新型コロナウイルスの感染予防策として、在宅勤務などテレワークの実施に踏み切る企業も少なくありません。総務省が発行した「テレワークセキュリティガイドライン」によると、テレワークを実現するためには、ルール・人・技術のバランスがとれた対策を実施することが推奨されております。ルールを定めても、実際にテレワーク勤務者が守らなければ、ルールによる効果が発揮されません。この状況を補完するために、情報セキュリティ対策製品による技術的な対策が必要となります。
そこで本記事では、サイバネットが考える安全なテレワーク環境を構築するために必要なセキュリティ対策についてご紹介いたします。
<目次>
テレワークに使用するPCは管理者の目が届きにくい状態のため、セキュリティホールとなりやすいWindowsアップデートやAdobe製品、Webブラウザの更新などが強制できず、ウイルス感染するリスクが高まります。そのため、最新のセキュリティパッチやウイルス対策ソフトのバージョンが未適用の端末をリアルタイムで把握し、是正処置を遠隔で施せる手法が必要です。
これにはIT資産管理ツールと呼ばれるPCの運用管理を実施するソリューションが非常に有効です。IT資産管理ツールを使えば、セキュリティ状態の可視化はもちろん、操作ログ取得機能の利用により、PCの電源オン/オフ、ログオン/ログオフ時間の取得、ファイルの操作履歴やWebの閲覧履歴などさまざまな操作記録の取得でき、取得した記録はCSVファイルや各種レポートとして出力し、労働時間の把握に活用することができます。
多くのIT資産管理ツールはオンプレミス型の仕組みであるため、社内ネットワークの中で利用されるPCの管理を前提としています。そのため、自宅にあるPCを管理するためにはインターネット経由で管理するための仕組みを構築する必要があります。
新規にIT資産管理ツールを導入する方には、クラウド型IT資産管理ツールの利用をお勧めします。クラウドでの提供となるため、管理サーバーの準備が不要になることと、インターネット接続されているPCであれば、中継サーバーを準備する必要もなく管理することができるので、テレワーク環境下であっても迅速に管理体制を整えられるメリットがあります。
モバイル端末やUSBメモリなどの外部記憶媒体の盗難・紛失対策も不可欠です。データ保護の対策には様々な方法がありますが、抜け道がなく、かつ管理者・ユーザーともに負担が少ない「ハードディスク暗号化」は、PCの持ち出しに対するベストソリューションです。ハードディスク自体を丸ごと暗号化することで、万が一悪意のある第三者の手に渡ったとしても、データを読み出せないように保護することが可能です。
Windows 10には、「BitLocker」というハードディスク暗号化の機能が標準搭載されています。しかし、一元管理ができない、といった課題も残ります。そのため、ハードディスク暗号化の導入予定PC数やセキュリティ要件、不測の事態が発生した時の復旧方法など、さまざまな観点からハードディスク暗号化製品を検討されることをお勧めします。
HDD暗号化ソフトウェア「Check Point Full Disk Encryption」
全国に緊急事態宣言が発令されたのは2020年4月17日でしたが、すでにそれ以前からWeb会議などに必要なWebカメラやマイク、ヘッドセットなどの需給は逼迫しており、入手が難しい状況になっていました。在宅勤務用に配布するノートPCを調達できず、従業員の自宅で使用しているPCをそのまま在宅勤務でも利用してもらうという選択、つまりBYOD(Bring Your Own Device)を導入した企業も少なくありません。
しかし、個人端末をそのまま業務に使用してしまえば、業務上の機密情報が漏洩する危険性が飛躍的に増大します。管理が個人任せになっている端末のセキュリティは、ユーザー本人が考えている以上に脆弱なものなのです。
現在は「緊急避難的」にBYODによる在宅勤務を行っている場合でも、この状況が続いていけば、「アフターコロナの新常態」として定着していく可能性があります。そこでいまこそ着手しておきたいのが、BYODのセキュリティ確保です。そのために必要な要素は、大きく3つあります。
1.端末管理の徹底
2.強固なユーザー認証とアクセス制御
3.端末とアプリケーション間の暗号通信
これら全ての機能を提供できるソリューションとしておすすめしたいのが「MobileIron」です。MobileIronはモバイルデバイス管理、モバイルコンテンツやアプリケーションの管理、認証強化やシングルサインオン、アプリケーション単位でのVPN機能などを提供する、統合エンドポイント管理(Unified Endpoint Management:UEM)製品です。端末OSとしてはWindowsやmacOS、iOS、Androidに対応し、端末にインストールするソフトウェアはApp StoreやGoogle Playなどからダウンロード可能です。またデバイス登録はシンプルなセルフサービスポータルで行うことができ、登録されたデバイスの設定は数回のマウスクリックだけで自動的に実行。登録・設定された端末は、MobileIronコンソールによって集中管理できます。
MobileIronのセキュリティ機能を利用すれば、私物端末でも企業の情報を守ることもできます。MobileIronはスマートデバイスを私用領域と管理領域に分けて管理することが可能です。また、管理アプリから私物アプリへのデータコピーを禁止する事もできるので、私物端末への情報流出を心配する必要はありません。
新型コロナウイルス感染症は主要都市におけるロックダウン(都市封鎖)や外出自粛要請など、人々の生活に大きな影響を与えています。そしてコンピューターセキュリティの領域でも、注目すべき変化が生じています。コロナウイルスに便乗したサイバー攻撃が、急速な勢いで増大しているのです。
エンドポイント保護ソリューションとして代表的なものは古くからアンチウイルス製品がありますが、従来型の定義ファイルベースのアンチウイルスでは防御できない攻撃が多くなってきています。攻撃者はファイルレス攻撃や標的型マルウェアなど従来型のアンチウイルスでは検知できない方法で攻撃を行います。
既知の攻撃はもちろんのこと、未知の攻撃にも対応でき、遠隔地にある端末の安全性も問題なく確保できる製品が、VMware社のクラウドベースの次世代アンチウイルス「VMware Carbon Black Cloud」です。エンドポイントの動作をリアルタイムで分析して防御し、未知の攻撃に対しても保護を提供するということが可能です。
次世代アンチウイルス+EDR「VMware Carbon Black Cloud」
社内へのセキュアなアクセス手段としてはVPNが利用されますが、VPNにはいくつか課題が存在します。まず、全社テレワーク体制を構築するためにVPNの増強が必須であるということです。これまでVPNの導入にあたっては全社員の10%程度の同時アクセスを想定して、機器の選択やライセンスを購入するというのが一般的と言われていました。
今回テレワークを実施するにあたって、急遽増強を検討・実施した企業も多いかと思います。VPN機器の供給が需要に追い付かないという報告も出ています。また、同時アクセス数が足りずに社内へスムーズにアクセスできず、ユーザー業務が少し滞る事態が発生し、急遽ライセンスを増強するという声も聞こえてきました。また、VPNアプライアンス自体が攻撃対象になったり、VPNは一度トンネルがはられてしまうと、その先のリソースアクセスに関してはほぼ無制限になるという課題があります。
Netskope Private Access(以下、NPA)はそのようなVPNの課題を解消する、リモートアクセスの手段です。NPAはPublisherというソフトウェアベースの仮想アプライアンスをVMWareやHyper-V上に構築します。Netskopeで管理されているPCはNetskopeのクラウド環境を介してPublisherとセキュアな通信を確立することで社内リソースに対して安全なアクセスを提供します。
また、全てソフトウェアベースで実現している機能なので、機器の調達も必要とせずPublisherの構築は30分もあれば可能です。、迅速に安全なリモートアクセス環境を実現できるのも大きなメリットとなります。
クラウドベースのリモートアクセス「Netskope Private Access」
クラウドサービスは、インターネットにさえ接続できれば、営業の出先や自宅など、会社外からの業務処理もできるようになっており、営業活動などの効率化や業務改善にも役立ちます。しかし、クラウドサービスは誰もがどこからでも情報にアクセスできてしまうため、利用資格のないユーザーによる不正利用を排除する仕組み、すなわち「認証とアクセス制御、適切なアカウント管理」が必要になります。
「認証」とは、対象となるクラウドサービスを利用できる人を正確に判別して、利用資格のない人の利用を排除することです。「アクセス制御」は、クラウドサービスへのアクセスを企業のポリシーで制御することにより、不正利用のリスクを低減させます。
そこでお勧めしたいのが、IDaaS製品「OneLogin」です。OneLoginは、Office 365やGoogle Apps、Salesforce.com、Box、Slack、zoom、Cybozu.comなどのクラウドサービスを利用している企業向けに、オンプレミスとクラウド間のID連携・シングルサインオンとアクセスコントロールを提供するクラウド型シングルサインオン・アクセスコントロール(IDaaS)ソリューションです。
OneLoginを導入すると、 1回のID・パスワード入力で複数のクラウドサービス・Webアプリケーションを利用することが可能です。また、クラウドサービスの不正利用を防止する多様な認証強化機能を提供しているので、企業で安心して利用することができます。
また、OneLoginは、多くの企業で浸透しているActive Directory(AD)やLDAPといったユーザー管理ディレクトリとの間でアカウント情報の自動連携ができるため、OneLoginへのアカウント追加のために手動作業などは不要です。新入社員が入ってきてADにアカウントが作成されるとOneLoginにも自動的にアカウントが作成されます。
クラウドサービスの中には、個人アカウントで利用されているものもあります。例えば会社でBoxやDropboxを使用し、個人でもこれらを使っているという状況は、ごく当たり前のように見受けられます。この場合、たとえ社内からアクセス可能なクラウドサービスを制限したとしても、個人契約したサービスに機密ファイルをアップロードすることで、情報が漏洩するというリスクが発生します。
そこでお勧めしたいのが、CASB製品「Netskope」です。企業で認めていないクラウドサービスの利用を制御したり、認めているクラウドサービスに対しても、個人アカウントでの利用やクレジットカード番号やマイナンバーを含むファイルを勝手にアップロードできないように抑止することができます。
クラウドサービスを利用する場合は、会社の情報資産を預けることになるため、信頼に足る業者かどうかを慎重に判断する必要があります。Netskopeには、専門の分析部門が世界中のクラウドサービスをトラッキングし、詳細な評価を提供する辞書機能(CCI:Cloud Confidence Index)を有しています。現時点で、33,000種類以上のクラウドサービスに対応しており、Netskopeの管理画面から、いつでも容易に、利用中のクラウドサービスの安全性チェックが可能。IT部門はセキュリティレベルの低いクラウドサービスを把握し、適切な対応を取ることができます。
ファイルサーバーにビジネスファイルを保管している場合、テレワーク従事者はVPN経由による社内ネットワークへのアクセス、もしくはVDI(仮想デスクトップ)によるリモート接続によって、ファイルサーバーにアクセスできるようになります。しかし、これらのインフラを導入・運用するには多大な費用がかかり、また、ネットワーク環境によっては、VPN接続が不安定になることも考えられます。
クラウドストレージ・コンテンツ管理のBoxを利用すれば、インターネット接続さえできれば、自宅や外出先からでもいつでも最新のビジネスファイルにアクセスし、チームでの情報共有を用意に実現可能です。
IT資産管理/ソフトウェアライセンス管理ツールQND Advance 全世界で1200万ライセンスの出荷実績があるHDD暗号化ソフトウェアCheck Point Full Disk Encryption モバイルPCのセキュリティ維持と可視化を実現!FIBERLINK MaaS360 Desktop 最低限のコスト・期間で、安全な仮想デスクトップ環境を実現!Check Point GO 全世界で1200万ライセンスの出荷実績があるHDD暗号化ソフトウェアCheck Point Full Disk Encryption 国内外拠点、自宅、リースなどあらゆる場所のデバイスを管理サイバネットクラウド PC・スマートデバイスをクラウドで一元管理サイバネットクラウド システム復旧ソリューション Symantec System Recovery システム管理ソリューションSymantec Altiris Client Management Suite サイバネットITソリューション製品 Windows 7対応状況 簡単・低コストでIT資産管理、セキュリティ対策を実現サイバネットクラウド キッティングツールの利用で、セットアップを簡単・スピード化Symantec Ghost Solution Suite 簡単・低コストでHTML/Flashの自習教材を作成epiplex500 未知の脅威もブロック、エンドポイント総合セキュリティ対策 Symantec Endpoint Protection パスワードの使い回しを防ぎ、強度を高める シングルサインオンサービス ハードディスク暗号化で、情報漏えいを防止 Check Point Full Disk Encryption 持ち出しPCからのウイルス感染を防止する Symantec Endpoint Protection 端末管理[MDM]からセキュリティ対策まで PC&モバイル管理サービス 1度の認証で複数システムへのログインを可能にする クラウド型シングルサインオンサービス 二要素・二経路認証サービス PhoneFactor