EN

NRIセキュア ブログ

テレワークで情報システム管理を実施する前に考慮すべき3つのこと

目次

    Double exposure of businessman shows modern technology as concept

    近年、働き方改革を背景に在宅勤務などのテレワークを導入・活用する企業が増えています。
    時間や場所を有効に活用できることから、自宅に限らず街中のコーヒースタンドやシェアオフィスなどでテレワークをされている方も多く見受けられるようになりました。
    そして何より、2020年3月現在世界中を混乱させている新型コロナウィルス感染症(COVID-19)対策のために、テレワークをせざるを得ない状況におかれている方も多いのではないでしょうか。

    今回の新型コロナウィルス感染症を契機に、異常気象などの自然災害や事件事故が発生した際のBCP(Business Continuity Plan:事業継続計画)として、テレワークを検討する/テレワークの対象業務を拡張することを考えている企業も増えています。

    そこで、本記事では、テレワークの普及に伴い、システム管理者自身の業務をリモートで行う際に、考慮すべきことを解説します。

     

     

    ゼロトラスト時代の特権ID管理

    場所に依存しないシステムメンテナンス環境に必要な3つのこと

    システムの維持管理業務は、これまで、メンテナンスの観点でシステムを構成する端末の近くにいなくてはならないケースや、情報セキュリティの観点で安全とみなされているオフィスなどの限られた環境からのみ業務が認められているケースも多く、テレワークが敬遠されがちな業務となっていました。

     

    しかし前述の働き方改革の後押しや、ICT技術の発展により、昨今では積極的にテレワークを活用すべき業務へと変化してきました。さらに、テレワークでのシステムの維持管理業務を許可することで、万一のトラブルの際にオフィス以外の場所からの素早い対応も可能になるメリットもあります。

    一方で、システムの維持管理業務は他の業務とは違う観点で考慮が必要となります。
    そこで、考慮すべき以下の3つのポイントについて解説します。

     

    1.リモートからのアクセス環境を整備する
    2.紙媒体での申請フローを見直す
    3.実施した作業内容を記録/確認する

    Point1. リモートからのアクセス環境を整備する

    まずは当たり前ですが、維持管理対象システムに対してリモートからのアクセスを行えるようにすることが必要です。維持管理対象のシステムが物理的なアクセスのみを受け付けているケースはまだ多くあるのではないでしょうか。

    リモートからのアクセスを行えるようにする際は、必要なアクセスだけを受け付けるように設定を行うことが重要です。社内のファイルサーバーやポータルであれば、例えばVPNを経由してのリモート接続ユーザすべてにサービスを開放するなどの運用を行うケースもあるかもしれませんが、維持管理対象システムへのメンテナンス経路に関しては、必要な人が必要な時だけアクセスできるような設定にしておくことが望ましいです。


    維持管理対象のシステムに不特定多数のユーザがいつでもアクセス可能な状況にあることは、内部不正を行う機会を増やすこととなり、不正操作や情報漏えいを助長しかねないですし、万一社外のユーザがVPNなどのアクセス権を得てしまい、社内にネットワーク経由で侵入された際に、システムが脅威にさらされることとなってしまいます。


    前述のように、システムに対して必要な人だけが必要な時だけリモートからアクセスが行えるよう環境を整備しておくことで、これらのリスク・脅威を低減することができます。

    また、リモートからのアクセスを行えるようにすることの付随的なメリットとしては、システムを構成するサーバーやネットワーク機器などに対して、物理的なアクセスが行えなくなることで、物理的な破壊・誤操作(電源ケーブルを誤って抜いてしまう等)を防ぐことも可能となります。

     

    Technician getting stressed over server maintenance in server room

    Point2. 紙媒体での申請フローを見直す

    システムの維持管理現場においても紙ベースでの申請フローは多く残されています。
    特に、特権IDを利用する場合に紙ベースで申請・承認が行われ、その後申請に沿ったアカウントが払い出される運用は未だ多くの企業で行われています。当然ながら、物理的に離れている環境での業務を行う際は、紙での運用は困難なものとなってしまい、システムの維持管理をリモートで実施するうえでの障壁と成り得ます。

    そこで、紙ベースで行われていた申請・承認のフローをWeb等の仕組みに置き換えるなどして、出社しなくても申請・承認を行えるように見直すことが必要となります。

    紙ベースの申請・承認フローを電子化することの副次的な効果として、申請書の紛失リスクの低減や、文書改ざんの防止、申請内容の検索性の向上も挙げられます。

    システムの維持管理の申請・承認の証跡確認は、内部統制の観点で重要です。しかしながら、紙の帳票を利用していると、他の書類に混ざって紛失してしまったり、勝手に承認印を押すなどして文書が改ざんされたりする可能性があります。また、申請内容と作業内容を突き合わせる作業では、ファイリングされている紙を持ってきて、一枚一枚手で突き合わせるというアクションが必要となります。

    申請・承認フローを電子化することで、これらのリスクや手間が大幅に改善されることも大きなメリットといえます。

    Point3. 実施した作業内容を記録/確認する

    システムに対して作業者がどのような操作を実施したかを記録しておくことは、システムを維持管理する際に非常に重要であり、情報漏えいやシステムの破壊などの内部犯行を牽制するために有効です。
    また、作業者自身も自身の作業の正当性を証明するために作業の記録を残しておくことが望ましいでしょう。

    作業内容の客観的な記録を行っておくことは、テレワークに限らず、システムを維持管理する上で必ず実施すべきものではありますが、オフィスにいないという心理的な開放感から内部犯行のリスクは高まりやすいと考えています。見られていることを周知することで、不正操作の抑制にもつながるのです。


    また、テレワーク経由の作業内容は記録するだけでなく重点的に確認を行うなど、万が一の事態を早期に発見できる仕組み作りが大切です。

    新任システム管理者のための特権ID管理入門書

    Access Checkを利用した、テレワークでのシステム管理

    弊社の本番アクセス管理ソリューション「SecureCube Access Check」(以下Access Check)は、前述の検討ポイントを解決することができる機能を提供しています。

     

    AccessCheck概念図

     

    図. 本番アクセス管理ソリューション「Access Check」の概念図(NRIセキュアが作成)

     

    Access Checkは、作業者と管理対象システムとの間にゲートウェイ(プロキシ)として設置し、アクセス制御やアクセスログの一元管理を行います。柔軟なアクセスルールの設計が可能なため、リモート環境からでも職務に応じたアクセスの分離を実現します。
    さらに作業時の操作を記録するため、内部不正に対する牽制効果も期待できます。

    また、アクセス申請・承認のワークフローも搭載しており、紙ベースの申請・承認フローをなくすことができます。Access Checkの申請・承認フローは、アクセス制御機能と連動しているため、承認されていないアクセスは行えないという、紙ベースでは実現できなかった強力な制御も実現可能です。

    そして、Access Checkを利用した接続に関しては、Access Checkにて作業内容の記録を取得/保管しています。リモートからのアクセスを重点的に確認することや、Access Checkで生成されるレポートを確認することで、内部不正の予防・早期発見が期待できます。

    さらにAccess Checkを活用することで、厳密な特権ID管理も合わせて実現することができます。
    リモートからの環境を整備することで、外部からの攻撃経路を増やしてしまうことは間違いありません。本番アクセス管理ソリューションで、絶対に守るべき特権IDを適切に管理することが必要です。

     

    特権ID管理とは?事故事例から見るベストプラクティス

     

    まとめ

    ICT技術の発展により、10年前では考えられないほど快適にテレワークを行うことができるようになっています。また、新型コロナウィルス感染症対策などの、外出を控えざるを得ない状況下において、テレワークを許可することは企業活動を継続するうえで重要な事項となっています。


    システム管理者がテレワークを実施する際に考えなくてはいけないこととして、リモートから管理対象システムへアクセスできることや、紙ベースでの運用を見直すこと、作業内容を記録することを解説しました。

    ぜひ、テレワークを推進するにあたり必要なセキュリティ対策に合わせて、ここで挙げたポイントについても考慮いただければと思います。

     

    テレワークのセキュリティ対策、事例に学ぶ失敗しないための3つのポイント

    SecureCube Access Checkを活用することで、テレワークでのシステム管理も安心・安全に実現することが可能です。ご不明点などございましたら、お気軽にNRIセキュアまでお問合せください。

     

    特権ID管理のオールインワンソリューション SecureCube Access Check 製品情報はこちら

     

     

    新規CTA

     

    新規CTA

     

    新規CTA