新型コロナウイルス感染症の拡大により、ビジネスを取り組まく環境も大きく変化している昨今。直接会えない相手とつながる手段として、事業のデジタル化がより強く求められています。
オンライン会議やリモートワークの体制を、急遽整えなければならなかった頃から約1年。それらが新しい「日常」となった現在、企業はどのような方針でリスク対策に取り組むべきなのでしょうか?ニューノーマル時代に求められるモバイルセキュリティについて、その課題背景とルックアウトが提供する解決策をご紹介します。
目次
ニューノーマル時代に企業が取り組むべきポイント
感染症の拡大を防ぐため、移動や人と会うことが制限される現在。変わりやすく、制限のある環境で、これまで通りの考え方・やり方は通用しないということを、私たちはこの1年間で学びました。
ニューノーマルと呼ばれる今、新しい日常に対応しながら事業を継続させるためには、企業も事業に取り組む姿勢や方針を変化させる必要があります。ニューノーマル時代に企業に求められる変化について、4つのポイントをまとめました。
事業を継続する方法の見直し
コロナ禍への対応で、一番大きなインパクトを与えたのは、政府の専門家会議から提言された「新しい生活様式」です。人と人との接触機会の低減は、ビジネスの在り方そのものに大きな影響を与えました。
ビジネスの基本である、お客様や取引先、従業員との社内外コミュニケーションの在り方を見直すことが求められる今。人と人とが直接会えない状況でも、信頼関係を構築し、事業を継続するにはどうすればいいのか…?顧客・チャネルの在り方や、コミュニケーションの方法を根本から見直さなければならない時が来ています。
コストの削減と最適化
企業経営の観点では、コロナ禍への対応は、財務面にも考慮して取り組んでいく必要があります。新たな対策をスピード感を持って実行するともに、この変化を機会ととらえ、既存の仕組みを見直すことも大切です。
コロナ危機による経済への影響は、今後数年は続くと見通されています。この先訪れるかもしれない、予測できない変化に対応するためにも、コストを削減し、キャッシュフローを最適化することは重要です。
リスク管理の強化
企業にとって、ニューノーマル時代への対応は急務ですが、リスク管理を怠ることはできません。日本の企業は今までリスクの未然防止に注力してきました。しかし、昨今の激しい社会環境の変化のもとでは、未然に対策をしても防ぎきれないリスクが存在します。
変化に富んだ時代のリスクに備えるには、リスクを可視化し、リスク発生時に迅速に対応できる体制を築くことが必要です。経済産業省の「サイバーセキュリティ経営ガイドライン2.0」でも事後対策の重要性が提言されています。
テレワーク環境の構築
これらのポイントを踏まえて、最初の一歩として企業が重点的に取り組んでいるのがテレワーク環境の構築です。
2020年4月、最初の緊急事態宣言が出された際、企業は緊急的にテレワーク体制を築かなければなりませんでした。しかし、それから1年が経ち、テレワークやオンライン会議が日常化するかなかで、新たな課題も見えてきました。現在では、業務の生産性・コスト効率・セキュリティ対策を両立しながら、ニューノーマル時代に適したテレワーク環境を構築することが重要になっています。
ニューノーマル時代に適したテレワーク環境とは
では、ニューノーマル時代に適したテレワーク体制に必要な要件には、具体的にどの様なものがあるのでしょうか。これまで企業のITインフラは、従業員がオフィスにいることを前提に構築されており、リモートアクセスは外での業務が多い従業員や出張の多い従業員など一部の用途のために用意されていました。しかし、ニューノーマル時代の現在では「すべての従業員が外にいること」を前提とした見直しが必要になっています。多くの従業員がさまざまな端末を使い、社外から仕事をすることが日常的になった今、「クラウド・ファースト」かつ「モバイル・ファースト」なテレワーク環境の構築が求められています。従業員が場所を問わずいつでも仕事ができる環境を提供するにはクラウドが適しています。そして、スマートフォンやタブレットなどの機能性かつ機動性は、クラウドにアクセスする情報端末として非常にフィットしています。さらに、これらを活用し生産性の高い業務を推進していく上で、「安心・安全」という観点から「ゼロトラスト」というセキュリティ対策の考え方が広まっています。
ゼロトラストネットワークとは?
ゼロトラストとは、インターネットにつながる機器は「すべて信頼できない」ことを前提とした新たなセキュリティの概念です。従来、企業が扱う情報はオフィス内や社内ネットワーク上で扱われ、その内部は「安全である」ことを前提に境界防御が行われていました。
しかし、クラウドツールの活用やテレワークが推進される今、従業員はインターネット上でデータを扱い、あらゆる端末、あらゆる場所からデータにアクセスします。社内と社外の境界が曖昧になった今、守るべきものは社内ネットワーク内になく、従業員もオフィスにいない状況では、境界防御によってセキュリティを確保することは意味を成しません。
このような背景から、すべてが信頼できない(攻撃される可能性がある)ことを前提に、全デバイスのトラフィックの検査やログの取得を行うセキュリティモデルのことを「ゼロトラストネットワーク」と言います。
ゼロトラストネットワークのメリット
では、企業にとってゼロトラストネットワークにはどんなメリットがあるのでしょうか。ゼロトラストネットワークの特徴から、そのメリットを紹介します。
クラウドと社内の境界を設けずにセキュリティを確保できる
ゼロトラストネットワークの考え方では、社内ネットワークと社外ネットワークの境界は防御線としての意味を持ちません。ゼロトラストネットワークでは、基本的にすべてのアクセス、トラフィックを可視化・検証・記録。必要に応じた境界を定義して、最低限の権利をユーザーに与えることで、セキュリティ環境を構築します。
社内外を問わず、広範なネットワークとつながることを前提に考えられているため、クラウドツールの活用が欠かせないこれからのビジネススタイルに適していると言えます。
必要な人に必要なアクセス権を付与できる
前述のように、ゼロトラストネットワークでは、必要な人に必要最低限の認可を与えるという考え方で、セキュアな環境を維持しています。
一方で、ゼロトラストネットワークでは、「アクセスしているユーザー(ID)は正規のユーザーか」「アクセスしている端末が攻撃・侵害されていないか」「許可されたサービス以外にアクセスしていないか」など、あらゆる観点から通信アクセスのチェックを行います。そのうえで、不審な点があれば自動的にアクセス制御を行う仕組みが取り入れており、ユーザーの利便性を維持しながら、セキュリティも強化することができます。
モバイルも含めた多様なデバイスを有効活用できる
従来の境界防御の考え方では、デバイスは社内ネットワークの内側にありましたが、テレワークが普及し、働く場所も、時間も多様化した現在では、モバイル端末を含む無数のエンドポイントが社内外を問わず存在します。
従来のアクセス制御では、ネットワークやシステムへの承認は、IDとパスワードのみで行われていました。しかし、ゼロトラストネットワークでは、デバイスのセキュリティ状態や位置、使用しているアプリの正当性を確認、本人認証を行ったうえで、デバイス・利用者・アプリケーションの正当性を厳格に識別します。また、ゼロトラストモデルで構築されたセキュリティシステムには、未知のマルウェア等を高精度に検出する機能に優れているため、多様化するエンドポイントを多層的に防御し、有効活用できる仕組みになっています。
セキュリティコストを削減できる
先に挙げたように、事業の本格的なデジタル化が求められる昨今において、ITコストの最適化は重要な課題です。
ゼロトラストネットワークは、VPN環境の構築にかわるコストの削減、セキュリティ環境の運用を簡素化することでの労務費の削減など、セキュリティコストの最適化にも貢献できるポテンシャルを持っています。
モバイルファーストの視点から「ゼロトラスト」を推進するルックアウト
最後にモバイル・エンドポイント・セキュリティを提供するルックアウトの取り組みをご紹介します。ルックアウトでは、2017年よりマイクロソフト社とのパートナーシップにより、EMS(Intune/AAD)との連携によるM365への条件付きアクセスをいち早く実現。また、2019年にはグーグル社やヴィエムウエア社等と共にPost-Perimeter Security Allianceを設立し、ゼロトラスト・モデルにおけるIdentity(ID) Providerとの連携による条件付きアクセスを推進しています。インターネット上のさまざまな脅威に対し、ルックアウトがモバイルの多層防御を提供し、企業データにアクセスする端末が侵害されていないか、モバイル・デバイスの正常性を継続的にチェックすることにより、ゼロトラスト・モデルの第一歩を提供しているのです。
ルックアウトが提供するスマホの多層防御とは
① マルウェア対策 : 悪意のあるアプリケーション、ウイルス、トロイの木馬、スパイウェアなどのマルウェアがインストールまたはサイドロードされた時点で瞬時に検出。
② セーフWi-Fi対策 : Wi-Fi接続した際、中間者攻撃されていないか、常に通信の正常性を確認。
③ フィッシング対策 : ブラウザ、メール、SMS、アプリ内ブラウザなど、全てのWebトラフィックに対するフィッシング攻撃をリアルタイムで検知。
④ コンプライアンス対策 : OSやアプリケーションの脆弱性情報はもちろん、アプリケーションのあらゆる動作を可視化。
ルックアウトを導入することにより、企業のモバイル端末に対する攻撃や侵害を検知する上述のような仕組みを提供し、クラウド・ファーストかつモバイル・ファーストなITインフラに最適な、安心・安全なアクセス構築が可能となります。
まとめ
このように、ニューノーマル時代の働き方に対応し、柔軟な姿勢で事業を好転させていくためには、情報セキュリティに対する考え方もアップデートしなければなりません。とくに、モバイルセキュリティの分野は、多くの企業が適切な対応が取れていないままテレワーク体制に突入し、曖昧なルールのまま運用されている企業も少なくないのが実情です。
テレワークの本格化を機に、セキュリティ体制を見直すことは、情報漏えいによるさまざま損失を未然に防ぐのはもちろん、ITコストの削減にもつながります。新型コロナウイルス感染症の問題が拡大してから1年余り。ニューノーマルな働き方の未来が見えはじめた今こそ、セキュリティ対策の見直しをする好機ととらえ、対策を進めましょう。
