リモートワークのセキュリティ課題
パンデミック下、オフィス内での勤務から完全リモートワークやオフィスとリモートでのハイブリッド勤務への急速移行が求められています。この移行で最も緊急な課題の1つは、自宅勤務者に短期間でPCを用意しながら、セキュリティ構造とポリシーを調整することです。テレワークで使用するPCは仕事以外にもショッピングや請求書の支払い、一般的なWebサイト閲覧などに使用される可能性があり、組織のデータ漏洩リスクが高まります。
- インフラ構築対応
リモートでの仕事だけでなく、強制的に(子供たちが)在宅学習になる家庭も少なくありません。ある日突然オンライン学習の需要が急増すれば、学校のシステムはそれに耐えられなくなります。学校だけでなく、自宅のネットワークも大きなボトルネックになります。一般的に自宅のインフラはあまり考慮されません。企業が従業員に在宅勤務を求める場合でも、自宅のインフラを厳しく求められません。 - 勤務監視範囲
一部の国では従業員の業務活動監視が許されていますが、法的には多くの制約があります。例えば、監視を行う前に従業員の同意を得ることが求められます。しかし、在宅勤務時の自宅を職場とみなせますか?勤務に使ったからと言って、個人のPCが監視を受けても許されるのかなど勤務監視の適用範囲が曖昧になります。 - 旧来の固定ルール
アクセス制御ルールでは、ユーザに必要最小限のアクセス権限を付与してデータの複製や保存に関する活動を制限することが求められています。例えば、ネットワークアクセス制御技術は、ユーザやデバイス、アプリケーションへのアクセス制御を制限し、認可された従業員だけが指定されたデータにアクセスできるようにする等ができます。しかし、これは信頼できる場所・信頼できるユーザ・信頼できるPCを識別できる前提があって初めて実現できることです。 - エンドポイント保護の役割
従業員のテレワーク作業環境やインフラに対して、組織が提供できる支援は限られており、制御なども確実に強制できません。テレワークの場所も変わる場合があり、運用上の違いも出てくると組織内で展開されていたセキュリティ対策はほとんど適用できなくなるかもしれません。この場合、最終防衛ラインはエンドポイントPCの制御になります。場所が変わっても、PCさえ制御できれば対応できます。
PCに配置された制御機制は常に有効である
NISTのガイド「Guide to Enterprise Telework, Remote Access, and Bring Your Own Device (BYOD) Security (NIST 800-46r2)」の提案の一部を参考にすると、テレワーク時には以下のようなセキュリティ対策が必要になります。
- 作業しない場合はネットワーク機能(例:Bluetooth)をオフにする
- PCのファイアウォールを有効にする
- 企業ネットワークへのアクセスは多要素認証を要求する
- PCで実行できるアプリケーションを制限する
これらの対策はどれもPCに対する制御が必要になります。上記の提案に対応するセキュリティ機能をまとめると以下になります。
- PCの接続を制御:社内PCへのVPN時は接続を禁止する
- 未許可プログラム(ユーザ・システム)やアプリケーションへの接続を禁止する
- 多要素認証とアクセス制御
- アプリケーション制御とホワイトリストの仕組みで未許可または不明なアプリケーション実行を防止する
自動的にセキュリティポリシーを切り替えて迅速対応
セキュリティ管理の哲学的な(技術的ではない)課題として、ファイルの共有や送信をいつ許可するか、いつ禁止すべきかがあります。静的ポリシーでは通常は固定的なTrue / Falseに基づいて許可と禁止を判断しますが、ほとんどの業務はここまで簡単に割り切れません。パンデミック下で多くの組織が社員をグループ分けで交互にオフィス勤務にしたり、残りのメンバーを自宅勤務に移す場合もあります。それに対応するため、役割に基づくセキュリティポリシーに加えて出勤場所や時間に応じた自動切り替えポリシーも設定します。静的なルールでは変動する環境に対処できないため、動的に適応するポリシーを構築して、異なる環境条件に異なるアクションプランを対応させることで、チームの管理の複雑さを簡素化して業務への影響を減らすことができます。
動的ポリシーの切り替え条件で考慮すべき事項
- テレワーク
リモートワーカーが使用するPCは企業が配布したものとは限らず、作業場所もカフェや自宅など場所も不定です。当然セキュリティリスクが上がります。以下の作業形態に応じて必要な管理ポリシーを切り替えて、不適切な接続やリソースアクセスを防止すべきです。- 企業の管理下にあるPCでVPNを介して企業のサービスにアクセスする
- 個人PCを使用して企業のPCにRDPで接続する
- 企業のPCを使用して他企業のPCにRDPで接続する
- 地理的な位置
異なる国や地域では、インフラの整備状況によってはセキュリティ不足などの懸念があります。 - 拠点を跨いでの作業
各拠点のセキュリティ管理ポリシーに対応します。 - 重要サイトへの接続やアプリケーション実行
特定アプリケーションの実行や内部サイト接続時に応じて、セキュリティレベルを調整します。 - ユーザ決定(User Override)
一部のイベントはユーザが自ら緩和することができ、変更後はシステムは条件に基づいて学習して自動で処理します。 - 管理者(上司)による承認
ユーザによる上書き以外に、一部のイベントの変更には管理者の承認が必要です。 - 脅威レベルの変化
脅威レベルが上昇した場合、一部の機能を閉じたり事態の拡大を防止するために停止させたりする必要があります。
結論
コロナ禍がいつ終わるかわからない状態では、テレワークが恒常的なものになる可能性があります。テレワークや脅威環境の変化を識別し、自動的に適応するポリシーを構築して、脅威レベルに応じて必要な行動を取ることが重要です。このような主動的な対応により、組織はより有利で主導的な防御を構築でき、ビジネスの継続性や競争力を維持することができます。