新型コロナウイルス感染症の拡大を受けて、企業の間では在宅ワークを中心としたテレワークが一気に拡大することとなった。しかしながら、必要に迫られて緊急的にテレワークへと踏み切ったものの、課題となるのがセキュリティをどう確保するかだ。
そこで今回は、このような“ニューノーマル時代”において、テレワークにおけるセキュリティのあり方を探るべく、ITジャーナリスト三上洋氏を招いて、セキュリティベンダーとの対談を実施した。
セキュリティベンダー側からは、MobileIron シニアチャネルセールスマネジャー ・エバンジェリストの李奇リチャード氏、同 シニアソリューションアーキテクトの宮田智基氏、マクニカネットワークス株式会社 第4営業統括部第1営業部第1課の原昂汰氏が参加した。
緊急的なテレワーク開始後に直面する、セキュリティの問題
──まずは三上さんにお聞きします。急速にテレワークが普及する中での企業のセキュリティついて、昨今のトレンドや企業が抱えている課題などを教えてください。
三上氏:とにかく一番大きな要素と言えるのが「緊急性」ですね。多くの企業が新型コロナウイルス感染症の影響で、突如として会社のPCを家に持ち帰って仕事をしなければならないという状況に置かれました。“とにかくテレワークでも仕事を続けられるようにしなければ、でもセキュリティは大丈夫だろうか?”という、まさに事業継続とセキュリティが天秤にかけられた状況にあると言えるでしょう。そしてIT部門の人などからよく聞くのが、「この状況になって『ゼロトラスト』の意味がやっとわかった」といった声ですね。
──そうした状況にあって、業務におけるモバイルの活用方法やモバイルセキュリティに対する関心度など、“コロナ以前”と比べてどのように変化しつつあると見ていますか。
三上氏:特にモバイル限定ではありませんが、在宅ワークでは社員の個人の回線から業務で使うクラウドサービスにアクセスするケースも多いため、どうセキュリティを担保するかが課題となっています。
また、一気にテレワーク、なかでも在宅ワークが増えた3、4月辺りには、PCが売れてしまい店頭にない状態が続きました。そのため、スマートフォンやタブレット端末で仕事をすることが増え、MDMでデバイスを管理しているものの、個人回線からのクラウドサービスへのアクセスや社外から社内リソースへのアクセス増加などによるセキュリティの問題に直面することになります。BYODでのリモートワークを、運用規定などが曖昧なままスタートしてしまったものの、本当にセキュリティは担保されているのか?どうやって安全に管理すればいいのか?という段階にきたわけですね。
コロナ以前にはそこまでの意識のある企業は多くはありませんでしたので、嫌でも考えざるを得ない状況となったことで、ようやくモバイルデバイスのセキュリティを検討し始めたという印象です。
高まる「ゼロトラスト」なセキュリティ製品への注目度
──これまでの三上さんのお話を踏まえて、テレワークやモバイルのセキュリティの現状についてどのように受け止めていますか。
リチャード氏:まさにおっしゃられたとおりです。ほとんどの企業では、3、4月というコロナ禍の初期は、とにかく仕事の継続が最優先されて、個人の端末でも何でもいいから家でも仕事をしなければいけないといった状況でした。IT部門もほぼそのようなBCP対策に専念していましたから、なかなかセキュリティまでは手が回らなかったというのが現実でしょう。それが少し落ち着いてきてから、徐々にセキュリティへの懸念が高まってきて、さらにこの混乱に乗じてハッカーの攻撃対象にもなっている今が丁度、具体的にどこが問題なのか?どんなセキュリティ対策をしなければならないか?を検討しはじめている時期なのでしょう。
お客様と話をしていて、具体的なセキュリティの懸念事項として多いのがフィッシング攻撃ですね。誰かがうっかりとメールやSMSのフィッシングリンクをクリックしてしまったら、社内のシステムに侵入できてしまう可能性もあることから、それをどう防げばいいのかといった相談がここに来て増えています。
その際にも、VPNで通信経路を守るだけではなく、エンドポイントをどう守るのかが課題として挙げられます。PCで機能するアンチウイルスなどの外部脅威対策も、スマートフォンやタブレット端末に関してはまだ認知されたばかりですし、EDRの様な可視化対策もできていないという懸念があります。このような状況下で、どうモバイルデバイスのセキュリティを守るかという話になり、そのためのソリューションへの注目度が高まっていますね。
原氏:そうですね。テレワークでモバイルデバイスの業務活用が高まれば高まるほど、ゼロトラストな発想に基づいたセキュリティソリューションの話が目立ってきています。
そして、そこにあるのは“MDMだけでモバイルデバイスのセキュリティは担保できるのか?”という課題感だと考えます。単なるデバイス管理機能だけのMDMを導入しているケースは多いものの、もしも端末を紛失した際にデータを消去できれば十分と考えているケースが大半です。しかしフィッシング攻撃など、MDMでは対処できない脅威も高まっていることから、モバイルデバイスもPCと同等のセキュリティ対策が求められているという認識が少しずつ高まっている段階です。
高まる、条件付きアクセスを実現するソリューションのニーズ
──テレワークにおけるセキュリティについて、参考になる事例があれば教えて下さい。
三上氏:やはり有名な三菱重工グループで生じた不正アクセス事件でしょうね。これは、社員が在宅勤務時に外部ネットワーク経由でSNSを利用した際にPCがウイルスに感染し、その後に出社して社内ネットワークに接続したことから感染が拡がった事件です。今までの、境界外は危険で、境界内は管理されているから安全だという発想はもはや通用しなくなってきているわけです。まさにゼロトラストの必要性を示している事例と言えるでしょう。
そしてもう1つ、パスワードをユーザー間や複数のアプリで共用していたことも問題です。これにより、感染したPCから社内のネットワークにログインできてしまったわけです。社内ネットワークは境界内だからと安易にパスワードを使いまわしてしまうことがありますが、そうした境界内の“安全神話”が崩れ去った象徴的な出来事なのです。
さらに、テレワーク開始以降、宅配業者を装ったスミッシング攻撃が増えていて、セキュリティ会社の調査によれば、日本国内でも25,000台以上の端末に不正アプリが入ったままになっていると言われています。8月には日本語によるEmotetの攻撃やビジネスメール詐欺も増えている状況です。
──これまでの話しに出てきた課題や企業が求めているセキュリティ対策においてどのような解決策があるか教えてください。
原氏:いま挙げられた、パスワードによる認証方式が非常に脆弱であるということや、外に持ち出すモバイルデバイスのセキュリティとクラウドアクセスの認証を強化する必要がある、といったような課題を解決するためにMobileIronを導入いただくケースが増えています。
まず、エンドポイントセキュリティの観点では、MobileIronには、フィッシングなどを含む外部脅威対策ソリューションが組み込まれています。またパスワードの問題にしても、MobileIronはセキュリティポリシーに合致した端末とアプリだけが証明書認証でアクセスできるため、パスワードに依存しません。煩わしいパスワード入力をなくすことで、ユーザー側の利便性とセキュリティを同時に向上できるのもポイントです。
リチャード氏:ユーザーIDとパスワードの認証では、先の三菱重工グループのセキュリティ侵害事件のようにもはや安全は守れず、むしろパスワード認証を使っていることが危険につながりました。予め会社に認められたデバイスやアプリケーションかどうかを確認し、さらに中間者攻撃なども受けていないかをチェックしたうえで会社のリソースにアクセスできるようなソリューションが強く求められるようになっています。
宮田氏:外部脅威をその場で検知する機能を持つだけでなく、IT管理者が普段からユーザーに対して、デバイスやアプリの自動設定やパスワードレス認証によるシンプルなユーザー体験を提供しておくことが大切です。攻撃者がユーザーを騙して不正なアプリやプロファイルをインストールさせたり、偽サイトにパスワードを入力させることがよくありますが、そういった操作が普段行うはずのないものであれば、ユーザーが異変に気づくことができる可能性がより高まるのではないでしょうか。
まずは古いセキュリティの考え方からの脱却を
──最後に、ニューノーマル時代を勝ち抜くことを目指して、企業や読者の方に向けて、それぞれ一言メッセージをお願いします。
三上氏:偶然にも、最近世間を騒がせた「ドコモ口座事件」は、“境界を守っていれば安全”といった従来のセキュリティ対策の考え方がもはや通用しないという現実を明確に突きつけていると言えるでしょう。これまでの口座振替というのは、電気会社やガス会社、クレジットカード会社など、十分な信用が担保された組織間でしか使えない、まさに境界内にあったわけです。そうした境界が前提になっていたシステムに、今では匿名性の高いキャッシュレス決済などが取り入れられたことで、セキュリティを確保できなくなっている事実が露呈してしまったのです。つまり、古い仕組みに新しい仕組みを載せてしまったことで、セキュリティに穴ができてしまったということでしょう。
今までの「社内」「社外」に分けたセキュリティの考え方を一度リセットし、モバイルを含めたすべての端末をすべての場所で安全に使う仕組みを考える必要があります。
宮田氏:古い仕組みに新しい仕組みを載せられないということは、企業のセキュリティポリシーについても言えます。ある企業にパスワードレスの認証を導入いただいた際、当時のセキュリティポリシーではIDとパスワード+何らかの二要素認証が必須と定められていたためその内容に縛られてしまい、新しい仕組みを取り入れるのに苦労しました。セキュリティと利便性のベストプラクティスは変わっていきますから、このような本末転倒な事態にならないためにも、その時代にあったセキュリティポリシーをぜひ再検討していただきたいですね。
リチャード氏:パスワードレスの認証方式を一気に全面的に導入することは、ハードルが高いかもしれませんが、その場合、まず条件付きアクセスをしっかり実装していただきたいと思います。それだけで、セキュリティリスクを低減させることができます。ただし、将来的に、パスワードレスの認証方式が必ず普及しますので、それを目指して、ロードマップを作って、検討していただきたいと思います。パスワードに依存する認証方式をやめることによって、より強固なセキュリティが実現できるだけでなく、より良いユーザー体験を従業員に提供できて、更に生産性を高めることもできます。あと、忘れてはいけないのは、毎年パスワードの入力やリセットに実に多くの時間とコストを費やしています。パスワードレスの認証方式を導入することで、コスト削減にも繋がります。ぜひ、パスワードのない未来を目指していただきたいと思います。
原氏:古くから言われてきたいわゆるモバイルOSの“安全神話”も、そろそろ崩壊しているという現実をぜひ受け入れていただきたいです。最近フィッシング攻撃などにおいても、モバイルデバイスが攻撃の対象となり、その脆弱性が顕在化してきているのは明らかですので、今後はOSのデフォルトの安全設計だけに頼らずに、外部脅威対策などのセキュリティを確保する方法も考えていくべきではないでしょうか。
企業のエンドポイントセキュリティ全般、とりわけ最近ニーズが高まっているモバイルセキュリティについて、境界を前提としていたセキュリティのあり方をまずは見直し、MDMだけでなく条件付きアクセスやパスワードレス、外部からの脅威防御対策などの総合的なセキュリティソリューションの検討を強くおすすめしたいですね。
なお、今回対談したMobileIronが提供するセキュリティ製品についてウェビナーを開催いたします。ご興味のある方はぜひご参加ください。
ウェビナーの詳細はこちらから!
2020年 11月6日(金) 10:00~11:00開催!
『ニューノーマル時代におけるテレワークのセキュリティはどうあるべきか
~パスワードの脆弱性とフィッシング対策を考える~』
■関連情報
MobileIronhttps://www.mobileiron.com/ja
マクニカネットワークス株式会社
https://www.macnica.net/mobileiron/threatdefense.html/
[PR]提供:MobileIron