新型コロナウイルスの脅威が拡大するなか、世界中の企業が従業員向けのリモートワークステーションの設置を急いでいる。安全なサイバーセキュリティ慣行を維持することが不可欠だが、すべてを大慌てで準備しているときには、何らかの手順を見落としがちだ。従業員の在宅勤務を可能にしつつ、自社のデータを確実に保護する最善の方法について、サイバーセキュリティ専門家のアドバイスを紹介する。
全従業員用のリモートワークシステムをすでに確立している企業なら、おそらくマルウェア対策を講じているはずだ。しかし、新たに移行するスタッフがいる場合は、強固なサイバーセキュリティを確保することが非常に重要になる。
サイバーセキュリティに関する専門家の意見
「コロナウイルス(COVID-19)の感染拡大により、多くの組織はリモートワーク導入のペースを速めざるを得なくなっている」。こう述べるのは、LogMeInの最高情報セキュリティ責任者(CISO)を務めるGerald Beuchelt氏だ。同社では現在、従業員に出勤を求めていない。「事業継続計画を維持して、業務中断のリスクが高い出来事にチームが対応できるようにしておくことが重要だ」
Beuchelt氏は続けて次のように述べた。「リモートワークを実現にするには、IT、セキュリティ、HR、ビジネスオペレーションの各部門が事前に調整して、プログラムを確実に成功させる必要がある。セキュリティトレーニングや意識向上プログラムによって、『サイバースマート』な行動を職場だけでなく自宅でも促す(最新のファイアウォール/ルーター、強力なパスワードの使用、パッチの適用など)ことも、従業員と組織の安全を守るうえで非常に効果が大きい。これらの基本的な対策は、ウイルスやその他のマルウェアの撃退に極めて有効だ」
よく考えたうえで決断を
BlackBerryのグローバルセールスエンジニアリング担当バイスプレジデントのAlex Willis氏は、コロナウイルスのせいで大勢の従業員が在宅勤務に移るにあたり、「IT部門がソリューションを適切に評価する時間はほとんどない」が、どれだけ差し迫った懸念があっても、在宅勤務への大規模移行を性急に進めないことが重要だと述べた。それをやってしまうと、高額で展開しにくいレガシーVPN/VDIソリューションの拡張に資金を投じてしまうか、適切なセキュリティを確保することなく、簡単なソリューションを拙速に展開してしまうことになる。
「だからこそ、リモートモバイルワークフォースを可能にする最新の手法を探求して、優れたユーザー体験を提供し、次世代のAI主導のセキュリティを実現して、モバイルワーカーが生産性向上に必要なデータやアプリケーションにアクセスできるようにすることが、非常に重要だ」(Willis氏)
基本を忘れてしまうことは往々にしてある。KnowBe4のセキュリティアウェアネスアドボケイトであるJavvad Malik氏は、次のように語った。「セキュリティの観点から企業がまず検討すべきなのは、従業員たちが同時に自宅で仕事をできるだけの処理能力があるかどうか、という点だ。また、在宅勤務のための適切なポリシーとツールを用意することも重要になる。適切なツールを用意しておかないと、許可されていない危険なアプリ、ツール、方法を使用して、仕事をやろうとするかもしれない。何よりも、組織がリモート環境の従業員に求める行動と、問題を提起する方法に関して、期待値を設定しておく必要がある」
モバイルの潜在的な脅威
Veritas Technologiesの広報担当者は、「多くの従業員はデータの保存方法が習慣化しており、リモートで働くときは、ノートPC上のローカルドライブか、パブリッククラウドに保存する。時間がたって、リモートワークに移る従業員の割合が高まると、非構造化データが大量に生成されて企業が把握できなくなり、データ保護とコンプライアンスに関する一連の懸念が、新たに生じる可能性がある」と警告する。コロナウイルスの感染が短期間で拡大したため、企業は必要なプロトコルを実装する時間がなかったのかもしれない。「企業データにアクセスするデバイスに関して、セキュリティの基本水準を定めておくといい」。モバイルセキュリティアプリを提供するLookoutで製品管理担当バイスプレジデントを務めるDavid Richardson氏はこのように述べ、以下のような検討事項を挙げた。
- 企業が支給していないデバイスに、企業データへのアクセスを認めるべきか。それとも企業支給のデバイスだけに限定すべきか。
- どのOSに企業データへのアクセスを許可するべきか。最小バージョンはどれにすべきか。
- 最低限実施すべきセキュリティコントロールはどのようなものか(パスコードを設定する、暗号化を有効にする、デバイスがマルウェアに感染していない、など)。
可視性を確保してポリシーを適用するには、モバイルデータ管理(企業支給デバイス向け)やモバイル脅威対策(すべてのデバイスに有効)などのツールを利用できる。
企業が準備しておくべきこと
- システムが(停電などで)利用できなくなった場合のディザスターリカバリー機能
- 事業継続性フレームワーク(SOC2とISOの要件に準拠)
- すべての資産に最新のパッチを適用
- 従業員がセキュリティ意識向上トレーニングに定期的に参加
- EDRなどのエンドポイントテクノロジーや高度なウイルス対策監視デバイスが、従来のネットワーク境界の外側で動作
- システムのケーブルにリモートアクセスできるよう、データ管理のコンティンジェンシープランを策定
- データ保護戦略を分析し、従業員がデータの保存場所を選択する際の不備を特定
