今こそ見直すコロナ禍のセキュリティ ニューノーマル時代へ備えるために

[PR／ITmedia]

PR

　新型コロナウイルス感染症の緊急事態宣言がされて以来、コロナ禍は企業や人々に大きな変化をもたらした。中でも、多くの企業は事業を継続するためにテレワークを急きょ導入することになった。

　「デジタルトランスフォーメーションを最も推し進めたのはコロナ禍だった」──そんな声もある。しかし、急なテレワークへの対応で、置いてきぼりになりがちだったのがセキュリティやガバナンスだ。これらの対応が遅れれば、攻撃者にとっては“格好の的”だ。事業継続のためのテレワークが、かえって企業に深刻な被害をもたらすことも考えられる。

ソフトバンク セキュリティエバンジェリスト澤入俊和氏
（法人プロダクト＆事業戦略本部　セキュリティ事業統括部
セキュリティサービス第２部 サービス推進課）

　コロナ第1波は過ぎたものの、引き続きテレワークは重要視されている。そのためセキュリティやガバナンスの対応策を今のうちに講じておくことが必要だ。2015年から自社でもテレワークを推進し、さまざまなテレワークソリューションを提供しているソフトバンクに、 “withコロナ、afterコロナ”に備えるためのポイントを、同社のセキュリティエバンジェリストである澤入俊和氏にリモートで話を聞いた。

リモートワーク環境の確認すべきポイント

　今回の緊急事態宣言に伴い、急きょテレワークを余儀なくされ、企業内ネットワークになんとかして外部から接続し、業務を遂行することになったケースが多かったのではないだろうか。しかし、いきなりテレワークの利用・対象範囲を広げるのは「セキュリティ対策を緩める」行為でもあったはずだ。

　突然のテレワーク開始から一段落たった今だからこそ、企業は5つの観点でセキュリティ対策を見直すべきだと澤入氏は指摘する。そのポイントとは「認証」「接続先」「デバイス」「自宅環境」「セキュリティポリシー」だ。

　多くの組織が実施しているリモートアクセスにおいて、まず重要なのは認証だ。一般的には、IDとパスワードで資格情報を確認し接続許可している場合が多いだろう。

　「テレワークの急激な普及によってリモートアクセスの利用範囲が拡大しています。ID・パスワードだけの認証では不正アクセスを引き起こす可能性がある。だからこそ証明書を組み合わせるなど『多要素認証』の仕組みを導入すべきです」と澤入氏は指摘した。

　接続先もクラウド（SaaS・IaaS）、オンプレミスと多岐に渡る。接続するユーザや用途に対して、最低限必要なアクセス権を付与することが重要だ。

　テレワークに使用するデバイスの強化も必要だ。テレワーク時の環境は社内ネットワークと異なりファイアウォールなどで守られていない可能性があり侵入のリスクが高まる。そのため、侵入された場合に検知できる仕組みが必須だ。

　また、企業によっては突然始まったテレワークで、従業員の私物PCを利用せざるを得ない状況も発生した。いわゆるBYOD（Bring Your Own Device）だ。私物PCは一般的に、社用PCと同水準のセキュリティ対策が施されているケースが少ない上、どのような環境なのか管理者が把握できない場合が多い。

　「社内システムへのアクセス時はリモートデスクトップを利用し、私物PCのセキュリティ対策状況に依存しない体制を築く事が重要です。さらにはその通信経路が、盗聴や改ざんの可能性がある怪しい無線LANを経由していないかどうかも確認する必要があります」と澤入氏。

　テレワークという慣れない環境下で、人的ミスによる情報漏えいなども想定できる。「今テレワークがうまく回っているからそれでいい、という問題ではありません。環境を整えると同時にテレワークを想定したセキュリティルールの策定が必要です」と澤入氏は警鐘を鳴らす。

セキュリティ対策、まず何から始めるべき？

　今回の緊急事態では、企業のセキュリティ対策が必要とされる範囲がオフィス内から従業員の自宅まで広がった。そのため、社外でいかに安全性を担保しつつ通信経路を確保し、業務を遂行させるかが重要だ。先述したように、「認証」「接続先」「デバイス」「自宅環境」「セキュリティポリシー」を意識して対策を強化することが求められる。

　だがそもそも、自社に最も必要なセキュリティ対策が何かを把握できていない場合も多いだろう。実際、ソフトバンクに寄せられる相談も、特定のソリューションの検討以前に「どういうセキュリティ対策を取るべきか」と始まることが多いという。「お客さまとの話し合いの中で導入するソリューションを見定めていくケースが非常に多い」と澤入氏は話す。

　そうしたニーズにスムーズに応えられるようにするため、ソフトバンクではさまざまなヒアリングツールを提供している。中でもコロナ禍で有用性の高いものの一つに「テレワークリスク診断」がある。この診断は、いくつかの項目に答えることで、その企業が安全にテレワークに取り組む上で重要性の高いセキュリティ対策ポイントが分かるものだ。

　「これにより、リモートアクセス環境の見直しができ、ポリシーの過不足チェックも可能になります。行うべきセキュリティ対策の洗い出しにぜひ使ってみていただきたい」（澤入氏）

働く場所にとらわれないゼロトラストセキュリティ対策

　セキュリティ上の課題が見えてきたら、具体的にはどのような対策方法が考えられるだろうか。

　テレワークを推進する上でクラウド活用は避けて通れない。クラウドを安全に使うにはどうすればいいのだろうか。例えば、クラウド型Webプロキシサービス「Zscaler」では働く場所にとらわれず統一されたポリシーを適用できる。さらにEDR（Endpoint Detection and Response）で対策をしているデバイスのみに社内ネットワークやクラウドサービスへの接続の許可を設定することで、よりセキュリティを高めることが可能だ。

　澤入氏は「単一のソリューションの導入で終わりにするのではなく、それらについてMSS（Managed Security Service）による横断的な運用、分析をすることも有効です」と話す。

　活用頻度が増えているモバイル端末のセキュリティ対策も求められている。端末というとPCにばかり目を向けられがちだったが、モバイルを狙った攻撃も多数確認されている。

モバイルに特化したMTD（Mobile Threat Defense）で脅威を検知し、MDM (Mobile Device Management)で端末のロックなどの対処を自動で行う対策が有効だ。

afterコロナを生き抜くIT環境の第一歩

　新型コロナウイルス感染拡大が企業にもたらす負の影響は大きいが、これをきっかけにIT環境の見直しをすれば、事業継続性を高め、より強い企業へと成長できる。そのためには、企業のニーズに寄り添って最適な環境を提案できるパートナーが必要だ。

　ソフトバンクは通信キャリアとしてリモートアクセスのインフラに加え、Web会議などのコミュニケーションツールまで幅広く取り扱っている。また、ソフトバンク自身も、コロナ以前からセキュリティを担保した上でテレワークを積極的に実施し、ノウハウを蓄積して企業への支援に繋げている。「ニューノーマルという誰もが経験をしたことがない時代に対応するために何ができるか。お客さまの描いている将来像を一緒に作り上げて行きたいと考えています」（澤入氏）。

　afterコロナの世界では、これまでのビジネスの常識は変わってしまうかもしれない。そんな“ニューノーマル”時代の企業経営に向けた第一歩として、テレワークリスク診断を依頼してみるだけでも、大きく視界が広がるはずだ。