「ゼロトラスト」テレワークをトラスト・ログインが支援
新型コロナウイルスの急速な広がりに対応して、多くの企業では「従業員がオフィス以外の場所から勤務する」テレワークを導入しました。しかし、なし崩し的にテレワークを導入した企業では、十分な情報セキュリティ面での検討・リスク低減のための対策を行わずにテレワークに踏み切った企業も多数あり、不正アクセスなどのリスクが懸念されています。
会社パソコンの自宅持ち帰りによるテレワークのリスク
総務省が公表している「テレワークセキュリティガイドライン」には、「リモートデスクトップ方式」「仮想デスクトップ方式」など、テレワークで業務を行う上でどのように端末を利用するかについて6つのパターンを提示しています。
情報システム予算が比較的大きい大企業であれば、テレワーク専用の端末やパソコンの提供などが可能ですが、多くの中小企業であれば、6つの方式の比較検証の実施や、コストがかかる方法の選択は難しいため、最も安価かつ手軽な「会社パソコンの自宅持ち帰り」によるテレワークが選択される場合が多いと考えられます。
会社パソコンを自宅に持ち帰ってテレワークを行った場合のリスクには、以下のようなリスクがあげられます。
- 従業員が自宅で古い暗号方式の無線LANルータを利用してしまう
- 無線LANの暗号方式が古い場合に、暗号が解読されてしまうリスクがある
- カフェなどで暗号化されていない無線LANを利用してしまう
- 通信内容が暗号化されていないため、悪意のある第三者に通信内容が傍受される可能性がある。
- 従業員が『テレワーク実施のために必要』を口実に、会社が許可していないアプリをインストールしてしまう
- 信頼性が低いアプリをインストールしてしまった場合、パソコンでの操作内容、通信内容が悪意のある第三者に渡ってしまう。
- 会社パソコンを使って、業務以外の動作を行った結果、不正なアプリが勝手にインストールされてしまう。
- パソコンでの操作内容、通信内容が悪意のある第三者に渡ってしまう。
ネットワークやセキュリティに知識のある従業員であれば、上記のようなリスクを自身で判別して対策を取る(または対策を取るための費用を会社に請求する)ことができますが、知識のない従業員であれば「何がリスクなのか」すら分からないまま、問題が放置される可能性が高いのが実情です。
このため、持ち帰った会社パソコンを用いて、従業員が自宅からVPN経由で社内ネットワークに接続している企業は、高いリスクにさらされます。セキュリティ対策がなされていない会社パソコンがわずか1台でも、VPN経由で社内ネットワークに接続することは、企業が保有する機密情報、顧客情報を危険にさらすとともに、社内システムを危険にさらすためです。
テレワークにおけるゼロトラストの必要性
上記のようなリスクに対応するには、「社内ネットワークだから安全」という考え方を捨てて、「全てが危険で信頼できない」という前提に立つ、ゼロトラストの考え方が必要となります。
企業の情報システム部がほぼ全てを管理できるオフィス内のシステムならびネットワーク環境と異なり、情報システム部が従業員の自宅のネットワーク環境・端末環境まで管理することは不可能なためです。
一般的な企業では、従業員が業務で利用するシステムは「クラウドサービス」と「自社で運用する社内システム」の2つです。
クラウドサービスは、サービス事業者が開発・提供するものなので、そもそも社外のシステムです。社外のシステムであるために、「全てのアクセスは基本信用できない」という前提で運用されています。
これに対して社内システムの場合は、社内ネットワークに入ってしまいさえすれば、認証不要でアクセスし放題という仕組みを構築している企業が多いのが実情です。利便性を向上するうえでは、この方法は望ましいものですが、ゼロトラストの考えに立つと「一度侵入されると、全てのシステムに自動的にアクセス可能」という非常に危険な運用となります。
よって、「社内ネットワーク」という考えを捨てる必要があります。テレワークにおいては特に、「社内であろうと、クラウドであろうと、システム利用時には必ずセキュリティレベルの確認を行う」「セキュリティレベルが低いアクセスや操作を許可しない」という運用が必要です。
テレワーク+ゼロトラスト運用時の認証
テレワーク実施時、従業員は社外のネットワークから「クラウド」「社内システム」にアクセスして業務を行います。社外からのアクセスを全く信頼しない前提に立つゼロトラストでは、セキュリティレベルが低いと判断される操作は許可されなくなるため、従業員の利便性が大幅に低下する可能性があります。
認証もその一つです。「一度社内ネットワークに入ると、基本的に追加の認証が不要」という従来型の考えから、「各社内システムへのアクセスを、都度検証し、セキュリティレベルを確認する」というゼロトラストの考え方となると、認証時におけるセキュリティレベルを引き上げる必要があります。
具体的には、「(1) より安全性が高い認証を用いる」ならび、「(2) 複数の認証要素を用いる」ことを併用することです。
まず(1)ですが、一般的なパスワード認証を利用せず、SAML認証のように「パスワード情報を直接送受信しない認証方法」でシステムにアクセスする方法です。これにより、仮に、送受信される情報を傍受されたとしても、傍受した情報を利用して不正アクセスを行うことはできません。
SAML認証に対応していないシステムの場合は、パスワードを使わざるを得ません。この場合、「よく利用されるパスワードを使わせない」「パスワードの使い回しを防ぐ」といったパスワードの基本を従業員任せにせずに、情報システム部門で一元管理する必要があります。
次に(2)ですが、オンラインバンキングの認証で一般的に行われている「パスワードとワンタイムパスワード」といった複数の認証要素を用いた認証(二要素認証、二段階認証)を、社内システムやクラウドに認証する際にも用いるという方法です。仮にパスワードを突破されたとしても、追加の認証を突破しなければ不正アクセスは行えないため、セキュリティレベルを高めることが可能です。
トラスト・ログインでテレワークの認証強化を実現
当社が提供する「トラスト・ログイン」は、SAML認証を利用可能とするだけでなく、従業員が利用する社内システム・クラウドサービスのパスワードを一元管理できる製品です。さらに、二要素認証にも対応しているため、万が一のパスワード漏えい時でも不正アクセスを防ぎます。
テレワークという「情報システム部門が管理できない環境」におけるセキュリティレベルを高めつつ、安全なシングルサインオンを提供するため、「セキュリティ」と「利便性」を両立させ、従業員の生産性を阻害しません。
ぜひ資料請求頂き、テレワーク時のセキュリティ強化にトラスト・ログインをご活用ください。