「にわかテレワーク」で見えてきた想定外のセキュリティー課題に、どう対応?

  • 情報セキュリティー
  • 2020.06.29

世界中に感染を広げた新型コロナウイルス。日本では2020年5月下旬に緊急事態宣言が解除されましたが、社会生活やビジネスは大きく様変わりしています。テレワークが本格的に導入されるようになったのも1つです。もともと、テレワークは働き方改革の一環として推奨されていましたが、コロナ禍により一気に導入が広がりました。
コロナ禍以前からテレワークを進めてきた企業は、在宅勤務に必要なIT環境やセキュリティー対策の準備がある程度できていたかもしれません。しかし、急遽、テレワークを導入することになった多くの企業にとってさまざまな課題に直面することになりました。

今なお先行き不透明な状況ですが、私たちがすべきことはテレワークを含めた新たな働き方に対して、IT環境を整備し、セキュリティーを担保しながら、ビジネスを継続・成長させていくかを検討し、実行することです。ここでは、コロナ禍のテレワークで見えてきた課題を整理し、その解決策を考えてみたいと思います。

ANNEX_blogSecTips

Web会議の落とし穴となるシャドーIT

テレワークに必要な「三種の神器」といえば何でしょうか。①Web会議、②リモートアクセス環境③ファイル共有の3つが挙げられます。テレワークに関わるICT環境が整っている企業と、整っていない企業で差が出るのがこの「三種の神器」といえるでしょう。

まず、Web会議です。コロナ禍以前から、在宅勤務やリモート拠点とのミーティングなどでWeb会議を活用していた企業も多いと思います。そうした企業では、会社が認めたツールを使って在宅でWeb会議を行うことができました。
一方、会社として原則在宅勤務となり、急遽Web会議が必要になった企業も少なくありません。ITベンダーなどにWeb会議の導入を依頼する企業のほか、Web会議ツールの導入を社員任せにする企業も見受けられました。
主要なWeb会議ツールは機能が制限されているものの、無償版(*)が提供されています。社員任せの場合、IT部門などが管理できず、いわゆるシャドーITとなり、セキュリティーリスクが高まる懸念もあります。

【ご参考1】ユニアデックスのエンジニアが紹介する無償Web会議システムの一覧

【ご参考2】Google MeetとMicrosoft Teamsの手順書を紹介

一部のWeb会議ツールでは、不正なリンクをクリックすると認証情報が盗まれるといった脆弱性が指摘されました。その後、Web会議ベンダーは修正プログラム(パッチ)を公開し、早急に対応しましたが、不安を抱いたユーザーも多かったことでしょう。

次にインターネットです。コロナ禍を契機に、テレワーク時にWeb会議ツールを使って部門内のミーティングなどを行うことも一般的になりました。その際、どこのネットワークを使用していたでしょうか。自宅からVPN(Virtual Private Network)を使って社内ネットワークに入り、Web会議を行っていたという企業も少なくないはずです。しかし、想定外の事態が起きた企業も多かったのではないでしょうか。
一部の人がテレワークしていたときとは異なり、ほぼ全社員がテレワークに移行したことにより、社内ネットワークへのアクセスが集中。ゲートウエイに増大な負荷が掛かることで動作が遅くなるといったケースも見受けられました。
とりわけ、リアルタイムの接続性が求められるWeb会議ではゲートウエイやVPN機器の過負荷によってレスポンスが遅れるようでは、円滑なコミュニケーションは望めず、会議の生産性も低下する恐れがあります。

そこで、自宅から直接インターネットをつないでWeb会議をしていたという人もいたのではないでしょうか。当人にとっては、会社のセキュリティーポリシーに反する行為であっても、非常事態・緊急事態だから仕方がないというわけです。こうした、シャドーITのような使用方法では企業のセキュリティーは担保できません。
どんな場所でも安全・安心に利用できるICT環境の構築が重要になるのです。

Web会議やテレワーク時のファイル共有が課題

Web会議中や在宅勤務中のファイル共有が課題となった企業も少なくないでしょう。例えば、Web会議ツールの画面共有機能を使ってファイルを共有しながら、ミーティングを行うことも一般的になりました。ところが、会社から許可されていないWeb会議ツールにファイルをアップロードして共有する場合、セキュリティーポリシー違反になる可能性があります。

また、社内にオンプレミスのファイルサーバーがある場合、テレワークでは一旦、社内ネットワークに入らなければファイルを閲覧、共有することもできません。そこで、無償のファイル転送サービス、オンラインストレージをシャドーITとして利用するケースも見受けられます。社内で勤務していたときには気にもならなかったファイルの取り扱いがテレワークで大きな課題となっていたのです。

このほか、テレワーク時のセキュリティーリスクとして挙げられるのが迷惑メールです。社内で利用するメールはフィルタリングされ、迷惑メールが届くことは稀でした。ところが、テレワークではセキュリティー対策が脆弱な個人用のWebメールが利用されることもあります。テレワークで利用が拡大したオンラインショッピングサイトなどを騙って攻撃者が迷惑メールを送り付け、偽のサイトに誘導してマルウエアを感染させたり、個人情報を窃取したりするケースも増えています。

同様に自宅から業務外のWebサイトにアクセスしたり、攻撃者のサイトに誘導されてID、パスワードなどが盗まれたりする恐れもあります。社内であればURLフィルタリングなどネットワークレベルのセキュリティー対策が講じられていますが、自宅では端末レベル、ユーザーレベルのセキュリティー対策が課題となります。
例えば、ユーザー認証後、ユーザーごとに利用できるアプリケーションを制御したり、アクセスログを取得したりするなど、いつ、どこで、誰がどのような情報にアクセスしたのかといった、ユーザーに紐付くアクセス制御がテレワークでは必要です。

テレワーク時代に必要なクラウドシフト

テレワークの課題として見えてきたのは、セキュリティーポリシーを含め、社内ネットワークに構築されたオンプレミスのシステムやアプリケーションを前提としたICT環境、セキュリティー対策では対応に限界があるということです。そこで、クラウドを前提としたシステム、アプリケーションに移行するクラウドシフトが求められます。
例えば、オンプレミスからクラウドのゲートウエイセキュリティーに移行することにより、トラフィック増加による過負荷の解消ができ、テレワーク時のWeb会議も快適に行えます。

そして、自宅などからインターネットにアクセスする際にもクラウドのゲートウエイを経由することでURLフィルタリングや、アプリケーションのアクセス制御などのセキュリティーを含め、社内・社外を問わずWebアクセス時に同一のセキュリティーポリシーを適用することが可能です。

ファイル共有もクラウドサービスを利用します。Web会議でファイルを共有する場合、ファイルへのアクセス権限やユーザー認証などの制御機能を用いてコンテンツを保護したり、ログを取得したりすることでセキュアにファイル共有できます。テレワークのみならず、平時の勤務でもクラウドベースのファイル共有、ストレージサービスを活用することで、デバイスや場所の制約なく安全にファイルの共有や編集が可能です。また、メールの添付ファイル送信に代えてファイル共有サービスを利用することで、メール誤送信による情報漏えいリスクの回避も可能です。

シャドーIT対策などセキュリティーガバナンスの確保や、ゲートウエイセキュリティーと連携したログの分析により、ユーザーのクラウドサービスの利用状況を把握、可視化に役立つのがCASB(Cloud Access Security Broker)です。シャドーITでリスクの高いクラウドサービスの利用や、ポリシー違反のデータアップロードをブロックするなど、安全なクラウドサービスの利用が可能です。

テレワークのICT環境、セキュリティー対策に欠かせないのがクラウドベースの認証基盤(IDaaS)です。フィッシングなどでID、パスワードを盗み取り、本人に成りすまして不正アクセスするインシデントも発生していますが、多要素認証などによる本人認証が可能なIDaaSを活用し、ID、パスワードの一元管理が行えます。また、クラウドサービス側でパスワードを持たない認証方式のSAML(Security Assertion Markup Language)に対応するなど、クラウドの利用にIDaaSは必須といえます。

こうしたクラウドネーティブのソリューションの導入とともに、テレワークに対応したセキュリティーポリシーやルールの見直しを行い、ユーザーに周知・徹底する必要があります。コロナ禍でICT部門は大変だと思いますが、テレワーク対策のみならず、自社のICT環境とセキュリティー対策を見直すチャンスと捉えたいものです。

 

おすすめ記事

すぐにできる!
リモートアクセス環境

ANNEX_ServiceOkta

なぜ、Boxは企業に支持されているのか?
働き方改革とセキュリティー強化を実現

識者が語る
クラウド時代のセキュリティBCP

ANNEX_nict_sub