ビジネスをリセットして成功させる Part5 - 未来のセキュリティリスクを減らす方法

ここ数か月の間に、世界中の組織が独自のビジネスニーズに合わせたリモートワークポリシーの導入を余儀なくされています。すでにリモートワークの計画があったのか、それとも全く新しいフロンティアだったのか、誰もが働き方に大きな変化を感じていることは間違いありません。 

企業がデジタル トランスフォーメーション戦略に必要な調整を行う際に、見逃せないのがセキュリティです。従業員が自宅で仕事をしている場合、ITチームは単純にその人の家に入ってセキュリティ設定をチェックすることはできません。そのため、会社と従業員の双方に新たな責任が発生します。リモートワークにはより一層の注意が必要であり、企業はこれまで以上に新しいセキュリティ対策を実施していく必要があります。ここでは、現在と未来のセキュリティリスクを軽減するために、どのような方法があるのかを詳しく見ていきましょう。 

最近のフォーチュン500社の調査によると、75%の企業がリモートワークの取り組みによってデジタル トランスフォーメーションの必要性が加速したと答えています。このような変化は将来のビジネスの俊敏性を確保するのに役立ちますが、その一方で、組織が慣れていないペースで移動する必要があることも少なくありません。また、そのペースを維持するのに苦労している場合には、セキュリティ指導を受けると良いでしょう。

リモートワークプレイスに関しては、稼働部分には不足はありません。多くの従業員が自宅のWiFiネットワークで仕事をしているため、ITチームにとって全体的な可視性が大幅に低下しています。オフィスでは、従業員は通常、会社の安全なネットワーク上で作業をしており、ITチームは脆弱性にパッチを当てたり、ソフトウェアの更新を従業員に警告したりすることができます。 

企業のデバイス以外にも、従業員はこれまで以上にパーソナルコンピュータ、タブレット、モバイルデバイスを使用しています。BYOD (Bring Your Own Device) は新しい概念ではありませんが、貴社にとっては新しいかもしれません。また、組織が計画なしにリモートワークを開始した場合、明確なエンドユーザポリシーがない可能性が高いです。 

リモートワーカーに新しいセキュリティポリシーを適用し始めるのに、遅すぎるということはありません。どのデバイスを使用するのが最も適切なのか、また、IT 監視と監督をどのように実施するのがベストなのかについて、チームに相談してください。IT部門が個人情報を含むデバイスにアクセスすることを従業員が嫌がるのは理解できます。そのため、ITが何を監視できるのか、何を監視できないのかをチームが把握できるようにしてください。 

また、従業員全員に、オフィスで行っていたのと同じレベルのサイバー衛生(cyber hygiene)を維持することを奨励しましょう。これは、強力なパスワードの使用、二要素認証とタイムアウトロックの導入、定期的なデータのバックアップを行うことを意味します。個人のデバイスに関しては、会社の機密データが入っているデバイスが行方不明になったり、盗まれたりした場合に備えて手順を用意しておく必要があります。仮想デスクトップは双方の負担を軽減します。ユーザはどこからでもどのようなデバイスからでも自分のデスクトップやアプリケーションにアクセスできますが、IT組織はデータを集中的に（クラウドベースの）データセンターに保存しておくことで、セキュリティ設定の管理と適用がより容易になります。その上で、リモートワーカーは、ホームネットワークが保護されていることを確認する必要があります。多くのホームデバイスは共有ネットワーク環境を使用しているため、複数の保護されていないエンドポイントが存在します。残念ながら、これはセキュリティ侵害への扉を開くことになります。家庭内のWi-Fiネットワークが安全でないことは言うまでもありません。また、ゲーム機や「スマート」な家電製品は、不正行為へのセキュリティの低いゲートウェイを提供しています。これらのセキュリティ侵害はGDPR（EU一般データ保護規則）に影響を与える可能性があることを忘れてはいけません。従業員は、ホームオフィスでも外出先でもデータ保護を遵守して仕事をする必要があります。 

仮想プライベートネットワーク（VPN）とインフラストラクチャは最新のものでなければなりませんが、顧客の自宅にあるVPNの背後にあるシステムが最新のものでない場合、より大きな危険性があります。従業員が会社の情報にアクセスするために使用しているすべてのデバイスで、会社が提供するアンチウイルス対策ソフトウェアを定期的に実行することを従業員に義務付けるポリシーを持つことが重要です。これらのポリシーをすべて導入するのは大変なことのように思われるかもしれませんが、将来的には間違いなく是正処置を減らすことができるでしょう。 

適切なポリシーと手順を導入するとともに、ITセキュリティチームは、継続的に従業員の教育とトレーニングを行う必要があります。これにより、従業員がエンドポイントの脆弱性を適切に保護しているかどうかを確認し、さらに重要なことは、近年飛躍的に巧妙化し、蔓延しているフィッシング詐欺を特定し、防止することができます。また、遠隔地にあるデバイスへのフィッシング攻撃が成功した場合、デバイスを所有している従業員がオフィスに戻った後、サイバー犯罪者が企業のプライベートネットワークに侵入する可能性があることを念頭に置いておくことも重要です。このような事態を防ぐためには、定期的に従業員を対象としたトレーニングセッションを開催して、標的型フィッシングがどのようなものかを確認しておきましょう。組織によっては、偽のフィッシングメールで従業員をテストして、脆弱なターゲットを特定し、教育やトレーニングを優先させることもあります。 

また、最新のセキュリティ脅威に関するチラシや通知を送付したり、チームと個別に連絡を取り合って警戒を怠らないようにすることも忘れないようにしましょう。エンドユーザへの教育を継続すればするほど、エンドユーザは攻撃を検知し、回避することができるようになります。とはいえ、従業員にオフィスへの復帰を促す前に、オフィスネットワークへの再接続のためのしっかりとした計画を立てておく必要があります。何か月も分散していた後に、全員が同じプライベートサーバーに接続することは、深刻なリスクをもたらす可能性があります。代わりに、まず従業員が接続できるようにゲストネットワークを用意することを検討してください。そうすれば、従業員が組織を脆弱な状態に陥れることはありませんし、管理された環境で安全にセキュリティチェックを行うことができます。 

定期的にトレーニングを行うことで、従業員がフィッシング攻撃について適切な情報を得て認識していることを確認することができます。不審なメールを発見し、報告し、削除する方法を教育することで、従業員は攻撃者に対する最初の防御線を提供することができるようになります。最後に、社内トレーニングとサイバーセキュリティソリューションに層別の戦略的アプローチを導入することで、企業のサイバーセキュリティアプローチがサイバー脅威に対処し、解決する能力を十分に発揮できるようになります。 

最後に、クラウドのセキュリティ基盤を常に考えておく必要があります。不確実な時代であっても生産性を維持するためには、クラウドとクラウドサービスがほぼすべての人にとって必要不可欠である今、企業はデジタル トランスフォーメーション戦略について考えるべきです。ワークロードをクラウドに移行している間も、セキュリティは最優先事項の一つであり続けるべきです。データを保護し、機密情報を危険にさらさないことは、クラウド戦略を計画する際に考慮すべき重要な要素です。適切なクラウド構成を実装することで、ハードウェアとソフトウェアの要素が相互運用して通信できるようになり、同時にセキュリティも確保されます。 

リモートオフィス技術の進化に伴い、クラウド配信型のセキュリティサービスの人気が高まっています。Secure access service edge（SASE）技術により、企業はクラウドベースのセキュリティ スタックを介してトラフィックをルーティングすることで、モバイルワーカーやクラウドアプリケーションをより適切に保護することができます。これにより、ITセキュリティチームはすべてをリモートで管理することが可能になります。例えば、クラウドベースのセキュアな仮想デスクトップサービスは、IT担当者がファイルやネットワークを含む従業員のシステムにリモートでアクセスできるようにします。また、クラウドはセキュリティシステムの鍵を握っています。安全な最先端のクラウドベースのDLPと脅威防御の制御は、組織の重要な資産を保護するのに役立ちます。 

セキュリティの脅威を先取りするためには、強力でありながら柔軟性のある計画が必要です。組織にとって最も重要な資産を特定し、セキュリティとコンプライアンスのギャップを評価して、予防と是正のための行動指針を作成することが重要です。SoftwareONEは、お客様の信頼できるアドバイザーとして、悪意のある活動を阻止し、ミッションクリティカルなクラウドワークロードのセキュリティ効果を向上させるためのお手伝いをいたします。 

もし、このすべてが圧倒的だと感じているのであれば、心配しないでください。SoftwareONEは、お客様のジャーニーを一緒に歩んでいきます。ランサムウェア対策であれ、生体認証セキュリティの実装であれ、当社のマネージドセキュリティサービスは、お客様のサイバーセキュリティ戦略を次のレベルに引き上げるように設計されています。組織が遠隔地にいる間にサポートに投資しても、オフィスに戻ってからでは戦略の強化にしかなりません。新しい日常への適応には多くの不確実性がありますが、強力なサイバーセキュリティはその道をリードすることができます。