働き方改革のために、セキュリティをどうすべきか――。ITmedia エンタープライズが開催したセミナー「働き方改革のリアル」で行われた講演では、この難題をクリアするための考え方やさまざまなツールが紹介された。
多様な働き方を認める「働き方改革」。さまざまなデバイスやOS、ネットワークを活用する、モバイルワークやリモートワークには、常にマルウェア感染や情報漏えいのリスクがつきまとう。利便性とセキュリティは常にトレードオフの関係にあると言ってもいい。
ITmedia エンタープライズが2018年3月に開催したセミナー「働き方改革のリアル」では、“働き方改革のために、セキュリティをどうすべきか”というテーマで多くの講演が行われた。セキュリティトラックの基調講演には、ゲヒルンの代表取締役であり、さくらインターネットのCISOでもある石森大貴氏が登場した。
小学生のころから“ハッキング”をしていたという石森氏。講演の冒頭では、働き方改革におけるセキュリティについて、「ネットワークの安全性をいかに確保するかが最大の問題」と述べた。例えば、在宅勤務を行うケースで、無線LANのセキュリティ対策をきちんと行っている人はどれだけいるだろうか。
外出先で公衆無線LANを使うときもリスクはある。最新の公衆無線LANではセキュリティプロトコルとしてWPA2-PSKが用いられているケースは多いが、全てのクライアントが同一のパスワードを使うため、石森氏によれば「『4-way handshake』段階からネットワークの内部を見ていれば、個々のクライアントで設定される暗号鍵(GTK)を導き出すことも不可能ではない。その場合、通信内容を盗聴される可能性がある」という。
また、安全そうに見える“偽の”公衆無線LANのアクセスポイントを作るアプリケーションがあることも指摘。ルーター設定画面、認証画面、接続画面の偽物を表示させることで「セキュリティ対策のリテラシーがそれほど高くない人であれば、だまされてしまう可能性がある」(石森氏)という。携帯電話のSIMを使って相互認証を行う「EAP-SIM認証」であれば、偽のアクセスポイントには接続しないため、比較的安全性が高いそうだ。
一方、公衆無線LANだけではなく、社内ネットワークも安全とは限らないと石森氏は言う。ひとたび社内ネットワークに侵入されると、「内部だから安全」という前提が破綻してしまうためだ。働き方改革によって、リモートワークが多くなることで、社外と社内を分け、ファイアウォールやアンチウイルスなどで内部を守る「境界防御」に限界が来る、と石森氏は警鐘を鳴らす。
Copyright © ITmedia, Inc. All Rights Reserved.