1. TOP
  2. ニュース&トピックス
  3. セキュリティコラム Vol.2 「リモートワークを導入する前に ~セキュリティ対策指針の立て方~」
Technical Term

セキュリティコラム Vol.2 「リモートワークを導入する前に ~セキュリティ対策指針の立て方~」

トピックス

こんにちは、セキュリティコラム第2回目の配信です。セキュリティコンサルタントの分析というよりは現場の視点から、企業のセキュリティ課題について役立つ情報を提供していけたらと考えています。

2回目は「いま企業にとって火急の課題となっている在宅勤務(リモートワーク)とセキュリティ対策について」です。最近COVID-19(新型コロナウイルス)対策としてのリモートワークを勧めるメルマガが頻繁に届いているのではないでしょうか。

利便性とセキュリティを天秤にかけてどのレベルの対策を採用するか、企業の事情によってさまざまだと思います。そこで今回は、考え方・検討の仕方についてシナリオ別に考えてみることで「何を採用すべきか」を決めるための指針を作っていく提案をいたします。

東京五輪や新型コロナウイルス対策でリモートワークを進める必要に迫られる中、すべての企業が「最善の対策」が取れているわけではない、というのが実情ではないでしょうか。あれもこれもと考えると何を実施して何を実施しないでおくか判断がつかなくなる場合があるかと思います。そういう場合はシナリオを用意して、シナリオ別に検討していくとできることで必要な施策がわかりやすくなるかもしれません。

そこで今回はシナリオ別にリスクを提示し、「最低限やるべき事」から「出来ればやった方が良い理想的な事」まで選択できるように、簡単ではありますが纏めてみました。

誤解がないように前置きしますがここに記載されていることが対策のすべてではありません。また対策の進んでいる企業によっては、課題はもっと別にあるかもしれません。あくまで検討の入り口として利用いただければ幸いです。

リモートワークをするにあたって、最低でも以下4つのシナリオについては対策を(する・しないも含めて)検討しておく必要があるかと思います。

シナリオ①

業務端末を自宅に持ち帰って使用していたが端末を紛失・盗難により無くしてしまう

対策A 重要データを端末に入れさせない     (必要/不要)

対策B データを取り出せない仕組みを導入    (必要/不要)

対策C とられても会社に影響ないので対策しない (必要/不要)

事実上、対策を実施するのは「A or B」もしくは「A and B」ということになると思います。対策Aは見た目シンプルに見えますが、メールの利用やWeb閲覧を許可するのであれば対策は多岐にわたることになります。添付メール送信のチェックや、閲覧Webサイトの制限も踏まえた対策となるので、対策Bのほうが実はシンプルに導入できます。

シナリオ②

自宅のネットワークでマルウェア感染して業務端末の重要データが流出する

対策A 端末にマルウェア感染対策ツールを入れる    (必要/不要)

対策B メール、Web閲覧に対してマルウェア感染対策ツールを入れる(必要/不要)

対策C 拡散やデータ流出を早期発見する仕組みを入れる    (必要/不要)

対策Aは今後非マルウェア型のスクリプトも含めて検知できる製品が必要です。通常のウイルス対策ツールだけでは不十分です。

対策BAと分けたのは企業のセキュリティ対策予算に影響が大きい可能性があるので、どちらかのみを選択する、という判断もあるかと思います。

対策Cは、EDRを導入すれば利便性は高いですが、たいていは高価な製品なので、既知のマルウェアが感染した場合に実行する活動を予見してActive Directoryや資産管理ツールで検知できるようにしておく、という対策でも有効活用できます。

JPCERTから「インシデント調査のための攻撃ツール等の実行痕跡調査に関する報告書」という資料が出ており、調査報告であり検知項目を教えてくれる資料ではないですが、どこを注意するべきか(アラート化するべきか)が非常に分かりやすくて参考になると思います。

シナリオ③

リモートアクセスする先のシステムで第3者からアクセスを受け入れてしまう

対策A 認証を強化する。個体認証と個人認証の2要素認証とする  (必要/不要)

対策B 認証失敗ログを検知する仕組みを入れる          (必要/不要)

もちろん対策Aをとれるようなら安心かもしれませんが、導入できない事情があったり、それだけでは安心できない企業では、対策Bが有効かもしれません。サイバー攻撃におけるほとんどのログイン試行は手動では行いません。短時間で大量のログイン試行があればそれを検知してアラート化できれば、送信元IPアドレスの遮断など早めに対策が取れます。だいたい経験上同一IPアドレスから5分間に100件のログイン試行があれば攻撃とみなしてよいと思います。

具体的な方法としてはSIEMを導入することが必要となります。

シナリオ④

悪意を持った社員が自宅に持ち帰ったデータを意図的に外部に流出させる

対策A 社内のファイルサーバーでデータのアクセス権限を必要な人のみに制限する  (必要/不要)

対策B ファイルのコピー履歴が取れるようにしておく               (必要/不要)

 対策Aについてですが、ゼロトラストの観点でデータ管理をする場合、製品導入の前に社内のさまざまなポリシーの見直しをしておくことが重要となります。アカウントポリシー、パスワードポリシーからアクセス権の付与ポリシーを明確にしておき、そのうえで必要なソリューションを選定しましょう。対策Bは防止策ではなく、抑止効果と事故発生後の証拠保全を目的にします。つい最近の事件では業務に関わらない関係部門の有力者が情報を抜き取るケースがありました。社内事情に精通した人がいる場合は、十分対策をとったつもりでも不十分になる可能性があります。事故も含めて検討しておくことは非常に重要となります。

<後書>

いかがでしたでしょうか?セキュリティ対策とそれを実現するソリューションは非常に多岐にわたります。今回は割愛しましたが、ファイルを開けるメンバーを限定したり開かれたファイルが世界中のどこで開かれたかがわかる仕組み等もあります。それらを活用する場合、今回ご紹介したシナリオが対策不要になるケースも出てきますが、それはまた別の機会があればご紹介したいと思います。

以上

2020311

セキュリティ&マネージド事業部

事業部長 坂江敦基

一覧に戻る