在宅勤務中の従業員にオフィスと同等のセキュリティを提供することはできないかもしれませんが、それに近いレベルのセキュリティを実現することは可能です。この記事では、そのためのアイデアをいくつか紹介します。

3月の中旬にCOVID-19の隔離が始まったとき、かつてない事態が起きてリモートワーカーの数が予想以上に急増しました。

これについて、Sophos社の脅威研究者であるSean Gallagher氏は次のように述べています。「これほどの規模の出来事としては911しかないのではと思われますが、それはかなり局所的なものでした。3月に起きたことは、このような国内の出来事とはまったく異なります」。

同氏は当時、ニューヨークの企業の従業員としてボルチモアからリモートワークを行っていましたが、ニューヨークにいた他の従業員はすべて、数週間働く場所を失いました。

そしてこれについて同氏は、次のように語っています。「私たちは1か月近くオフィスがない状態でビジネスを行う方法を考え出さなければなりませんでしたが、それはごく一部の地域の出来事であり、今直面している問題ははるかに広範囲に及びます」。

 

局所的な危機とグローバルな危機

COVID-19に関して大部分の企業が経験しているであろうことと最も近いのは、どれも局所的な危機であるハリケーンなどの自然災害のようなものではないかと思いますが、今回の危機は、リモートワーカーに対応するために企業が立てた計画の範囲を超え、これもまた想像を絶するレベルの不安をもたらしてきました。

これについてGallagher氏は、次のように述べています。「大部分の企業のディザスタリカバリ/事業継続計画には、このような危機は盛り込まれていませんが、従業員がオフィスにいない状態で柔軟に事業を継続できるようにする必要があるという点で前例がないというわけではないのは確かです」。

さらに、リモートワークへの大規模な移行は、(Hewlett Packard Enterpriseのサーバーソフトウェアおよび製品セキュリティ担当ディレクターであるBob Mooreによると)「多くの場合に (正直なところ常に) サイバーセキュリティリスクの最も手に負えない部分である」人的要素を悪化させます。

どの大規模組織も一部のユーザーに在宅勤務を要請している可能性はありますが、ほぼ全員を在宅勤務にしようとした組織は最近までほとんどありませんでした。既存のセキュリティツールやセキュリティ手順が不十分な場合、こうした状況に対応するには、実際のところどのような対策を講じる必要があるのでしょうか。

私たちが数人のセキュリティエキスパートに3つの質問をしたところ、次のような回答が返ってきました。

 

リモートワーク環境のセキュリティを確保するためにどのような対策を講じることができますか: VPN、ウイルス対策、Two-Factor認証

私たちが話したコンピューティングセキュリティのスペシャリストからは、セキュリティが緩く脆弱な個人のネットワークではなく、企業のネットワークですべてのアクティビティが行われるよう、まずはコンピューターに仮想プライベートネットワーク (VPN) を導入する必要があるという答えが共通して返ってきましたが、オフィスセキュリティとリモートセキュリティでは、この点のみが異なっています。

これについて、HPEのマスターサイバーセキュリティ設計者であるTim Ferrellは、「職場環境では、送受信できるトラフィックの種類、使用される認証の種類、および保存できるデータの種類に対する厳しい対策を講じてそれらを厳重に制御する、構造がしっかりとした管理の行き届いた作業環境が構築されるのが一般的である」と述べています。

他のエキスパートも同様の見解を示しており、サンフランシスコにあるGoldman Lockey Consulting社のパートナーであるMick Wolcott氏は、次のように述べています。「ほとんどの企業またはビジネスサイトにはファイアウォールがあり、ネットワーキングチームがネットワークを監視しています。一方自宅では、基本的にComcastやAT&Tなどのネットワークが使用されており、私たちが入ってくるトラフィックを確認するような舞台裏の部分がないため、ダウンロードされたマルウェアの有無やクリック操作が行われた場所を確かめるといった、バックグラウンドでのイベントの監視を行うことができません」。

そのため、ウイルス対策とマルウェア保護だけでは十分ではなく、定期的な保護の更新も必要です。また依然としてフィッシングに対する防御も必要であり、特にコンピューターを家族と共有していたり、個人用に使用していたりする場合は、リモート接続とプライベートコンピューターのメッセージングの脆弱性に対処するに際に常に最大限の注意を払わなければなりません。

最後に、一般的にはなったものの必須になったとは言い難いTwo-Factor認証が必要です。Two-Factor認証を導入するのは容易ではありませんが、これについてはとにかく、フィッシングなどの認証攻撃を回避する最善の方法であると考えてください。

Gallagher氏は、常識的ではあるものの意外とも思えるもう1つの対策として、業務でオンライバージョンのツールを使用できる可能性を示唆しています。

これについて同氏は、「ブラウザーでオンラインサービスを使用して大部分の業務を行えるのであれば、企業データと個人データを分けることができる」と述べていますが、その最たる例として、ローカルで実行されるプログラムではなく、ブラウザーベースのMicrosoft Officeプログラム (現在はMicrosoft 365アプリケーション) の使用が挙げられます。

ただし、VPN、Two-Factor認証、および定期的に更新されるウイルス対策は、在宅勤務者向けに脅威モデルのかなりの部分が変えられており、残りのほとんどは、Gallagher氏曰く「余計な手が加えられています」。

ただし、企業のセキュリティに対する姿勢は、業界全体としてゼロトラストモデルへと移行しなければならないと同氏は言います。

そしてこれについて同氏は、「企業のシステムとエンドポイントシステムの両方が危険海域で動作しており、常に何らかの侵害が起きていると考える必要がある」と述べています。

またFerrellは、次のように語っています。「境界のセキュリティが強固で内部のセキュリティが緩かった時代から長い年月が経ち、境界が突破しやすいものになったため、内外のチェックポイントは増えています。ただし、ネットワークに接続しているものはすべて敵であり、そのようなものとして扱う必要があります。つまり、リモートデバイスはすべてが敵になる可能性があると考えなければならないのです」。

 

従業員のセキュリティを確保するために御社ではどのような対策を講じる必要がありますか: 集中制御を確立する

この点について、Gallagher氏は次のように述べています。「長期的な戦略として、企業が管理するデバイスに従業員がアクセスできるようにし、特定用途でのアクセスを禁止する必要があります。または誰でもインストールできる、リモートで管理される仮想マシンを全員が使用するモデルへと移行します。そうすれば、各自が自宅のコンピューターで作業を行えるようになる一方、企業側は自宅のコンピューターと仮想デバイスを分離することが可能です。私は多くの企業がこうした移行を進めていると考えています」。

このような対策を講じた場合、非常に小規模な企業と大規模な企業では多額のコストが必要となりますが、コスト削減の時代は終わりを迎えたのではないかと思います。

これについて、Wolcott氏は次のように述べています。「主にネットワークセキュリティについて話していたため、話題にしていなかったと思いますが、大事なポイントしてバックアップの重要性が挙げられます。誰かが悪意のあるリンクをクリックしてファイルをダウンロードしたことにより、コンピューター全体が暗号化されてしまい、身代金を要求されたという恐ろしい話は数多くあります」。これに関しては実際のところ、産業スパイがまれなケースである一方、ランサムウェアはごく一般的となっており、Maze、REvil、Ragnar Lockerといったランサムウェアが存在します。

 

どのような方法で想定外の事態に備えますか: プロセス、ポリシー、および脅威モデリング

HPE Pointnext Servicesのセキュリティ・リスクマネジメント担当相談役であるSimon Leechは、「セキュリティポリシーの決定をビジネス側に任せてはならない」と警告しています。また多くの企業がリモートワークの導入をかなり急いでいるものの、そうすべきではないとしたうえで、「セキュリティチームは、不確かな方法で短期間のうちにテクノロジーを開発することによって脆弱性がもたらされる機会を与えてはならない」と述べています。

またFerrellに言わせると、強固なプロセスを犠牲にしていいとこどりをしてはなりません。

そしてこれについてFerrellは、次のように述べています。「魅力的なものであることから誰もが製品に目を向けます。そして法外な価格の最新ツールを購入して問題に対処しようとしますが、プロセスとポリシーを完全に見落としてしまいます。世界で最も高額な素晴らしいツールであったとしても、それを正しく機能させるプロセスがなければ何の価値もありません」。

エンタープライズITセキュリティ: リーダーのためのアドバイス

• ベストプラクティスに従っている組織は、安全な方法で隔離に対応できる最も有利な立場にあります。
• セキュリティが優先事項であるのなら、在宅勤務の問題を緩和するために今すぐ資金を投入しなければなりません。
• 従業員がVPN、Two-Factor認証、および定期的に更新されるウイルス対策ソリューションを使用しているのなら、十分な体制を築けています。