　調査会社PA Consultingでサイバーセキュリティのエキスパートを務めるオリビア・ローフェ氏は、従業員に対するセキュリティ教育やセキュリティ啓発プログラムの有用性を強調する。「全ての従業員が、自宅をはじめとする社外で安全に仕事をするために、適切なセキュリティトレーニングを受ける必要がある」（ローフェ氏）

　「IT部門がセキュリティを全て担うという考え方は通用しなくなっている」とローフェ氏は警告する。個々の従業員が、自身の行動が自社全体のセキュリティに影響を及ぼすことを理解する必要がある。そのためには、フィッシング攻撃のシミュレーションといったセキュリティトレーニングを継続的に実施し、従業員のスキルアップを図ることが効果的だ。

　セキュリティトレーニングの内容は、自社のセキュリティポリシーに沿う形で、セキュリティ侵害につながる従業員の行動を抑止できるような設計がよいとローフェ氏はアドバイスする。

「信頼」で考える3つのシナリオ

　セキュリティベンダーAirbus ProtectでITサイバーセキュリティアーキテクチャのテクニカルオフィスリーダーを務めるライオネル・ガラコッチェ氏は、セキュリティ対策において考慮すべきシナリオを3つ挙げる。

「信頼しない」シナリオ
- 社内システムへのアクセスを、VPN（仮想プライベートネットワーク）経由の通信のみに限定する。副次的な通信は許可せず適宜制御する。
「部分的に信頼する」シナリオ
- CASB（Cloud Access Security Broker）やEndpoint Detection and Response（EDR）を使用して、ユーザーのアクテビティーを制御する。
それ以外のシナリオ
- ユーザーのアクセスを承認済みのアプリケーションに限定する。
- 社内アプリケーションへのアクセスは仮想デスクトップインフラ（VDI）を経由させる。私物端末の業務利用（BYOD）や管理対象になっていないデバイスからでも接続できる。

　セキュリティの非営利認定機関CRESTの代表を務めるローランド・ジョンソン氏は、「テレワークに端を発する異常や脅威の検出に関して、セキュリティオペレーションセンター（SOC）を頼ることはできない」と警告する。

　SOCは通常のトラフィックと動作に関するデータセットに基づき、通常とは異なるトラフィックと動作を特定する。ハイブリッドワークの柔軟で多種多様な働き方では、明確な「ニューノーマル」が存在しない状態になり、SOCにとって通常の動作と異常な動作を見極めることがますます困難になっているとジョンソン氏は話す。

　次回は、ハイブリッドワークの普及でIT部門が知っておくべきトレンドを紹介する。

Computer Weekly発世界に学ぶIT導入・活用術

米国TechTargetが運営する英国Computer Weeklyの豊富な記事の中から、海外企業のIT製品導入事例や業種別のIT活用トレンドを厳選してお届けします。

TechTargetジャパントップシステム運用管理