テレワークは「ゼロトラストセキュリティ」を意識しないとリスクが高まってしまう。だが、企業が今後向かうべきゼロトラストセキュリティの第一歩としてテレワークを捉えるべきだ。
新型コロナウイルス感染症(COVID-19)の感染拡大対策として、政府は企業に対しテレワークの活用を促している。企業は、対応を迫られている状況だといえる。
社外から社内の業務システムやデータにアクセスする手段として、古くはダイヤルアップリモートアクセス、近年はSSL VPNが採用されてきた。SSL VPNは現在も使われているリモートアクセス技術だが、これを利用するだけでは、セキュリティリスクを高める方向に作用してしまう。
理由は大きく分けて3つある。
1つ目は従来、SSL VPNを用いてリモートアクセスをする人を限定していたことだ。言わずもがなだが、企業活動はさまざまな人の業務で成り立っている。正規雇用社員がいれば、契約社員もいる。短期的なアルバイトがいれば、協力企業のスタッフもいる。現在は企業の業務に関わるあらゆる立場の人々が、テレワークをしてもおかしくない。従来の限定利用ではなく、さまざまな部門の担当者にSSL VPNを提供して他のセキュリティ対策を講じないのであれば、セキュリティリスクが高まるのは自然な成り行きだ。
「正規雇用社員だから安全」とは言えない。さらに、以前に比べてはるかに多くの人たちがテレワークをするようになった。立場も多様化してきたことで、特定企業にセキュリティ攻撃を仕掛けようとする者にとってチャンスが大きく広がる結果となってしまっている。
2つ目は、クラウドサービスの利用が当たり前になってきたことだ。電子メールをはじめとして、グループウェア、Web会議、ストレージ、プロジェクト管理など、業務に関わる機能やデータをクラウドサービス経由で利用することは珍しくなくなった。つまり、社内システムだけにアクセスする時代は終わりを告げている。
3つ目は、「BYOD(Bring Your Own Device)」と呼ばれる個人所有機器の利用が広がっていることだ。従業員が会社で使うクライアントPCを、会社支給からBYOD形式に切り替える企業は少なくない。さらに在宅勤務では、個人のPCを使うケースもある。
個人所有機器といえば、スマートデバイスの利用が拡大している。スマートフォンで会社のメールをチェックすることなどは、多くの企業で当たり前になっている。最近では、Web会議をはじめとしたその他の業務アプリケーションを併用することも当たり前になった。
つまり、人および端末の多様化、クラウドサービスの普及で、リモートアクセスといっても以前とは全く異なる状況が生じている。そして、以前とは異なるテレワークの広がりがセキュリティリスクの増大につながってしまっている。
では、どうしたらいいのか。
解決策の一つとして考えられるのが、テレワークを「ゼロトラストアーキテクチャ」への移行のきっかけとして捉えることだ。サイバーセキュリティ業界ではこの言葉が一般的な用語となり、ユーザー企業の間でも関心が高まっている。だが、イメージが先行して正しい理解を妨げているきらいがある。まず、「ゼロトラスト」を正確におさらいするところから始めよう。
提供:シスコシステムズ合同会社
アイティメディア営業企画/制作:TechTargetジャパン編集部
ITmediaはアイティメディア株式会社の登録商標です。
