世界の先進国の大半はロックダウン状態にある今、企業は事業継続対策としてリモートワークを速やかに強化する必要に迫られています。この事態がIT部門に対して新しい多くの問題を投げかけています。
理想的なリモートワークの環境では、会社が所有・管理しているノートPCやモバイルデバイスが、すべての従業員に支給されています。さらに、従業員が安心してリモートワーク業務が遂行できるように、自宅から必要なITシステムやデータに確実にアクセスできるツールとポリシーが以下のように整備されています。
- ネットワークにログオンする人とデバイスが本人のものであることを確認するための多要素認証の導入
- リモートデバイスと社内システム間のネットワークトラフィックを常に暗号化するVPNサービスの利用
- 従業員のデバイスをリモートで管理、機能する、MDM(モバイルデバイス管理)、VNC(仮想ネットワークコンピューティング)の利用
- ネットワーク上の異常をリモートで検知/対応し、リモートデバイスのアクティビティを監視、リモートで脅威に対応できるツール – EDR(エンドポイントでの検知と対応)、MDR(検知と対応のマネージドサービス)、EPP(エンドポイント保護プラットフォーム)、リモートロギングの導入
- 従業員が確実に遵守するような具体的な手順を含む、明確で十分に伝達されたセキュリティ体制
新型コロナ危機の前、企業のリモートワークへの取組みはバラバラでした。一部の企業では、リモートワークが禁止されていました。他の企業では、積極的にリモートワーク化が進められていて、Office365のような安全性の高いクラウドベースのコラボレーションアプリケーションを日常的に使用されていました。しかしながら、多くの企業では、リモートワークへの対応はこれらの中間に位置しており、例えば、企業のEメールへのリモートアクセスは許可されていますが、機密性の高いシステムやデータへの社外からのアクセスは許可されていませんでした。
しかし、かつてないほど多くの従業員がリモートワークをする必要に迫られたことで、突然すべてのIT部門に、経験したことの無い課題が突き付けられたのです。多くの場合、事業継続性が最も差し迫った課題であるため、当面の間は、通常よりも高いレベルのリスクを抱えたまま運用するしかありません。例えば、すべての従業員に会社支給のデバイスが行き渡らせられない場合、ユーザ個人が所有するデバイスの使用を許可せざるを得ません。
このような状況下でも、企業のセキュリティリスクのレベルを下げることは可能です。まず最初に、従業員のリモートワークでの働き方を規定し、次に自宅のデバイスからのアクセスを許諾する必要があるシステムとデータを特定し、安全性を最大化するために必要な追加のツールとポリシーを策定してください。ただし、従業員が効果的に業務が実行できるように、不必要な障壁は設けないでください。セキュリティの可視性、検知および対応の機能を確保することは、EDRやMDRといったツールの活用で実現することができます。このEDRやMDRは、綿密な計画や基本レベルのセキュリティが整っているネットワークとの連携で効力を発揮することができます。
もちろん、セキュリティツールだけでなく、実効性のあるセキュリティポリシーとガイドラインを通じて、最も機密性の高いシステムとデータへのアクセスを限定する必要があります。また、リモートワークの拡大に伴いネットワーク帯域幅の需要が増加しています。 帯域幅を浪費するSpotifyやNetflixなどのストリーミングサービスの視聴に会社のVPNサービスを使用することはブロックすることを検討ください。
これらはすべて一元的に管理することができますが、ユーザの個人用デバイスを保護し、会社が制御できない脆弱なホームネットワークにデータが漏洩しないようにするにはどうすればよいのでしょうか。 企業のITシステムやリソースにアクセスできるユーザの個人デバイスに、リモート監視・管理できるソフトをインストールすべきと主張する人も多いのですが、このアプローチには重大な法律上かつプライバシー上の問題があることに留意すべきです。この場合は、少なくとも一時的に何らかのリモートデバイス管理ソフトをインストールするように指示するのが賢明です。そして、効果的なファイアウォール、暗号化、およびマルウェア保護が装備されたホームデバイスのみを使用させるか、それらをインストールを徹底させます。同様に、コラボレーションワークでの利用を許可する(または許可しない)コンシューマ向けアプリやツールを規定することもできます。
ただし、最大のリスクファクターは人間の行動であることを忘れないでください。セキュリティポリシーやその実行手順は、効果的かつ定期的に啓蒙することが不可欠です。そのための考えられる取り組みは、すべてのリモートワーカー向けのセキュリティ衛生についてオンラインでのトレーニングと確認テストの実施です。そして、フィッシング攻撃、ソーシャルエンジニアリング、電話詐欺などの危険性と注意点を全従業員が理解していることを再確認してください。これには、今後特に標的となる可能性が高いヘルプデスクのスタッフを含めてください。攻撃者は現在の混乱した状態を悪用する活動を強化するため、すべての従業員の準備を万端に整えておくことが、リスクレベルの大幅な低下につながります。
これらの活動は、すべて継続的に実行しなければなりません。誰もがリモートワークを始めるようになるにつれて、新たな問題が発生することは避けられません。予期せぬ事態が発生した場合にも、落ち着いて対処する必要があります。たとえば、特定の脅威が拡散した場合は、すべてのリモートワーカーそのことをすばやく警告し、従業員が確実に理解したことが分かるようにしてください。
カテゴリ