「あまりに危険です」──コロナ禍でテレワークに移行する企業が急増　情報セキュリティの新常識とは？　立命館大の上原教授に聞く

» 2020年09月18日 10時00分公開

[PR／ITmedia]

　新型コロナウイルス感染症のパンデミックによって、多くの企業がテレワークによる在宅勤務を実施するようになった。しかし、4月の緊急事態宣言にあわせて“突貫工事”のように導入した企業も多く、セキュリティ対策に不安を覚える企業は少なくないはずだ。

　まさに未曾有ともいえる事態によって、企業のセキュリティリスクにどのような変化が起きているのか。情報セキュリティ分野の第一人者である立命館大学情報理工学部の上原哲太郎教授に話を聞いた。

十分なレベルに達していないテレワークセキュリティ

　もともと働き方改革の一環として徐々に認知が広がっていたテレワークや在宅勤務だが、コロナ以前にしっかりとした環境を整えられていた企業は一部に限られていた。そんな中、突然のコロナ禍によって、必要なシステムや環境を十分に検討、検証しないまま急きょテレワークの導入に至った企業も多い。

立命館大学情報理工学部の上原哲太郎教授

　結果的にテレワークの実施になんとか至ったものの、解決すべき課題が山積みであることも多い。とりわけ喫緊の課題といえるのがテレワーク環境のセキュリティ対策だ。上原教授は、コロナ禍によってテレワーク環境を導入、整備した企業のセキュリティリスクが高まっていると警鐘を鳴らす。

　ほとんどの企業の内部ネットワークは、外部との境界にファイアウォール、ISD/IPS、マルウェア対策などの機能を備えたゲートウェイを設置してセキュリティを担保している。ここにテレワーク環境を追加するため、VPN（仮想プライベートネットワーク）を導入すると、ゲートウェイに穴を開けて外部から内部ネットワークへシームレスにアクセスできるようになるが、同時にセキュリティリスクも高まる。

　上原教授によると、企業はテレワークを急いで実施できるようにその場しのぎでVPNを導入したケースが多いという。

　「企業はテレワーク環境の稼働、運用を優先し、必要なセキュリティ対策を後回しにしている場合があります。コロナ禍によってテレワークの実施が一時的ではなく恒久的になろうとしている今、テレワーク環境のセキュリティ対策を十分なレベルまで高めずに運用を続けることは、あまりにも危険です」（上原教授）

テレワーク端末を狙った脅威が急増中

　コロナ禍以降、実際にテレワーク環境を標的にした攻撃が多発している。具体的な攻撃手法は千差万別だが、主に狙われるのは社員のテレワーク端末だ。

　「その場しのぎの例で最も多いのはBYOD（個人端末の業務使用）で、従業員が所有するPCにVPNクライアントを導入してもらい社内システムにつなぐというものです。この場合、多くの社員は社内システムから必要なデータを自分のPCに移して仕事をしますが、これは最も危険な行為です。実際にある日本企業では、社員のテレワーク端末に感染したマルウェアがID／パスワードを窃取してVPNを突破し、内部ネットワークへ侵入したことが確認されています」（上原教授）

　多くの企業ではセキュリティリスクを排除するために、業務用PCの持ち出しや業務の持ち帰りを禁止していることが多い。テレワークを実施する際にも、この規則がそのまま運用されていると、どうしてもBYODとVPNに頼ることになってしまう。

　個人所有のPCは一般的にセキュリティ対策が極めて脆弱であり、脅威に対して丸裸のような状態だ。攻撃者が放った脅威はそんなPCにいとも簡単に侵入してしまう。テレワークに不慣れな社員を巧みにフィッシングサイトへ誘導して、内部ネットワークへのアクセス認証情報を窃取することもある。

　新型コロナウイルス感染症の波が徐々に落ち着きを見せはじめているが、当面の間は在宅勤務を続けるという企業も出てきている。本格的なテレワーク時代が始まった今、企業が対策を講じるべきセキュリティリスクはテレワーク端末にある。

テレワーク環境に最適なセキュリティ対策とは

　では、テレワーク環境のセキュリティを強化するには、どのような方法が有効と考えられるのか。上原教授が推奨するのは、社員が持ち帰ることができる業務用PCをテレワーク端末として配布し、閉域網経由で内部ネットワークへVPN接続して、画面転送型のVDI（仮想デスクトップ基盤）やリモートデスクトップを利用するという方法だ。社内システムのデータを手元のPCで扱うことがないので、万一PCを紛失したり盗難に遭ったりしても機密情報が漏えいするリスクを低減できる。

　もう一つ、上原教授が有効性を訴えるのが、「ゼロトラスト」の考え方に基づくセキュリティ対策手法を取り入れることだ。パブリッククラウドサービスを利用する機会が増えた今、従来の境界型防御のセキュリティ対策では内部ネットワークのオンプレミス環境とクラウドサービスを連携させることが困難だという。

　「この課題を解決するには、全てのユーザー、全ての端末を信頼できないリスクと捉え、内部ネットワークにある各システム、アプリケーション、データにアクセスする度に認証処理を行うゼロトラストの仕組みを導入することが適しています。現時点ですぐに移行することは難しいですが、テレワークが当たり前になるニューノーマルの時代において、ゼロトラストは必然になるべきセキュリティソリューションだと考えています」（上原教授）

サプライチェーン全体を巻き込んで投資を促す

　VDIやリモートデスクトップ、ゼロトラストの仕組みなどを導入することで、テレワーク環境のセキュリティ強化が期待できることが分かった。ただし、こうした整備に取り組むには「コスト」という越えなければならないハードルが立ちはだかっている。

　上原教授によれば、大阪商工会議所と神戸大学の森井昌克教授が中小企業を対象にセキュリティに関する調査を実施したところ、セキュリティ対策への投資が年間50万円に満たない企業が8割以上もあったという。

　「特に日本企業はセキュリティ対策に投資するだけの余裕がないと考える傾向にあり、実際のセキュリティ対策も取引関係にあるベンダー任せというケースも多く見受けられます。大企業がCISO（最高情報セキュリティ責任者）を置いてセキュリティをマネージしているのに対し、中小企業では誰がマネージしているのか分からないといった状況です」（上原教授）

　中小企業ではセキュリティインシデントが頻発していても、対策が進まない理由を上原教授は次のように話す。

　「2019年に日本企業を狙った『Emotet』（エモテット）というマルウェアが流行し、多くの中小企業にも感染被害がありました。ところが中小企業の多くは、Emotetに感染しても『懐が痛んだ』とは考えません。ランサムウェアの被害を受けた場合も同様であり、『PCが壊れた』という程度にしか感じていないのです。そのためにセキュリティへの投資が進まない状況が続いています」（上原教授）

　上原教授はセキュリティ対策への投資を促すために、サプライチェーン全体のリスクを啓蒙していくことが大切だという。例えばある中小企業が「ビジネスメール詐欺」の踏み台になったとすると、その企業は取引先から二度と取引してもらえなくなる可能性がある。また、見積書・契約書をはじめ、商取引に必要な書類や伝票類のデジタル化が今後進んだとき、マルウェアに感染して勝手に決済されてしまうような事態を招けば、会社の存亡にかかわる。

　「サプライチェーン全体のリスクを訴え、サプライチェーンを構成する全ての企業にセキュリティを担保することを取引の条件にすれば、中小企業も投資に本腰を入れざるを得ない状況が作れるかもしれません」（上原教授）

テレワークを実施する社員の教育も重要

　上原教授はもう一つ、在宅勤務やテレワークを実施する社員への協力要請、教育の必要性を訴える。

　「Emotetに代表されるように、最近のマルウェアは巧妙さを増しており、マルウェア対策だけでは確実に防御しきれなくなっています。そのために重要になるのが、不審なURLをクリックしたり、不審な添付ファイルを開いたりしないということです。最近の標的型メールの中には、違和感のない日本語で書かれたものも出現しています。こうしたメールにだまされないように気を付けることを周知徹底させるだけでも、リスク軽減につながります」

　また、有効な対策として挙げたゼロトラストという考え方に含まれる多要素・多段階認証をうまく運用していくためには社員の協力が欠かせない。生体認証や携帯電話のSMS（ショートメッセージサービス）による認証は社員にちょっとした手間をかけるものではあるが、運用に慣れさえれば必ずセキュリティは強化されていく。

　「セキュリティ対策にパーフェクトはない」と上原教授。テレワーク環境に効果的なセキュリティ対策をできるところから講じていくことが、セキュリティリスクを軽減させるのは間違いないだろう。

PC単体で高度なセキュリティを確保する日本HPのビジネスPC

　管理者の目の届かないところで業務が遂行される環境に移行しつつある中、企業の情報セキュリティリスクを最小限に抑えるために何ができるか。まずは確かなセキュリティ機能を搭載した業務用PCを取り入れることから始めてみるのがおすすめだ。

　日本HPが自社のビジネスPCに標準搭載するセキュリティ機能は、サイバー攻撃によるPCの異常やウイルス／マルウェアの侵入を自動で検知し、元の安全な状態に自動で復旧する機能を備えている。

　例えば「HP Sure Sense」は、既知のウイルス／マルウェアのリストに基づいてチェックを行う従来型のウイルス対策ソフトとは異なり、独自のAIが未知のウイルス／マルウェアの約99%を最短20ミリ秒（1ミリ秒は1000分の1秒）で検知。OSに標準搭載されているWindows Defenderとの併用で、ウイルス／マルウェアからゼロデイ攻撃やランサムウェアに対策できる。

　さらにウイルス／マルウェア感染をなかったことにする「HP Sure Click」という機能も強力だ。仮想化技術を利用してWebブラウザやMicrosoft Officeをハードウェアレベルで完全に隔離された仮想マシン内で実行することで、ウイルス／マルウェアが組み込まれたサイトの閲覧や、不正なファイルのダウンロード、メールの添付ファイルを開いてしまっても、PC本体やOSには影響がなく、そのページのタブやアプリケーションを閉じるだけでウイルスやマルウェアは自動的に削除される。

　日本HPはHP Sure Sense、HP Sure Clickを含む多数のセキュリティ機能を「HP Sureシリーズ」として自社のビジネスPCシリーズで展開。特に上位モデルの「Elite」シリーズでは「HP Sureシリーズ」の全てが標準機能として搭載されている。