新型コロナウイルス（COVID-19）の蔓延を防ぐために、求められているのが人と人との接触機会の大幅な削減である。それを実現するための取り組みとして広まっているのがテレワークであり、緊急事態宣言が解除された5月25日以降、取りやめた企業もあるが、いまだに多くの企業でテレワークが実施されている。

テレワークはパンデミック対策として有効なだけでなく、育児や介護などの理由によりオフィスに出社することが難しい人でも働けること、さらに通勤時間がなくなることでライフワークバランスが改善することなど、さまざまなメリットが期待できる。このため、もし現状のコロナ禍が収束しても収まった後でも、ワークスタイルの1つとしてテレワークを積極的に採り入れる企業が増加することは十分に考えられるだろう。

ただしテレワークに取り組むのであれば、注意しなければならないのがセキュリティである。そもそも従来のセキュリティ対策は、従業員がオフィスの中で働くことを前提としていた。一方、テレワークは“オフィスの外”にある自宅で作業することになるため、従来の対策では十分にセキュリティを確保できない可能性があるわけだ。

ちなみにコロナ禍において、セキュリティインシデントは増加しており、JPCERTコーディネーションセンター（JPCERT/CC）は、2020年7月に発表した「インシデント報告対応レポート」において、4月から6月までのインシデント件数を7,123件（報告件数：10,416件）と発表。これは、前四半期（1月～3月）の5,509件（報告件数：6,510件）と比べると約1.3倍、前年同期（2019年4～6月）の4,213件（報告件数：3,830件）の約1.7倍増加にもなる。

引用元：JPCERT/CC インシデント報告対応レポート［2020年4月1日～2020年6月30日］[PDF p.5]

これまでのセキュリティ対策は、従業員が使うクライアントPC、あるいは業務アプリケーションの実行やデータの蓄積を行うサーバーはネットワークの内側にあり、それを外部（インターネット）からやってくる脅威から保護することを前提としていた。そこでネットワークの内側と外側の境界に、ファイアウォールやプロキシーを設置して通信を制御し、セキュリティを確保していた。

しかし従業員がテレワークで作業を行う場合、業務に利用するクライアントPCはネットワークの外側に置かれることになる。さらに業務で利用するサーバーもクラウドシフトが進んでいるため、必ずしもネットワークの内側にあるとは限らない。このように、守るべきものがネットワークの外側にも存在するようになったことで、従来のセキュリティ対策の基本的な前提が崩れつつある。

このような背景から、新たなセキュリティ対策として広まりつつあるのが「ゼロトラストセキュリティ」である。これは名前のとおり「何も（ゼロ）信頼（トラスト）しない」ことを前提としている。

従来のセキュリティ対策であれば、ネットワークの内側であれば信頼できるだろうと考え、最低限のユーザー認証だけでサーバーへのアクセスを許可するといったポリシーで運用していることが多い。逆に外部からのアクセスはサイバー攻撃の可能性もあると判断し、厳密にユーザー認証を行ったり、通信経路上で盗聴や改ざんが行われないように暗号化したりすることが一般的である。

これに対してゼロトラストセキュリティは、ネットワークの内側や外側といった区別は行わず、どこからのアクセスであっても適切にユーザー認証／認可を実施し、さらに通信経路も暗号化する。このように境界をなくすことで、アクセス先／アクセスもとにかかわりなく、一元的なセキュリティ対策を実現できることがゼロトラストセキュリティのポイントだ。

とはいえゼロトラストセキュリティであっても、ネットワーク上でのウイルス対策やインターネット向けトラフィックの制御およびログの取得を担うプロキシー、あるいはWebサイトへのアクセスをコントロールするURLフィルタリングなどが不要になるわけではない。

従来はこれらの機能をネットワークの境界で実行していたが、境界という考え方がないゼロトラストセキュリティではどこに配置すべきだろうか。その答えとなるのが、クラウド上に配置したインターネットゲートウェイだ。

クライアントPCが通信を行う際、必ずこのインターネットゲートウェイを経由させることで、セキュリティのために必要な処理を実行できる。さらに認証／認可を行うシングルサインオンのソリューションを組み合わせれば、インターネットゲートウェイ経由でクラウドにストレスなくアクセスできる環境を整えることも可能だ。

このゼロトラストセキュリティに加え、クライアントPCの保護を強化するためのソリューションとして「EDR」（Endpoint Detection and Response）にも注目が集まっている。

クライアントPCのセキュリティ対策としては、すでにウイルス対策ソフトが広く使われている。しかしながら日々大量に新種のマルウェアやその亜種が登場しているほか、攻撃の手口も巧妙化している現状では、ウイルス対策ソフトでは十分にサイバー攻撃を防ぐことができない。このような背景から、新たなセキュリティソリューションとしてEDRに注目が集まっているわけだ。

EDRはクライアントPCの動作ログを常時取得してサーバーに送信する。サーバー上ではログの分析が行われ、そこで不審な動きがあれば即座に管理者に通知して対策を促す。つまりEDRは、マルウェアの侵入を防ぐのではなく、侵入された場合に即座にそれを検知することで、被害の発生やその拡大を防ぐことに主眼を置いたセキュリティソリューションとなっている。

ただし、ゼロトラストセキュリティを採り入れ、EDRを導入したとしても、適切に運用管理が行われていなければ十分な効果を得ることはできない。具体的には、インターネットゲートウェイやEDRから出力されるログの監視、インシデント発生時の対応、エンドポイントであるクライアントPCにおける脅威の検知と対処などが挙げられる。

実際のところ、自社のリソースだけでこれらの業務に対応するのは容易ではない。そこでNTTドコモビジネスがマネージドサービスである「X Managed®」の中で提供しているのが「トータルマネージドセキュリティ」である。これは端末からインターネット、クラウドに至るまでの資産管理やエンドトゥエンドのセキュリティ対応、多言語ユーザーサポートなどを提供するソリューションである。

いずれにしても、テレワークの浸透やクラウドの普及により、これまでのセキュリティ対策の前提が崩れつつあるのは間違いない。サイバー攻撃によって大きな事故が発生する前に、すぐにでもセキュリティ対策の見直しに取りかかるべきだろう。

Q1：テレワークにおけるセキュリティの3大リスクとは何ですか？

A：おもなセキュリティリスクは、「端末の紛失・盗難による情報漏洩」「公共Wi-Fiなどの利用による通信内容の傍受」「VPNの脆弱性やウイルス感染による不正アクセス」です。これらは、社外で業務を行う際に境界型防御が機能しにくくなることで顕在化します。物理的、技術的、人的の3つの側面から対策を講じることが不可欠です。

Q2：テレワークを導入する際、企業が参照すべきセキュリティガイドラインはありますか？

A：総務省が策定した「テレワークセキュリティガイドライン」を参照することが推奨されます。このガイドラインでは、経営者が判断すべき管理体制から、利用者が守るべきルール、最新の技術動向までが体系的にまとめられています。自社のセキュリティポリシーを策定・更新する際の、信頼性の高いベースラインとして活用可能です。

関連記事：テレワークセキュリティ ガイドライン 第５版 （令和３年５月）

Q3：ゼロトラスト（Zero Trust）とは、テレワークセキュリティにおいてどのような考え方ですか？

A：ゼロトラストは、「何も信頼しないこと」を前提としたセキュリティ概念です。従来の境界型防御とは異なり、社内・社外を問わず、すべてのアクセスに対して認証と認可を行い、端末の安全性も都度検証します。テレワークのようにアクセス元が分散する環境において、情報の安全性を担保する現代の標準的な手法です。

関連記事：「ゼロトラスト」のセキュリティは何が優れているのか

Q4：多要素認証（MFA）を導入するメリットと具体的な方法を教えてください。

A：メリットは、パスワードの使い回しや漏洩によるなりすましを強力に防げる点です。具体的には、パスワードなどの「知識」に加え、スマートフォンのアプリなどによる「所持」、指紋や顔認証などの「生体情報」のうち、2つ以上を組み合わせて本人確認を行います。テレワーク環境では、リモートアクセス時の必須要件といえます。

関連記事：多要素認証とは？サイバー攻撃による突破を防ぐセキュリティ向上施策

Q5：自宅やカフェのWi-Fiをテレワークで利用する際のリスクと対策は？

A：暗号化されていない公共Wi-Fiや、セキュリティ設定が脆弱なルーターを利用すると、通信内容を盗み見られる恐れがあります。対策として、業務ではテザリングやモバイルルーターを使用するか、信頼できるネットワークからVPN経由で接続することが必須です。また、公共の場では、覗き見防止フィルターの装着も忘れずに行いましょう。