移動するエンドポイントをどう制御するか
ここでいうエンドポイントは企業で配布されたノートPCを指します。社内のセキュリティ環境から離れた後、ウイルスやトロイ攻撃に備えるためのアンチウイルスソフトウェア以外は、企業の機密情報保護はエンドポイント保護ソフトウェアに依存することになります。
移動するノートPCの管理者は、すべてのシナリオを事前に管理ポリシーを定める必要があります。以下は推奨される手順です。
ユーザまたはPCのオフラインポリシーを制定する
普段は社内の通常ポリシーを適用して、PCが会社を離れると自動的にオフラインポリシーを適用するようにします。オフラインポリシーの制定には、ユーザの職務または使用状況に応じて設定する必要があります。
- 営業担当者:外回りの営業担当者に対して、オフラインポリシーは厳しく制定できない可能性があります。柔軟に安全性と利便性を兼ね備えた設定にする必要があります。最低限ログの記録は欠かせません。
- 社内勤務者:通常、社内勤務者のノートPCを使用は自宅勤務がほとんどで、VPNを介して会社に接続する場合が多いです。自宅のネットワーク接続によるウイルス感染を防ぐため、ポリシーは厳しく設定することを推奨します。オフラインポリシーでVPN通信ポートのみを残し、全てのネットワーク通信ポートを閉じて、周辺デバイスとネットワーク接続機能を無効にして、VPNを介してのみ会社に接続できるようにします。このように情報漏洩の可能性のある経路をすべて遮断します。
VPN接続でのネットワークセグメントポリシー適用
ファイアウォール設定で各部署のVPN接続に個別ネットワークセグメントIPを当てるようにして、TSF上で各部署のVPNネットワークセグメントに基づいて各自のポリシーを適用するように設定することを推奨します。この機能を使用するためには、VPN接続しているPCをTSFサーバに接続できるようにファイアウォールで設定する必要があります。VPN接続が切断された場合、クライアントポリシーを自動的にオフラインポリシーに戻します。
異なる拠点でのネットワークセグメントポリシー
上記のVPN接続による個別ネットワークセグメントポリシーは、異なる拠点・階層・オフィスでのポリシー適用にも応用できます。PCが異なるセグメントに接続すると異なるIPを当てて、それに基づいたポリシーを適用させます。
リモートデスクトップ接続時のテンポラリポリシー有効化
在宅勤務を実施する時、従業員に配給するPC数が足りない場合、一時しのぎ的に従業員に個人PCの利用を許可することも想定されます。VPNでオフィスPCにリモート接続する場合、「リモートデスクトップ接続時にテンポラリポリシーを適用する」を有効にすることをお勧めします。社内PCがRDP接続されると指定したテンポラリポリシーを適用して、オフィスで通常勤務する場合は自動で社内の通常ポリシーに戻します。
自動ポリシー適用
1つのオフラインポリシーを常に適用するのではなく、特定の行動に対応して指定したポリシーを適用したい場合は、TSFのEDRモジュールの自動ポリシー適用を推奨します。自動ポリシー適用はあらかじめ特定の行動を指定し、これらの行動を組み合わせてトリガーにすることができます。例えば、従業員がベトナム・インドネシア・中国などに出張する場合、国ごとに指定したポリシーを適用させることができます。
この要件を実現する場合、「TSFクライアントの所在国」イベントを利用します。上記の例では、以下3つの検出条件を設定します。
- 国の検出 > ベトナム > Aポリシーを適用する
- 国の検出 > インドネシア > Bポリシーを適用する
- 国の検出 > 中国 > Cポリシーを適用する
該当者が上記3つの国にいない場合、自動的にオフラインポリシーを適用します。
PC保護のゼロトラスト
PC保護のゼロトラストとは、アプリケーション制御を例に挙げると、PC保護のソフトウェア制御で最も困難なのはブラックリストしかないと既知のソフトウェアを制御できても未知のソフトウェアを制御できないことで、ここでホワイトリスト形式を実装できれば既知のソフトウェアのみ信頼して未知のソフトウェアをすべて禁止するゼロトラストと言えるようになります。この論理に基づいて、PC保護のゼロトラストは以下の項目に分けられます。
外部ディスクのゼロトラスト
登録された会社の外部記憶デバイスのみを使用できます。個人の外部記憶デバイスを登録せずに使用する場合は、限定的に読み取り専用で接続します。
プリンタのゼロトラスト
既知のプリンタのみ許可して未知のプリンタによる印刷を禁止します。出張中などで未知のプリンタを使用したい場合でも、印刷ログと印刷内容のバックアップを作成することができます。より厳しくする場合は印刷ファイルのバックアップも作成して、ゼロトラスト下で限定された権限を与えることができます。
Webアップロードのゼロトラスト
指定したWebサイトのみファイルのアップロードを許可して、未知のWebサイトでのファイルアップロードを禁止します。指定外のWebサイトにファイルをアップロードする場合は、管理者に申請してアップロード許可を得る必要があります。
マイネットワーク共有フォルダのゼロトラスト
デフォルトでは非信頼PCのマイネットワーク共有フォルダへファイルを出力できません。ここでいう非信頼PCはTSFが導入されていないPCを指します。
アプリケーション接続のゼロトラスト
在宅勤務者に支給したノートPCに適用するオフラインポリシーで、VPNクライアントソフトの通信ポートのみ許可します。自宅のネットワークに接続してもインターネットに接続できずVPNでの会社ネットワークしか接続できません。アプリケーションの実行には影響せず、インターネット接続ができないので不便ですが安全性が高いです。
WiFiアクセスポイントのゼロトラスト
許可されたアクセスポイントにのみ接続でき、ホワイトリスト以外のアクセスポイントには接続できないようにして不正アクセスのリスクを防止します。
アプリケーション制御によるゼロトラスト
PCにインストールされたソフトウェアをホワイトリストとして作成し、ホワイトリスト以外のソフトウェアは実行できないようにして不審なソフトウェアによるトロイの木馬やバックドアプログラムの侵入を防ぎます。
ポリシーの制定に関する注意事項
一般的に、ポリシーの制定は企業のセキュリティポリシーに基づいて行われます。システム管理者がモバイルワーカーのさまざまな操作や状況を事前に分析して、高・中・低リスクレベルの整理をしてから対応するセキュリティポリシーを策定し、イベント対応ポリシーや自動適応型ポリシーとして適用することを推奨します。以下で具体例を挙げます。
- VPN接続によるトリガー
- RDP接続元・RDP接続先によるトリガー
- 地理的位置・地域によるトリガー
- ネットワークセグメント・工場・オフィスなど場所によるトリガー
- オフラインポリシー
- 共有PC > PCポリシー
- 特定の行動によって > EDR自動適応ポリシー