに対して不正ログインを試みるという「パスワードリスト攻撃」は、ユーザーが複数のサービスで同じパスワードを使いまわすという習慣を悪用した手法です。このような攻撃を回避する手段としては、ID・パスワードを一元管理するシングルサインオン(Single Sign-On、SSO)が注目されています。
シャドーITの横行
クラウドサービスの活用が進み、許可していないオンラインツールやサービスを従業員が使用してしまう「シャドーIT」が問題視されるようになりました。
例えば、クラウドストレージとしてOneDriveを許可している企業において、従業員が勝手にGoogle Driveにもデータを保管してしまうと、Google Drive内のデータを企業の管理下に置くことができません。
シャドーITを解決するための手段としては、許可していないクラウドサービスへのアクセスをブロックする「CASB(Cloud Access Security Broker)」や、ダウンロードできるアプリケーションを制限する「MAM(Mobile Application Management)」が有効です。
安定性の低いデバイス使用
リモートワークや、個人所有のデバイスを業務においても利用する「BYOD(Bring Your Own Device)」の導入により、私用のPCやデバイスから企業リソースにアクセスする機会が増えています。このような企業の管理下にないPCやデバイスでは、OSが最新版に更新されていない、セキュリティ対策ソフトがインストールされていない、といった事態が散見されます。
企業による管理外のデバイスは、セキュリティポリシーに準拠できていないため、マルウェアへの感染リスクも高まります。
今日では、各企業には、私用PC・デバイスも含めたデバイス管理が求められています。
デバイス紛失リスク
残念ながら、私用のデバイスを含め、企業リソースにアクセスするデバイスを把握するだけでは不十分です。社用・私用に関わらず、そのPC・デバイスを紛失してしまうことにより、保存データが外部に流出するリスクもあります。このようなデバイスの紛失によるリスクに対処するために有効な技術のひとつに、リモートでのデバイス管理を行う「MDM(Mobile Device Management)」があります。
内田洋行のソリューションでリモートワーク環境を最適化
ゼロトラストとはあくまでも概念であり、ゼロトラストセキュリティモデルを実際に構築しようとすると、企業のインフラからITシステムまですべてを再構築しなければいけません。よって、ゼロトラストの概念のうち、重要性の高い部分から順に具現化するのが現実的な選択と言われています。
リモートワークで考慮すべき5つのリスクを紹介しましたが、ゼロトラストの概念に基づくと、これらの問題点解決するために次のようなツールを導入すると効果的です。
- IDとパスワードのみで認証することに起因する問題や、管理すべきID・パスワードの増加の問題に対する解決策として、IDとアクセス管理を行う「Azure Active Directory Premium」
- シャドーIT横行の問題やデバイス紛失リスクに対する解決策として、CASBやデバイスとアプリの管理やモバイル端末の遠隔操作により情報漏えいを防ぐ「Microsoft Intune」
- 安定性の低いデバイスに起因する問題に対する解決策として、ファイルにポリシーを適用し、企業のデータを保護する「Azure Information Protection」
- 外部や組織内からの不正なアクセスを事前に検知・分析設定することで、オンプレミスID保護する「Advanced Threat Analytics」
内田洋行では、これら4つの機能を含むライセンスパッケージを「EMS(Enterpにrise Mobility + Security)」として提供しています。
機能を提供するだけではなく、導入支援や管理者用トレーニングもサポートしているため、ITセキュリティ専門家が社内にいない企業であっても、安心して導入できます。
まとめ
リモートワークセキュリティにおいて、ゼロトラストモデルを無視することは難しくなっています。
ゼロトラストの概念を取り入れる際、重要な機能をパッケージした「EMS」を導入することで、全社で一貫性を保ちながらリモートワークに最適化したセキュリティ対策が実施できるでしょう。
