EN

NRIセキュア ブログ

テレワークのセキュリティ対策、事例に学ぶ失敗しないための3つのポイント

目次

    designer hand working laptop with green plant foreground and digital social diagram layers on wooden desk in office

     2018年6月29日の参院本会議において、政府が最重要法案と位置づけていた「働き方改革関連法」が成立しました。改正骨子の一つが ”時間外労働の上限規制の導入” です。セキュリティ人材不足は依然として深刻ですが、大企業では2019年4月から上限規制が施行されており、セキュリティ業務においても、さらなる生産性の向上が求められます。また、2020年4月からは中小企業でも施行開始となるため、生産性向上は日本企業全体の課題になります。

     加えて、2020年1月に世界経済フォーラム(WEF:World Ecconomic Forum)が公開したThe Global Risks Report 2020 では、環境関連のリスクが上位を占めており、異常気象や自然災害などが世界中の企業にとっての避けることのできないリスク要因になっています。


     また最近では、新型コロナウイルスが日本でも猛威を振るい始めており、企業は新たなリスク要因として、さまざまな対策や検討を開始しています。このような法規制・環境リスクなどの観点から、昨今の日本では、自宅にいながら働く「テレワーク」に注目が集まっています。

     

     本記事では、テレワークを推進するにあたっての、セキュリティ上の課題と必要な対策について、事例をまじえて解説します。

     

    CSPM製品活用セミナー ~クラウドの情報漏洩を引き起こす”設定ミス”をいかに無くすか~

     

     

    テレワークの実態・効果とは?

     テレワークの定義や企業や組織における導入状況やその効果などを把握したい場合、何を参考にすれば良いのでしょうか?

     

     さまざまなデータがありますが、ここでは、2018年7月11日の第5回働き方改革EXPOにおいて「テレワークの最新動向と総務省の政策展開」という、総務省が公表している情報を取り上げます。テレワークの現状実態や将来に向けた展望などが広範かつ重厚にまとめられており、参照・活用価値がとても高いです。

     

     

    ICT-telework

     

    【出典】テレワークの最新動向と総務省の政策展開「テレワーク・デイズ」を通じた働き方改革(https://teleworkdays.jp/docs/2018Lecture.pdf)

     

     

     本資料の内容から、3つの注目ポイントを簡易にまとめてみます。


    1)テレワークと生産性の向上
     テレワークを導入していない企業 599万円
     テレワークを導入している企業  957万円(約1.6倍)
      ※数値算出の公式も掲載されています

    2)テレワークの普及状況
     テレワーク導入企業 13.9%(導入予定も含めると18.2%)
     導入済企業でも、利用者数は従業員の5%未満に留まっている企業が51.4%

    3)テレワーク導入状況の国際比較(企業)
     アメリカ 85.0%
     イギリス 38.2%
     ドイツ  21.9%
     フランス 14.0%
     日本   13.9%

     

     

     ここまでの内容をふまえて、テレワークをPESTで分析してみます。いくつもの事象が絡み合い、テレワーク推進に追い風が吹く背景が見えてきます。

     

    telework-background-pest-analysis2

    PESTによるテレワークの環境分析(NRIセキュアが作成)

     

     

     少子高齢化の進展、業種・業態を問わず人材が不足している状況、加えて若者の就職観の変化やワークライフバランスを重視する傾向が顕著です。そんな状況下において、企業は法規制の要請を踏まえた上で、働き方改革の具体的な打ち手として、テレワークの本格導入・推進を、以前よりも本気度を高めて検討しているのが日本の現状実態ではないでしょうか。  

    テレワークの推進によって発生するセキュリティの課題

     先日、従業員の100%がテレワーク環境で業務をしているアジャイル開発ベンダーの経営企画役の方と対話した際、印象に残る言葉がありました。

    『弊社は完全なテレワーク環境下で開発する業務スタイルです、と説明すると、

     必ずお客様から、

     

     ”労務管理は大丈夫なんですか?”
       ”セキュリティは大丈夫なんですか?”

     

     という、2つの質問をされるんです』

     テレワークでの業務に対する期待と懸念は以前からあります。あらゆる物事にはメリット・デメリットの双方があるため、もし懸念のみにフォーカスすると「従前の業務形態を踏襲=オフィス中心、テレワークは適度に部分導入」という結論に繋がりがちです。

     しかしながら、さきほどのPESTによる現状環境分析を踏まえると、今後は「リスクがあるから、テレワーク禁止・抑制」とだけ言い続けることが難しくなってきた(=事実上無理になった)印象を受けます。テレワーク活用の潮目は、より積極的な活用の方向へ変わったと捉えるべきではないでしょうか。

     

     では、安全なテレワーク環境を実現するために、どうすれば良いのでしょうか?

     

    telework-issue【出典】テレワークの最新動向と総務省の政策展開「テレワーク・デイズ」を通じた働き方改革(https://teleworkdays.jp/docs/2018Lecture.pdf)

     

     さきに紹介した「テレワークの最新動向と総務省の政策展開」においても、テレワーク導入の主な課題がまとまっています。スライド左下の ” 情報セキュリティが心配 ” の下部には「先進企業の運用ポリシー参照が有効」と書かれています。以降では、セキュアなテレワークの先進事例を紹介します。  

    テレワークのセキュリティ対策を実現するための3つのポイントを事例とともに解説

     テレワーク環境に関するあらゆる課題は、オフィスと物理的に離れている場所(サテライトオフィスや在宅勤務など)で業務を実施することに起因します。この大前提に立った上で、テレワーク環境のセキュリティ強化を検討することが、結果的には対策効果を高めます。

    • <テレワーク環境のセキュリティ強化ポイント>

       ① コミュニケーション重視

       ② 利便性への配慮

       ③ 実現・継続可能な運用

     なぜ、この3つが強化のポイントと言えるのか。先進事例とともに検証してみましょう。

    事例1 A社(IT)「コミュニケーション重視 × 緊急連絡」

     A社では、テレワークでの業務を積極推進していますが、社員同士・パートナーとのコミュニケーションも必要であるため、ビジネスチャットやWeb会議を積極活用して、社内外とのコミュニケーションやWeb会議を活性化しています。

     

     A社で注目すべきは、社員全員がアクセスするWebポータルサイトを整備し、そこに情報を集約していることですが、当該Webポータルの上部に「緊急連絡」というボタンを配備していることです。

     

    Young woman touching future technology social network button

     

     その狙いは、たとえば在宅勤務の環境でセキュリティインシデントが発生した際、もしくはなにか怪しい・おかしいと思う兆候に気づいた場合に、簡単かつ即座に異常を伝える手段を用意することで、テレワーク環境における初動対応の迅速性と社員が課題を一人で抱え込まないようにするメンタル面への配慮の徹底にあります。

     

     緊急連絡ボタンを押すと、情報セキュリティ委員会と担当役員へ即座に通知が飛ぶため、遠隔でも変化に迅速に気づけます。A社では、当該社員からの相談・報告内容を見て、即座のアクション要否を判断しています。

     

     また、ボタンは押したけれども、相談を途中で止めてしまった社員にも気づけるため、その際はセキュリティ委員会側から丁寧に声をかけてフォローしているそうです。まるで、実社会の110番や119番の仕組みをWebポータルに実装した、遠隔でも人的な配慮・人の繋がりを感じられる好事例です。

    事例2 B社(製造業)「アクセス制御と利便性の両立」

     昨今のIT利用における特徴と言えば、クラウドファーストなどの言葉に象徴される、インターネットで提供されるサービス利用が盛んであること、加えてインターネット空間におけるサイバーセキュリティ脅威が高まっていることです。

     

     B社では、オフィス内のPCからインターネットに出ていく通信をモニタリング・コントロールすることで、不正・不要なWebサービスへのアクセスを制御(警告・遮断など)していました。テレワーク環境においても、VPN接続を強制し、常に対策が施された安全な社内ネットワーク経由でのアクセスを強制していました。

     

     しかしながら、このセキュリティ面の配慮が、接続元の地理的・システム的な制約なども重なって、利用者の接続に要する手間・時間(遅延など)を増やした結果、利用者がVPN 接続を回避したり、強制がおよばないデバイスで業務をしてしまうなど、シャドーITの誘発要因になっていることに気づきました。既存セキュリティ要件とネットワーク利用のトレンドがアンマッチしている状況だったわけです。

     

     

    Big padlock with circuit board and drawings floating around with sky on the background

     

     そこでB社は、ネットワークソリューションを見直し、仮想閉域網を採用することで、テレワーク環境のセキュリティ担保と利便性考慮に具体策を講じました。

     

     会社指定のWeb会議サービスを定め、当該アクセスを直接インターネット通信に変更して利便性を高めたり、最寄りのアクセスポイントから利用できるため、ネットワーク遅延を最小化しつつ、セキュリティレベルを維持しました。利便性とセキュリティが並走している好事例と言えます。

    事例3 C社(金融)「マルウェア感染と論理的な隔離・封じ込め」

     テレワークの環境下、ある社員の自宅ネットワークに繋いだ業務PCでマルウェア感染・侵害が発生した場合、どうすれば良いのでしょうか?


     感染場所を問わず、マルウェア感染対応の肝は「迅速な検知 → 的確な初動対応 → 社内外専門家との適切かつ迅速な連携 → 隔離・封じ込め → 本格対応」などの正しいプロセスの理解と実行に尽きます。これらのプロセスを、社内だけでなく、オフィスとロケーションが離れたテレワーク環境においても実施可能な仕組みとして整える必要があります。特に見過ごされがちなのが、初動対応における環境差異への配慮です。

     

     企業のセキュリティポリシー・ルールにおいて、

     「マルウェア感染時は、LANケーブルを抜く or 無線LANをオフにする」
     などの初動対応が定義されているケースがあります。

     

     オフィス内であれば、社内ヘルプデスクがあり、いざとなれば感染した社員の席にヘルプデスク要員が出向いて、対応することが可能です。人による直接対応が前提であれば、ネットワークに繋がっていない状態(LANケーブルが抜かれた、無線LANをオフにした)でも、手の施しようがあります。

     

     一方で、テレワーク環境(社外に端末がある)では無力です。企業のヘルプデスク要員が遠隔地から感染PCにリモート接続するとしても、ネットワークが繋がっていなければ、なにもすることができません。このような状況下でも、もう1台の別PCを使うことや携帯電話を使うことで、遠隔から初動対応を支援する選択肢もありますが、感染・侵害の疑いがあるネットワークへ別PCを接続することの是非や対応の効率性などに疑問が残ります。

     

    Team Work on the Mechanism of Metal Gears.

     

     そこでC社は、業務PCに EDR (Endpoint Detection and Response) という製品を導入し、テレワーク環境におけるエンドポイントセキュリティの強化と柔軟な運用を実現しました。

     

     EDR を導入したことで、社内・社外というロケーションを意識せずにマルウェア感染・侵害に対して、迅速に調査・対処が可能です。特に、EDR の管理画面を通じて、リモートから感染端末を “論理的にネットワーク接続不可” な状態にできるため、端末をネットワークに繋いだまま、物理的な対応なしで即座に隔離することができる点で格段に進化しました。社内外への二次感染やさらなる被害拡大を防ぐ意味でも、大きな効果を発揮しています。

     

     働き方改革とEDR の関係性やより具体的なインシデント対応事例について、詳細を知りたい方は以下の記事もご覧ください。 

     

    EDRとは?導入事例から考える新たなセキュリティ管理の姿

     

    EDRでセキュリティの現場が変わる

     

    NRIセキュアが提供するテレワークセキュリティのソリューション

     NRIセキュアでは、セキュアなテレワーク環境を実現するためのソリューションとして、「Cato Cloud」と「Zscaler」というサービスを提供しています。

     Cato Cloudは、SD-WAN機能やファイヤウォールなどのネットワークセキュリティ機能を兼ね備えたクラウドサービスで、複雑で多様化した企業のネットワークをシンプルに束ねることができます。これによって、運用業務を効率化し、モバイルや外部拠点を含めたセキュリティポリシーの一括管理、回線コストの削減が可能になります。

     

    CATO_6

    高速でセキュアなリモートアクセス・拠点間ネットワーク・インターネットアクセス 『CATO Cloud』

     

     

     

     Zscalerは、URLフィルタをはじめ、アンチウイルスやコンテンツ検査、サンドボックスなど複数のセキュリティ機能を持ったクラウドサービスであり、ロケーションやデバイスに制約されることなく、インターネットアクセスにおけるセキュリティ対策を統合的に実施・管理することが可能です。

     

    Zscaler-3

    ロケーションやデバイスに制約されないインターネットアクセス環境を実現 『Zscaler』

     

     

    自社のテレワーク環境のセキュリティを簡易評価してみる

     そして、もし、あなたが「自社のテレワーク環境のセキュリティはどうなっているのか?」という疑問を感じたり、もしくは取引先や上司などから「ウチのテレワーク環境は安全なのか?」という問いを投げかけられたりしたら、何ができるでしょうか?

     そんな場合は、是非とも『Secure SketCH』を活用して、テレワーク環境のセキュリティ対策状況を把握してみてください。Secure SketCH ではグローバル標準を基にした独自のセキュリティ対策フレームワークをプラットフォームに組み込んでいるため、”網羅的かつ簡易的“ にセキュリティ対策状況を評価することが可能です。

    Secure SketCH サービス紹介はこちら

    おわりに

     セキュリティを考える時、長い間、利便性と安全性のトレードオフが議論され続けてきました。これは、テレワークを実践している企業においても同様の課題です。しかし、昨今のテクノロジーの進化、セキュリティサービスの拡充により、利便性と安全を同時達成できる可能性がかつてないほどに高まっています。

     NRIセキュアは、「テレワークでも、利便性と安全性がオフィスと同等レベル」という、強固なセキュリティが伴った理想的なテレワーク環境の実現に貢献していきます。

     

     

     

     

    新規CTA

    テレワークのセキュリティ対策パンフレット

     

    新規CTA