テレワークの喫緊の課題を解消 ~近道はエンドポイントセキュリティ~

 2020.04.03  EDR実践ポータル

テレワークの喫緊の課題を解消 ~近道はエンドポイントセキュリティ~

そのテレワーク、安全ですか?

“ちょっと待って! そのテレワーク、セキュリティは大丈夫?”

警視庁サイバーセキュリティ対策本部が2020年3月16日に発信したツイートです。NHKのニュースもこれを追いかけ、“当初は東京オリンピックの開催に合わせて注意勧告する予定を前倒し”、“警察庁の発表では、去年確認されたサイバー攻撃と見られる不審な通信は1日に4,192件(前年比1.5倍)で、テレワークを標的にしたものも相次ぐ”などと伝えています。


警視庁サイバーセキュリティ対策本部の注意勧告警視庁サイバーセキュリティ対策本部の注意勧告
出典:警視庁サイバーセキュリティ対策本部Twitter(MPD_cybersec)

警視庁が注意勧告を前倒しした理由は、言うまでもなく新型コロナウイルス対策。いま多くの職場では、感染防止のためテレワークを“選択する”というより、“せざるを得ない”という切迫した状況に置かれていると言っていいでしょう。

日本テレワーク協会が2020年3月18日に発表した「新型コロナウイルスへの対策実施状況アンケート」によると、“新型コロナウイルスに対応し、貴社ではテレワークを実施していますか”の問いに対して、“実施している”と“準備している”を合わせると、72.3%の事業者がテレワークに取り組んでいました。

そのテレワーク、安全ですか? 2


日本テレワーク協会が実施したアンケート結果  調査期間 2020年3月9日~3月12日
出典:「新型コロナウイルスへの対策実施状況アンケート」(日本テレワーク協会)

アンケートの母数は少ないものの多くの事業所でテレワークに取り組んでいる状況は見て取れます。しかしながら特に人材と予算に限りがある中小企業では、十分なセキュリティ対策が整わないまま、前倒しせざるを得なかったところも多いのではないでしょうか。大企業でも社内と異なるセキュリティ対策が必要になるため、課題を残している組織もいらっしゃるようです。

ツイートは従業員目線での“べからず集”

テレワークの導入時は、経営層や情報システム部門が立案してゴーを出し、一般の従業員が実行する流れが一般的になりますが、それぞれの立ち位置から見えるテレワークは、少しずつ形が違っているはずです。安全で成果が上がるテレワークの運用には、このギャップを埋めておく作業は欠かせません。

ここでは安全対策にフォーカスしますが、この部分に関しても、それぞれの立場での留意点、なすべき仕事があります。警視庁のツイートは、従業員目線での“テレワークべからず集゛と言えるものですが、ポイントを抜き出してみましょう。

  1. コンピュータの安全管理を徹底
    ・OS、ウイルス対策ソフトは常に最新の状態に
    ・利用時に加え定期的なウイルススキャンを実行

  2. Wi-Fiスポットの利用は要注意
    ・公衆無線LANのセキュリティは脆弱
    ・利用時はファイル共有をオフに
    ・VPNの利用時以外、機密性が高い情報は扱わない
  3. 自宅のWi-Fi環境を見直す
    ・Wi-Fiルータの管理用IDとパスワードを点検
    ・初期設定は変更し不正利用を防ぐ

  4. パスワード管理と端末管理
    ・パスワードの使い回しは避け、一定以上の長さに
    ・端末の紛失・盗難、画面の盗み見にも注意

Wi-Fi利用は特段の注意を

警視庁のツイートはどれも基本的な安全対策で、オフィスワーカーとして、個人のPCユーザーとしても、何度も耳にしてきたはずです。問題は“実行するかしないか”に尽きるのですが、着実な実践につながることを願いつつ、いくつか補足しておきましょう。

1).のOS、セキュリティソフトなどのアップデートは基本作法として、最初のテーマは2).Wi-Fiの利用時です。外出先から社内LANや外部のサーバーにアクセスする際は、通信路を暗号化するVPN(仮想的な専用回線)を経由すれば、ひとまず情報漏えいの心配はないと考えられています。一方、VPNの利用時は本人認証が必要ですが、ちょっとPCを利用したい、時間がないときなどはVPNを回避したまま、セキュリティが脆弱なWi-Fiでつないでしまうケースも散見します。これは非常に危険な行為です。

3).自宅のWi-Fiルータの利用も情報が流出する隙穴になってしまうリスクがあります。簡単に類推できるID、パスワードのままでは、近隣のオフィスや家庭からの接続を許し、そこから業務のデータが漏れてしまうことにもつながりかねません。

4).のパスワード管理ですが、“定期的に変更せよ”というルールは、2年ほど前に見直されました。定期変更を強要すると、簡単なパスワードを設定してしまい、安全度はむしろ低下してしまうという理由からです。安全のカギは変更より強度。推測しやすい名前や辞書に載っている単語は避け、一定以上の長さにしてください(12文字以上を推奨する機関が多い)。

FALCON SPOTLIGHT
CROWDSTRIKE FALCON:エンドポイント保護の新たなスタンダード

セキュリティと利便性の“バランス感覚”を持って環境を整備

警視庁が注意勧告した内容を社員全員が100%実行してくれれば、テレワークのリスクは激減するはずです。しかし、それが難しいからセキュリティ事故はなくならない。認識不足や不注意など従業員にも課題はあるとしても、一方的にユーザーの意識の問題と片づけるわけにはいきません。

従業員が安心してテレワークを実践できる環境を整えることも、経営層やIT部門に課せられたミッションの一つでしょう。ここで大切な視点は“バランス感覚”。できるだけセキュリティを強固にしたい運営側と、使いやすさを求めるユーザーの中間地点に立って、テレワークのシステムを構築することです。

例えば、安全対策を優先した結果、利便性が損なわれユーザーが敬遠してしまうことはないか? Wi-Fiのところで触れた、VPNを回避して公衆無線LANにつないでしまうケースは、これに当てはまるでしょう。多要素認証などで本人確認の強度を上げ、利用場所、端末設定などの制限を厳しくしすぎると、せっかく企業が多額のコストをかけて整備したVPNがスルーされてしまいます。企業資産のPCを利用してクラウドアプリケーションへのアクセス、ウェブ閲覧や共有ストレージ利用、メッセージングツールの利用など、直接ログインした方がVPNを経由するよりも高速であるからと接続したくなる気持ちは誰にでも起こることです。 

がんじがらめのルールで使い勝手を著しく下げてしまうと、テレワークの効果も半減してしまうため、安全性と利便性を並立する必要があるのです。

セキュリティと利便性の“バランス感覚”を持って環境を整備

ITリテラシーの個人差もネック

テレワークの導入に際しては、従業員のITリテラシーの格差も課題の一つでしょう。成人してからキーボードとモバイル機器に接した中高年世代は、VPN利用時の本人認証やWi-Fiルータの設定などは、煩雑と感ずる人も多いようです。

中高生のときから情報機器と接していた若い世代は、皆が皆スキルは高いかと言えば決してそうではありません。スマートフォンやSNSの使い方には長けていても、情報セキュリティに関する基礎知識を欠く人が多い、というのもIT部門の悩みの一つでしょう。

この課題に対する決定打はなく、多くの企業は教育や研修を通じて、リテラシーの平準化と意識改革に取り組んでいますが、テレワークの本格導入に際しては、さらなる体制強化も求められそうです。

テレワークと相性がいい“エンドポイントセキュリティ”

円滑なテレワークの運営には、安全性と利便性の並立、ITスキルの個人差の吸収、そしてシステム部門の管理負担の軽減なども課題として挙げられますが、それに対する有力なソリューションとして、多くの企業が着目しているのが“エンドポイントセキュリティ(保護)”の強化です。

まず、エンドポイント保護の考え方を簡単に復習しておきましょう。

従来のセキュリティ対策は、VPNでガードした社内LANを安全な場所と見なし、テレワークに使うモバイル端末もVPNの1コンポーネントとして管理する手法がメインでした。テレワーク端末を外に持ち出しても、社内LANとはケーブルでつながっているようなイメージです。

しかし近年は、コミュニケーションツールやデータベースなどの業務アプリのクラウド化が進み、VPNを経由せずにクラウド上のリソースを利用できる環境も整いました。社内LANという“境界”を設定し、境界線の内側を守ることの意義が薄れてきたのです。

また、近年のサイバー攻撃の先鋭化でLANへの侵入を100%防ぐことは困難になり、境界防御からサーバーやPCなどの単位でガードする必要性が高まったことも、エンドポイント保護が重視されるようになった要因です。

テレワークと相性がいい“エンドポイントセキュリティ”エンドポイントセキュリティの強化で、セキュアなテレワーク環境に

クラウドから安全性と利便性を並立

“エンドポイントの単位でガードを固めて安全を確保”。
このコンセプトを確立して運用できれば、社内ネットワークに接続している状態でも、つながれていないときでも、セキュリティは担保できます。テレワークを実行中の従業員が、暗号化が施されていないWi-Fiにつないで、何らかのリスクを背負ったとしても、エンドポイント保護の機能が働いてそれに対処できるからです。

エンドポイントの安全性を維持するには、PCやモバイル機器のOSのアップデート、ウイルス対策ソフトを最新状態に保つ、異常時はアラートを出すなど、適切な運用管理が欠かせません。当然ですが、このような作業を使いやすさを優先したい従業員、ITスキルに差があるすべてのユーザーに自分で実施するように課したとすれば、スゴロクならここで、“ふりだしに戻る”でしょう。

ユーザーに負荷をかけず、安全性と利便性を確保するには、社内ネットワーク、そして社外にPCやモバイル機器があっても管理が行き届くクラウドベースのソリューションしかありません。

クラウドから安全性と利便性を並立

端末が社内/社外でも、同じレベルのエンドポイントセキュリティを“リアルタイム”で提供できるのがクラウド

“クラウドネイティブ”のEPP、EDRで喫緊の課題を解消

クラウドベースのエンドポイント保護が稼動する環境では、オフィス内の端末もテレワーク中のモバイル機器も、状態を可視化して管理センターからコントロール。エンドポイントのOS、アプリケーション、ウイルス対策ソフトの定義ファイルなど、必要なメンテナンスは適宜実行して、セキュリティレベルを保ちます。

社内ネットワークにつないでいないデバイスに、不審なサイト接続やファイルのダウンロードが発生しても、センターで検知。脅威の兆候が見えたらファイルの隔離などの操作を行い、被害を最小限にくい止めることができるのです。

エンドポイント保護の軸となっている機能には、以下の2系統があります。

  • EPP(Endpoint Protection Platform) :エンドポイント保護プラットフォーム
  • EDR(Endpoint Detection and Response):エンドポイントでの検知と対応

EPPの主なミッションは侵入検知で、エンドポイントに入り込もうとする不正な通信やプログラムを発見して水際で阻止。もし万一、脅威がEPPをすり抜けたとしても、EDRで検知して適切な対処を行ないます。サイバー攻撃が先鋭化した近年は、100%はね返すことは困難という現実を直視し、EDRの機能がより重視される傾向にあります。

クラウド上の豊富なリソースを前提に設計された“クラウドネイティブ”のエンドポイント保護なら、安全と使いやすさの両立、端末の稼動場所や状態によらず安全を維持、ITリテラシーの平準化、そしてIT部門の運用負担の軽減といったテレワークの喫緊の課題を、一気に解消することができるのです。

テレワークのエンドポイント保護

RECENT POST「EDR」の最新記事


テレワークの喫緊の課題を解消 ~近道はエンドポイントセキュリティ~
2019モバイルを狙う脅威に関するレポート LANDSCAPE REPORT

RANKING人気資料ランキング

RECENT POST 最新記事

ブログ無料購読

RANKING人気記事ランキング