テレワーク継続なら「セキュリティはどうあるべきか」を再考すべし：ポストコロナのIT事情【中編】

ハイブリッドワークの普及でセキュリティの守備範囲は拡大し、IT部門だけでは守ることが困難になっている。具体的なセキュリティ対策について、必要になるツールや手法と共に解説する。

[Cliff Saran，TechTarget]

　新型コロナウイルス感染症（COVID-19）のパンデミック（世界的大流行）の影響で、オフィスワークとテレワークを組み合わせたハイブリッドワークが普及した。オフィス以外の場所での業務が当たり前になりつつある中で、セキュリティの守備範囲は拡大した。IT部門だけでは守り切れないのが実情だ。どのようなセキュリティ対策が必要なのか。具体的な施策やツールと併せて紹介する。

もはやIT部門だけでは限界　必要なセキュリティ対策とは？

併せて読みたいお薦め記事

連載：ポストコロナのIT事情

• 前編：テレワークで“爆売れ”だったノートPCが「もはや旧世代」の現実

セキュリティ分野の関連記事

• ギーク激推し、テレワーク派への贈り物なら「YubiKey」がぴったりな理由
• 生成AIの時代にやるべき「セキュリティ教育」はこれだ

　ハイブリッドワークで発生するセキュリティリスクの一つに、業務データの漏えいがある。それを招く一因になり得るのが、従業員の以下のような行動だ。

• IT部門が認識していないアプリケーションを勝手に利用する
• 安全ではない方法で自社ネットワークに接続する

　IT部門はこれらのリスクに対処できるように、セキュリティ対策を考える必要がある。ただしハイブリッドワークでは、IT部門にできる対策は限られているのが実情だ。

　調査会社PA Consultingでサイバーセキュリティのエキスパートを務めるオリビア・ローフェ氏は、従業員に対するセキュリティ教育やセキュリティ啓発プログラムの有用性を強調する。「全ての従業員が、自宅をはじめとする社外で安全に仕事をするために、適切なセキュリティトレーニングを受ける必要がある」（ローフェ氏）

　「IT部門がセキュリティを全て担うという考え方は通用しなくなっている」とローフェ氏は警告する。個々の従業員が、自身の行動が自社全体のセキュリティに影響を及ぼすことを理解する必要がある。そのためには、フィッシング攻撃のシミュレーションといったセキュリティトレーニングを継続的に実施し、従業員のスキルアップを図ることが効果的だ。

　セキュリティトレーニングの内容は、自社のセキュリティポリシーに沿う形で、セキュリティ侵害につながる従業員の行動を抑止できるような設計がよいとローフェ氏はアドバイスする。

「信頼」で考える3つのシナリオ

　セキュリティベンダーAirbus ProtectでITサイバーセキュリティアーキテクチャのテクニカルオフィスリーダーを務めるライオネル・ガラコッチェ氏は、セキュリティ対策において考慮すべきシナリオを3つ挙げる。

• 「信頼しない」シナリオ
  • 社内システムへのアクセスを、VPN（仮想プライベートネットワーク）経由の通信のみに限定する。副次的な通信は許可せず適宜制御する。
• 「部分的に信頼する」シナリオ
  • CASB（Cloud Access Security Broker）やEndpoint Detection and Response（EDR）を使用して、ユーザーのアクテビティーを制御する。
• それ以外のシナリオ
  • ユーザーのアクセスを承認済みのアプリケーションに限定する。
  • 社内アプリケーションへのアクセスは仮想デスクトップインフラ（VDI）を経由させる。私物端末の業務利用（BYOD）や管理対象になっていないデバイスからでも接続できる。

　セキュリティの非営利認定機関CRESTの代表を務めるローランド・ジョンソン氏は、「テレワークに端を発する異常や脅威の検出に関して、セキュリティオペレーションセンター（SOC）を頼ることはできない」と警告する。

　SOCは通常のトラフィックと動作に関するデータセットに基づき、通常とは異なるトラフィックと動作を特定する。ハイブリッドワークの柔軟で多種多様な働き方では、明確な「ニューノーマル」が存在しない状態になり、SOCにとって通常の動作と異常な動作を見極めることがますます困難になっているとジョンソン氏は話す。

---

　次回は、ハイブリッドワークの普及でIT部門が知っておくべきトレンドを紹介する。

Computer Weekly発 世界に学ぶIT導入・活用術

米国TechTargetが運営する英国Computer Weeklyの豊富な記事の中から、海外企業のIT製品導入事例や業種別のIT活用トレンドを厳選してお届けします。