プロローグ

現代のビジネス環境では、テレワークがますます重要な役割を果たしています。しかし、テレワーク環境を提供する際にはセキュリティ上の課題が待ち受けています。USBデバイス、VPN装置などを活用して、社内ネットワークへのアクセスを提供するサービスは一般的ですが、これらは社内ネットワークが完全に安全であると仮定しています。しかし、この仮定が後に大きな問題を引き起こすことがあることを認識する必要があります。 

課題は、端末の紛失やパスワード漏洩よりも、社内ネットワークに存在する潜在的な脆弱性に起因することが多いのです。この脆弱性が原因で機密情報や顧客データの漏洩が発生し、信頼を失ったり、身代金が要求されたりする事例が増加しています。したがって、テレワーク環境を構築する際には、これらのセキュリティ課題をあわせて解決することが不可欠です。

セキュリティの観点から、新たなアプローチが注目されています。それが「ゼロトラスト」です。ゼロトラストは、従来のアクセス制御の方法とは異なり、社内LANからのアクセスだから通信を許可するなど１点のみを無条件に信頼せず、アクセスを許可するために複数の条件を満たす仕組みを採用します。たとえば、社内ネットワークからのアクセスだけを信頼することなく、会社支給のPCからのアクセスか？、セキュリティ対策実施済みのPCか？、ディスクは暗号化されてるか？などの条件を組み合わせてデータへのアクセスを許可するのです。このアプローチにより、セキュリティが向上し、脆弱性を突かれるリスクを軽減できます。　

ただし、専門のIT企業にゼロトラストの構築を依頼すると、費用は要件に応じて変動し、数百万円から数千万円に及ぶことがあります。社員数による費用の変動は大きくないため、社員数が少ない会社にとって、ゼロトラストを実現することは費用的に大きな負担となります。安価で安全なセキュリティ環境を実現する方法について、ここで提供いたします。

どうしたら「情報漏洩や身代金要求で困らないテレワーク環境」を手にいれられるのか

前に述べたように、ゼロトラストセキュリティを使うことで、セキュリティを向上させることができます。では、どのようなセキュリティ設定することが重要なのか、そのアプローチの考え方について説明します。

ゼロトラストが行えるようにデータをクラウドに移行

ゼロトラストを導入する際に、社内ネットワーク上のデータをクラウドに移す必要があります。例えば、ExcelやWordなどのファイルの場合、クラウドへの移行は比較的簡単に行えます。この具体的な手順については後で説明します。ただし、社内ネットワーク上に特定のシステムが存在する場合、それらをクラウドに移行する方法については、この記事では説明しません。

ユーザ名とパスワードが盗まれてもアクセスできないようにする

攻撃者は、フィッシングメール、ブラウザの脆弱性、暗号化されてない公共wi-Fiなどを利用してユーザ名とパスワードを盗みます。ここでユーザ名とパスワードが盗まれても会社が支給したPCからのみデータにアクセスが可能といった条件を作成することによりセキュリティを確保します。

PCが盗まれても情報漏洩を防ぐ

いくら、クラウド上にデータを保管して、ルールで端末のローカルディスクにデータを保管しない規約を作っても、ユーザはそれを破り機密情報をローカルディスクに保管することが考えられ、そのPC端末が盗まれてしまった場合は攻撃者はたとえPCにサインできなくてもハードディスクから直接データを盗み取ることができます。これを防ぐためにディスクを暗号化し、暗号化されているPCのみがデータにアクセスできるようにするといった条件を作成することによりセキュリティを確保します。

PCの脆弱性による情報漏洩を防ぐ条件をつくる

一般的にPCの脆弱性をなくすために以下の対策をおこないます。これらの対策を行っていないPCはは会社のデータにアクセスできないようにすることによりセキュリティを確保します。

他にもさまざまな条件をつくることはできるが、上記は基本的な条件となります

怪しいアクセスを自動で遮断

普段利用していない場所や、海外からのアクセスなどを自動で検知し、検知した場合は多要素認証を用いて本人確認をおこなうことによりセキュリティを向上させます

テレワーク環境構築で後悔しないためにに知っておくべきこと

容易で安価なテレワーク環境を安易に選択してはいけない

社内のPCに自宅からリモート接続させるサービスをよくみかけます、それは１人あたり数千円で安価かつ容易に導入可能な事が多いですが、前述したとおりそもそも社内ネットワークが安全であることを前提にしています。これらのサービスとゼロトラストのライセンス費用と比較してほしい、ライセンス費用は大差ないのに、前述した様々な条件を加えることができセキュリティ確保のレベルがまったく異なることは理解できるとおもいます。その他にVPN装置で社内LANと接続する方法もありますが、これはよく厚生労働省や各都道府県の助成金の案内と共に営業してきますが、そもそもそのような高価な装置が必要か十分検討が必要です。またVPNがいかに危険かを検索することを推奨します。

専門家にテレワーク環境構築依頼が本当に必要か検討しよう

たとえば、会社がすでにセキュリティポリシーを持ち、社内ネットワークのセキュリティおよび運用を専門家に委託している場合、テレワーク環境にそのポリシーを適用する必要があります。この場合、現状の確認から始め、テレワーク環境での運用ポリシーを検討し、実現可能性と予算を考慮して要件を整理する必要があります。こうしたケースでは、専門家の助けを借りることが避けられません。

しかし、セキュリティポリシーや専門家のサポートがない場合、高額なコストをかけずにテレワーク環境を自力で構築することも可能です。ベンダーに構築を依頼すると、ベンダーロックと呼ばれる状況に陥り、保守費用を支払い続けたり、ライセンス料金で不利な立場に立たされることがあります。しかし、自力で構築すれば、ライセンスは複数の業者から入手可能で、最もコスト効率の良い選択肢を選ぶことができます。

自力でテレワーク環境を構築するための手順

では、どのようにして前述したテレワークを構築すればよいのでしょうか、具体的な手順について述べます。以下の１．～6.を実施すれば、「情報漏洩や身代金要求で困らないテレワーク環境」を手にいれられることができます。多少の労力は必要としますが、同じ環境を専門家に依頼した場合の金額と比較し対費用効果を実感いただきたいと思います。

• 1.事前準備
• 2.ゼロトラスト実現に向けデータをクラウドに移行
• 3.準拠PCのみアクセスを許可するように設定
• 4.会社支給のPCは準拠PCとなるように設定
• 5.PCの暗号化を自動化し暗号化されていないPCは非準拠PCとなるように設定する
• 6.PCのウィルス対策を自動化し脆弱なPCは非準拠PCとなるように設定する

最後に

Intuneを利用することで、費用をかけずに、デバイスの登録、構成、コンプライアンス、アプリの管理と保護などの機能を活用し、 以下の条件すべてをクリアしないと会社のデータ（SharePoint上のデータ）にアクセスできない環境の構築手順を上記の通り提供しました。

• • 1.事前準備で作成されたユーザであること（IDとパスワードを知っている社員のみであること）

• • 会社が支給したPCであること

• • PCは暗号化されていること

• • PCはウィルス対策がとられていること

ゼロトラストで安心・安全なテレワークライフを是非実現してください