VPNやMFAでは不十分？ 意外なローテクも欠かせない「テレワーク対策8選」：ハイブリッドワーク10大リスクと8大対策【後編】

テレワークやハイブリッドワークには、従来とは異なるセキュリティ対策が求められる。どのような手を打てばいいのか。どのような組織にも参考にしてもらいたい、具体的な施策を紹介しよう。

[Mary K. Pratt，TechTarget]

　テレワークやハイブリッドワーク（テレワークとオフィスワークの組み合わせ）が定着する中で、この働き方がもたらすさまざまなセキュリティリスクに立ち向かうには、どのような対策が有効なのか。中には、オフィス勤務が前提の場合には考え付かないようなシンプルな対策が効果を発揮することもある。ハイブリッドワークの安全性を高めるための「8つの具体策」を解説する。

VPNやMFAだけじゃない　テレワークのセキュリティ対策8選

併せて読みたいお薦め記事

連載：ハイブリッドワーク10大リスクと8大対策

• 前編：「ひきこもり社員」が危ない？　出社×テレワークで深まるセキュリティの闇
• 中編：危ないのは無線LANだけじゃない？　テレワークで要注意な「4つのあれ」

テレワークを成功させるには

• テレワーク推奨企業が従業員に支給すべき「テレワークの経費や手当」とは
• テレワークで消えた人脈を再構築できる「9つの方法」

1．基本的なセキュリティ管理を実施

　コンサルティング会社Guidehouseアソシエイトディレクターのスティーブン・マッキノンは、「セキュリティの基本を徹底することが大切だ」と強調する。その第一歩として、セキュリティ管理対象となるIT資産のリストを作成することと、従業員にセキュリティ管理の方針を分かりやすく伝えることが欠かせないと同氏は言う。他にセキュリティ専門家が推奨する施策は以下の通りだ。

• VPN（仮想プライベートネットワーク）を使い、社外からのアクセスの安全性を高めること
• マルウェア対策ソフトウェアを導入すること
• ツールごとに違うパスワード設定を求めるなど、強固なパスワードポリシーを実施すること
• 機密データを暗号化すること
• クラウド型のファイル共有サービスを用いて、ローカルのデバイスにデータを保存させないこと

2．データ保護に注力

　「組織は『どのようなデータを収集しているか』や『データはどこに保存されているか』『データ保護の施策は十分か』といったことを常に考えなければならない」。そう語るのは、IT専門家団体ISACA（Information Systems Audit and Control Association）のエンタープライズサイバーセキュリティ担当シニアディレクター、スコット・レイノルズ氏だ。同氏によると、組織は従業員がどこで働いていてもデータを保護できるようにすることが重要になる。そのためには、従業員向けのセキュリティトレーニングを実施し、具体的な保護策を説明することが有効だという。

3．徹底した脆弱性管理

　脆弱（ぜいじゃく）性管理に力を入れることは、ハイブリッドワークのセキュリティ強化にもつながる。脆弱性管理のポイントは、各脆弱性のリスクを評価し、パッチ（修正プログラム）適用の優先順位を決めることだ。ハイブリッドワークを採用している組織だと、ノートPCやVPNツールの定期更新やパッチ適用を重視することが重要になる。徹底した脆弱性管理により、アタックサーフェス（攻撃対象領域）を減らして攻撃リスクの軽減ができる。

4．「ゼロトラストセキュリティ」の実装

　社内外を問わず、全ての通信をまず怪しいと見なすのが、ゼロトラストセキュリティだ。ゼロトラストセキュリティの仕組みでは、社内システムにアクセスする従業員は全員、アクセス権限があるかどうかの認証を受けなければならない。認証されなかった人のアクセスは拒否される。

5．「UEBA」の活用

　UEBA（User and Entity Behavior Analytics）は、エンドユーザーとシステム（エンティティ）の異常な行動を検出するツールだ。上記で取り上げたゼロトラストセキュリティの中核的な技術の一つになる。UEBAツールは機械学習（ML）によるデータ分析を用いて、不正アクセスにつながりかねない行動パターンを特定する。不審な動きに気付けば、アラートを発する。

6．適切なクラウド設定のチェック

　クラウドサービスの設定ミスは、データ漏えいといったセキュリティインシデントの原因の一つになる。セキュリティ担当者はクラウド担当者と協力し、テレワークシステムを危険にさらす不具合や欠陥がないかを入念にチェックすることが大切だ。クラウドサービスを利用する場合は、設定チェックとは別に、アクセスを制御するためのツールの導入も検討しよう。

7．“ハイブリッドワークネイティブ”のセキュリティポリシー

　ハイブリッドワークは組織にさまざまな新しい脅威をもたらす。そのため、組織にはハイブリッドワークを前提としたセキュリティポリシーの策定が求められる。セキュリティポリシーを一度定めても常にその有効性を評価し、必要に応じて変更することも重要だと考えられる。

　具体例の一つとして、SANS Institute傘下の大学「SANS Technology Institute」学長のエド・スクーディス氏は、「チャットツールへのアクセスをより厳しく管理する」ことを挙げる。そのために、多要素認証（MFA）ツールや、チャットツールにおいて不審なアクティビティーを報告するツールの採用が大切だと同氏は説明する。

8．お互いをよく知ること

　ハイブリッドワークのセキュリティ強化に当たり、スクーディス氏は対面による人間関係構築の重要性を強調する。メンバー同士で定期的に顔を合わせる機会を設ければ、お互いに表情やしぐさ、話し方の特徴などが分かり、捏造（ねつぞう）動画を含めたソーシャルエンジニアリング攻撃を見破る可能性を高められるからだ。

TechTarget発　世界のインサイト＆ベストプラクティス

米国TechTargetの豊富な記事の中から、さまざまな業種や職種に関する動向やビジネスノウハウなどを厳選してお届けします。