徳丸氏と振り返る「結局テレワークで何が危なかったのか」インシデントの真因、これからの前提：「怖い」だけでは対処できない新しい潮流

突然やってきた「強制テレワーク」でセキュリティはどう変わったか。Zoomの安全性はどのくらい「まとも」なのか。テレワークの現状と実際に起こった日本国内でのインデントから何を学べばよいか。セキュリティの専門家、徳丸 浩氏の講演かから、これからのセキュリティの「前提」をアップデートしよう。

[宮田健，ITmedia]

　2020年春から世界的に猛威を振るい始めた新型コロナウイルス感染症（COVID-19）。感染拡大を防止するための措置として日本でも多くの企業や組織が緊急で全面的なテレワークを実施することとなった。ここで注目を集めたのが、特別な機材がなくてもオンライン会議が可能なWeb会議サービスだ。

　この時、利用者が急速に増えたWeb会議サービスの筆頭が「Zoom」だろう。このZoomを運営する米Zoom Video Communicationsは、サービスの利用が増えるにつれ、大きな批判に晒されることとなった。利用者が増えるのと同時に、実装の脆弱（ぜいじゃく）性やサービス設計上の脆弱な仕組み、暗号化利用モードの不備、経路問題などの数々のセキュリティ面での問題が指摘されたのだ。

　せっかくWeb会議ツールが注目を集めたにもかかわらず、こうした報道がきっかけとなって、「Zoomは便利だが、業務で利用するのは怖い」という印象を与えた。だが、問題の本質はそこではない。テレワークで従業員の執務環境が大きく変わったことから、企業が対応すべきセキュリティリスクの性質も変化した。Zoom爆撃の他にも従来想定しなかった攻撃にさらされた企業もある。

　オンラインイベント「ITmedia Security Week 秋」では『体系的に学ぶ 安全なWebアプリケーションの作り方』の著者としても知られるセキュリティの専門家でEGセキュアソリューションズの徳丸 浩氏を招き「テレワークが当たり前な時代におけるセキュリティの勘所」と題したセッションを開催した。本稿はその内容から、緊急対応を求められた当時から半年ほどが過ぎた今、改めてテレワーク時代のセキュリティ対策の勘所を紹介する。

講演する徳丸 浩氏

テレワークの現状は？　数字で見る主要な「スタイル」と使い分け

　セッション冒頭で徳丸氏は、日本スマートフォンセキュリティ協会による「テレワーク状況とセキュリティに関するアンケート調査レポート」（注1）の数値を示した。

　2020年7月22日に発行されたこの調査では回答者の52.8％が「新型コロナウイルスを機に」テレワークを実施したと回答している。その際、テレワークが指す内容は「社内外のオンライン会議」が過半数を占めており、利用するサービスの上位は「勤務先のネットワーク上にあるファイルサーバー」（54.4％）、「Office 365やG Suite」（36.6%）（注2）、「勤務先がクラウドに設置したファイルサーバー」（35.9％）、「勤務先が採用する独自のシステム」（35.2％）などが挙げられている。

図1　テレワークの現状（出典：日本スマートフォンセキュリティ協会「テレワーク状況とセキュリティに関するアンケート調査レポート」）《クリックで拡大》

　ここからも分かるように、テレワークのスタイルは次の3つの形態に分けられると徳丸氏は述べる。

• VPNで社内ネットワークに接続する
• VDI（Virtual Desktop Infrastructure：仮想デスクトップ）
• クラウド（SaaS）の活用

　このうちVDIは注目されたものの広く浸透したわけではないため、調査結果にあるとおり、実際は「VPNで社内に接続する」「クラウドサービスであるSaaSに直接接続する」のいずれかが主な接続経路だったと推定する。さらに、SaaS利用に関してはセキュリティ対策を強化する意味で、直接接続だけでなく、VPNを介して社内に接続した後にプロキシ経由で接続する方式もあり、組織のポリシー次第で運用されている状況だ。

注1：「テレワーク状況とセキュリティに関するアンケート調査レポート」（日本スマートフォンセキュリティ協会）
注2：調査時点のサービス名称による。

過去の事例に学ぶ境界防御型セキュリティ、運用の危うい「穴」

　ここに挙げたテレワークの3形態をどう選択するかは「境界防御をどう考えるか」がポイントとなる。以降では境界防御の議論のおさらいと、2020年5月に発生したテレワークを端緒とするインシデントの実例からポリシー策定の考え方、今後の設計の在り方を見ていく。