登壇者プロフィール
株式会社ソリトンシステムズ
プロダクト&サービス統括本部 部長
佐野 誠治氏
ソリトンシステムズにて、ID管理・認証製品のコンサルティング提案、マーケティング活動に従事。国産メーカーの立場で、日本組織の環境・運用特性を考慮したホワイトペーパー等を執筆。
株式会社電算システム
クラウドインテグレーション事業部 Chrome セールス 課長
小川 陽祐氏
幅広く Google ソリューションの営業を経験。直近はテレワークに伴う業務の切り替えと働き方への変化に対応すべき内容の整理をした上で長く携わってきたノウハウをもとに提案活動をしています。
テレワークで実際に起きたセキュリティ事故
株式会社電算システム 小川 陽祐氏(以下、小川):
コロナ禍で、どの企業様もテレワークを急速に進める必要がありました。それぞれの人がそれぞれの環境で働くことになったという大きな変化です。私からは、利用端末における3つの変化とそれに伴うセキュリティ事故とリスクを紹介します。
1つ目はネットワークです。従来はネットワークが外部に出ていくところをファイアウォールやプロキシなどによってきちんと管理できていましたが、自宅のWi-Fiや社外のネットワーク機器からの接続に変わったことで見えなくなってしまいました。それにより、ユーザーが間違ったサイトにアクセスしてウイルスが入ってきてしまうといった事故が起きています。
2つ目は利用端末です。持ち運びによる紛失や故障のリスクが増えました。事故とは少し異なりますが、非常によくお客様から聞く課題です。
3つ目は端末管理です。社内のネットワーク下であれば、常に最新のものを使ってもらえるように管理者が自分のタイミングでアップデートできていましたが、使用場所がバラバラになったことで、いつ更新できるかというのを管理者が把握できなくなってしまっています。管理・更新がされていない状態でユーザーが使用することで、事故が起きやすくなっています。
株式会社ソリトンシステムズ 佐野 誠治氏(以下、佐野):
私からは、ネットワークにつなぐときの安全性に起因する事故のお話をしたいと思います。多くの企業がテレワークを開始した当初は、VPNと呼ばれる社内ネットワークに接続する機器の脆弱(ぜいじゃく)性が新聞などで大きく取り沙汰されました。脆弱性をついて認証情報が盗まれるということもありますし、脆弱性以前に、そもそもID・パスワードだけでVPNに接続できてしまう設定にしている企業があります。そこから不正侵入を許してしまった事例が、しばらく後を絶ちませんでした。この対策は簡単で、境界線防御としてLANの入り口となるVPNのセキュリティパッチをきちんと当てて、認証を強化することで解決ができます。
その後は、テレワークの必要性だけでなくDXを推進するという動きもあり、クラウド活用が一気に進みました。全社員が利用するWeb会議アプリやグループウエア以外にも、営業部門が利用するSFAや工事部門が利用する施工管理系のアプリなど、部門ごとでいろいろなツールが使用されています。これらは社内からも社外からも使えるので、その中の機密情報を狙ってクラウド業務アプリケーションが標的にされることがあります。実際に、なりすましアクセスをされて、そこから機密情報や個人情報が流出したというケースも増えています。
セキュリティ事故が起きる原因
佐野:
個人が利用するサービスでは、アプリごとに異なる複雑なパスワードを設定することが、不正アクセスに対する基本的な対策です。
一方企業では、社員が多くいてさらに業務アプリも100個くらいあるという状況ですので、全社員に全アプリの適切なパスワード管理を強いるというのは困難です。さらにパスワードの登録先がクラウドサービスの場合、正しくパスワードの複雑性が守られているかを企業側で監査することが困難になるケースもあります。パスワードだけで使えるシステムが多ければ多いほど、情報漏えいのリスクが高まってしまうというのが一つの原因と言えますね。
小川:
テレワークが急に始まったというのも、原因になると思います。在宅勤務を導入する場合、情シス部門のように管理をする側としては、検討事項がたくさんあります。1カ月や2カ月で導入できるような話ではなくて、半年くらい長い期間をかけてやらなければいけないのを急にやり始めた企業が多いので、どうしても不備や守りが不完全な部分があるのです。
あとは、従業員側も当然テレワークに慣れていません。普通だと週5日出社をして、会社でパソコンを利用していたところを、急に業務環境が変わるという形になって慣れていないんですね。さらに、普段からパソコンに慣れていなくてリテラシーがそれほど高くないとなると、先ほどのようないろいろな要因によって事故が起きやすくなります。
佐野:
お客様と会話をすると、情シス部門の方もテレワークをされたりしている中で、特にはじめは混乱したり、環境整備やこれからのICT環境をどうしていくかという議論のスタートがなかなか切れなかったりしたと伺います。
小川:
そうですね。企業様によって両極端なところもあって、テレワークに非常に順応している企業様と、どうしてもレガシーというか古い働き方をそのまま続けようとしてしまっている企業様がいます。例えば、「テレビ会議で商談をしましょう」と言うと、すぐに「いいよ」と言っていただけるところと、「どうやってやるんだっけ?」というところもありますよね。
佐野:
業種にもよるかもしれないですね。新しい企業だと「もうオフィスもなくしてもいいかもしれない」という発想で、すべてクラウドサービスを活用していくというお声もありますし、一方で製造業様はやっぱり現場に行かないと事業が回らないこともあるので、そういったところはどちらかというとハイブリッドワークが中心になっているかなと思います。
セキュリティ事故の対策
「Chromebook」でできることと、認証で強化できることを2社の得意分野の観点から提案していただきました。
「Chromebook」の活用
小川:
弊社が扱っている製品「Chromebook」が、今まで使っているWindowsの端末と大きく違うところは、まずブラウザが基本的な動作をするところです。つまり、すべてWebの世界で仕事をしましょうということで設計されている端末です。従来、Windowsの場合はソフトウエアをインストールして、その中で業務を行い必要に応じてインターネットを使うという形でした。一方、Chromebook の場合はそもそもインターネットからアクセスをして、そこで業務をするという形です。
また、利用端末の事故は起きてしまうものです。実際にテレワークをするとなると、どうしても社外に端末を持ち出しますし、紛失する可能性がでます。そこで Chromebook は、Google が設計したネットワークを通してアクセスができるという端末ですので、端末の中にデータが残らないのです。極端な話、落としたり紛失してしまっても、端末には情報資産になるものが入っていないということです。壊れてしまっても、新しい端末を用意して起動すれば以前と同じように使えるようになります。
入り口の認証のところで、ソリトンさんのような認証の仕組みを使用して強固にしておいて、その中で仕事をするということをご提案しております。
佐野:
大部分の仕事が Chromebook でできるんじゃないかなというように感じていますが、実際にどういっ た職種の方の利用が多いですか?
小川:
私のような営業職の方であるとか、店舗を複数展開されているお客様であればスタッフの方がバックヤードで使うという事例も多いですね。その他、人の出入りが頻繁な人材派遣業など、人に紐づかない端末として利用いただいている会社様もあります 。
営業職ではどうしても端末を持ち出すというケースが多いので、端末を落としたときのリスクというのがあります。また Chromebook は開いてすぐ起動し利用できるので、移動の合間とか、ちょっとした時間で少しメールを打ったりということに適していることから導入が進んでいます。
佐野:
業務システムがWebアプリだと圧倒的に楽ですよね。マルウエア対策という観点で言うと、OSのコンセプトとしてやはり被害にあいにくかったりするのかなど、実際はどうなのでしょうか。
小川:
Chrome OS 自体の設計の話をしますと、基本的に端末にソフトウエアがインストールできないようになっているので、当たり前ですけれどマイクロソフトのOfficeのようなものも入らないです。逆に言うと、ウイルス自体もインストールができない、実行ができないという形になっています。そのため、仮にユーザーが間違えてウイルスやマルウエアみたいなものをインストールしても、マルウエアがその端末でプログラムを実行できないので、広まりようがないという形で守られています。
また、基本的にはアップデートも端末が Google のデータセンターで自動的に行います。起動すると「私の端末は最新ですか」というのを Chrome が勝手に見にいって更新し起動してくるので、非常にスムーズです。
佐野:
マルウエアのEmotetのような、メールの添付ファイルを開いてzip付きのパスワードで開封してしまい感染させるというようなものも、くらいにくくなるというところはあるんでしょうか。
小川:
そうですね。「くらいようがない」が正しいかもしれません。zipを開いて不正プログラムを実行してしまうという、その実行ができないようになるので、そこは考慮しなくてもよいというところになります。
佐野:
素晴らしいですね。エンドポイントのマルウエア対策のためにも、端末自体が強いものというのはかなり有効になりますね。全員というわけにはいかないときも、従業員の半分でも安全な端末にして、Windowsの人は別の対策をするなどのセキュリティ対策を付ければ、おそらくEmotetの被害もグッと抑えられるかなと思います。
認証の強化
佐野:
最近のEmotetの被害端末の半分近くが日本のドメインという調査結果があり、日本の端末が明らかに狙われている状況です。そこからいろいろな情報が吸い取られており、その中には認証情報も含まれているので、一度被害にあうと認証情報を不正に使われる被害はどんどん広がってしまうと思います。さらに、取引先のパソコンからメールアドレスの情報が漏れることもあるので、二次被害、三次被害と広がっていく可能性があります。
そこで利用者が利用しやすく管理者も運用しやすい、多要素認証をご提案しています。マルチ・ファクター・オーセンティケーションをMFAと言いますけれども、このMFAを導入することが不正アクセス対策として有効です。社員のパスワードが仮にサイバー空間から盗まれたり漏えいしたりしていたとしても、情報資産への入り口となる認証のところですべてのシステムがそのパスワードだけでは入れないという環境をつくれば、第三者によるパスワードリスト攻撃は通用しなくなります。
ただ、一口に多要素認証と言っても、安全性と運用性を鑑みてどのような方式が自社の環境に合っているか、あらかじめ確認することが重要です。
小川:
やはりクラウドを利用するとなると、最初の認証のところでいかにして入り口をふさぐか、自社の社員だけが使えるようにできるかというところが大事ですよね。テレワークの導入によって、セキュリティを強化したいというお客様は多かったですか?
佐野:
そうですね。重要情報を扱う端末のセキュリティ強化と、社員の方が安全な環境でパソコンを使っているかというログ監視の対策を取られる企業様が多かったです。Windowsのパソコンを使ってファイルをダウンロードして仕事をしなければいけないような環境の方は、どんなアプリケーションを使っているかとか、万が一情報漏えいしたときでも、どこにファイルを送ってしまったかをリモートでも把握できるような操作ログ監視が必要です。エンドポイントのセキュリティと組み合わせてのご導入が多かったかなと思います。
小川:
なるほど。パスワードが増えすぎてしまうと、従業員は覚えられないということがきっとあると思うんですが、その対策はありますか。
佐野:
そうですね。今は、取引先と情報共有のためにログインして何かを使わなければいけないなど、会社が用意したインフラ・業務アプリ以外を利用するケースというところが増えていますよね。そうするとどうしても同じパスワードを使いがちなので、そういったところから漏えいのリスクは出てきてしまいます。そうかといって、すべて違うパスワードを使わせるのは大変ですし、できるだけ社員に負担を与えたくない。またスマートフォンの場合、小さくてパスワードを打つのが大変ということもあるので、情シス部門のお考えとしては、安全性も利便性も叶えたいというところも大きいかなと思っております。
実は、ほとんどの企業様で従業員のパスワードは99.9%漏えいしていると思った方がいいというのが現状です。弊社は、漏えいアカウント被害調査サービスという、お客様のメールアドレスのドメイン単位で、どれぐらいサイバー空間にアカウントが漏えいしてしまっているかを調べるサービスを提供しています。コロナ禍以降、こういった漏えいアカウントを使ったパスワードリスト攻撃が顕在化しています。弊社が企業組織の数で1,660ぐらいのお客様をお調べしたうち、ほとんどのお客様で従業員のパスワードを含むアカウント情報の漏えいが確認されているという状況でした。
漏えいしたパスワードはパスワードリスト攻撃に使われますし、2段階認証を用意している場合でも、クラウドサービスの入り口は誰でもアクセスできてしまうので、その会社がどんな2段階認証を設定しているかというのも分かってしまうということがあります。アカウント確認を装ってフィッシングサイトに誘導されたり、ほかのイメージマトリクスなどで2段階認証をしている場合でも、どういった型を選ぶかをある程度推測されてしまうという部分がありますので、突破されるというケースも出てきています。これらは、企業でシステムを利用する場合には気を付けなければいけないポイントです。
弊社では、多要素認証の中でどういった要素があるのか、そういった多要素認証をどのようにクラウドシステムや社内業務システム、ネットワーク認証に適用していくのかということを紹介しています。単純に製品の紹介だけでなく、実際に運用がどうなるのかという、情報システム部門様や利用者様の目線でも、認証情報がどう安全にやり取りできるかという部分をご案内しておりますので、お声がけいただければと思います。
おわりに
小川:
セッションでもお伝えしましたが、セキュリティやシステムについて今までの延長線上で考えず、今はリモートワークが求められるときだからこそ、少し違った視点でやや引いて見てみるというのを、ぜひやってみていただきたいなと思っております。
佐野:
セキュリティサービスを上手く活用すれば、短期間で安全性と利便性を高めることも可能です。弊社はそういった製品群を持っておりますので、お気軽にお問い合わせいただければ幸いです。
ITトレンドEXPO次回もお楽しみに!
当日のセッションでは、登壇者が視聴者の皆さんからの質問にリアルタイムで答えてくれます。ぜひ次回のITトレンドEXPOへのご参加お待ちしております!(参加無料)
▽ITトレンドEXPOの開催情報はこちら
