Webinar解説「急増するテレワークと情報セキュリティの両立、IDを境界とするクラウド型対策」

安田 良明 解説:
(ISC)²認定主任講師/株式会社ラック 安田 良明 氏
CISSP, SSSP

Webinar開催日:2020年4月15日
スピーカー: 金子 春信, CISSP, シニア・プロダクト・マーケティング・マネージャー; Akamai Technologies.

Webinar視聴のご視聴はこちら

みなさん、こんにちは。(ISC)²認定講師の安田 良明です。2020年のゴールデンウィークは「ステイホーム週間」となりおうちでの時間を楽しんでいらっしゃる方が多いと思いますが、僕は世界のビールを飲みながら海外旅行をしている雰囲気を味わい、こんな時しか飲む勇気が出ないジョニー・ウォーカーの青いラベルで1日の終わりを楽しむひと時を過ごしています。

そんな中、第15回目に配信された(ISC)²日本語Webinarのアーカイブ視聴を行いました。第15回目のWebinarでは、テレワークの導入時に要求される情報セキュリティの課題について解説があり、テレワークを導入する際に対応が必要となる情報システムセキュリティの具体的な勘所を理解することができました。また、「Akamai Technologies」様のWebinarで以前よりゼロトラストネットワークアクセスの実現における主要な技術として「ID認識型プロキシとデバイスポスチャ」についてご説明いただいておりますが、今回のWebinarでは、テレワーク環境で発生する標的型攻撃について脅威モデリングを行っていただくことで、どのようにテレワーク環境で攻撃者を排除することができるかを理解することができました。

今回は、2020年4月15日に行われた 「Akamai Technologies」様のWebinar「急増するテレワークと情報セキュリティの両立、IDを境界とするクラウド型対策」について、「通信とネットワークのセキュリティ」のCISSP的な考え方にリンクさせながら解説を行ってみたいと思います。

CISSPは、「通信とネットワークのセキュリティ」で紹介されている数々のCBK(共通知識分野)を理解することで、組織のビジネスニーズを正確に評価したうえで組織に必要となる通信とネットワークセキュリティに関する共通知識を学ぶことができます。それらの共通知識を身に着けたCISSPは、経営陣が期待する組織の業務環境をいつでもどこでも費用対効果に基づき提供することが可能となります。また、絶えず変化する業務環境や脅威動向を目の当たりにしたとしてもガバナンスが確立されたネットワーク環境を実現することで、新たに発生する脅威への対応や将来を見通した持続可能な情報システム環境を適切に運用することが可能になります。

それでは、金子様のwebinarで紹介されている、「急増するテレワークと情報セキュリティの両⽴〜IDを境界とするクラウド型対策〜」について、解説をしていきたいと思います。まず、テレワークに対する取り組みは世界中で既に行われおりここ数年始まった新しい取り組みでありません。日本においては一般社団法人日本テレワーク協会(1991年:日本サテライトオフィス協会(任意団体)設立に発足され今に至る※1)や政府等が約30年前から普及・啓発を開始しており時間や場所にとらわれない柔軟な働き方については民間企業だけではなく政府・自治体等でも既に取り入れています。もちろん、単に情報技術が発展していくなかで働きやすさの質の向上を考えていく取り組みだけではなく、コスト削減(オフィス賃料、光熱費、接待交際費、出張費等)、環境規制(渋滞や大気汚染への軽減)、リハビリテーション(障碍者雇用対策、介護・介助等)、物理・環境セキュリティ(自然災害、パンデミック等)などへの対応の一環としてテレワークが推進されています。

このような背景の中、テレワーク環境を運用している組織は数多く存在していると思っていましたが、金子様のwebinarで紹介されていた「REUTERSのコラム※2」では、テレワーク実施率が「5.6%」と紹介されておりました。僕自身はテレワーク環境を20年以上前から手に入れていましたが、この実施率の少なさは事業内容によりテレワークが不要、または限定的ということもありますが、テレワークを実施していない理由の80%を「テレワーク制度が整備されていない」、「テレワークで行える業務ではない」という回答に衝撃を覚えました。そもそもテレワーク制度がなければリモートワークポリシーを宣言できませんし、業務をテレワーク対応にしていなければ、テレワークのための情報システム環境を整備したとしても、例えば有形資産への依存として原紙や押印等による業務手順が存在していれば、誰かしらの出社を余儀なくされてしまい、従業員の人命に悪影響を及ぼす結果を生じる可能性があります。

これらの考え方はCISSPの「情報セキュリティとリスクマネジメント」のドメインで要求される組織の事業内容の理解やサプライチェーンを含めた脅威分析に関する共通知識であり、組織の業務特性に対応するテレワークをマネジメントする際に必要な前提となります。CISSPにおいては、人命や事業活動についてリスクマネジメントを行う必要がありますが、人命は何よりも優先されるものとして共通知識では明確に定義されていますので、パンデミック環境における事業継続においては、人命を保護した中で業務を遂行する仕組みの1つとしてテレワークを推進していくのは経営者として当たり前ということが理解できると思います。もちろん、ただテレワーク環境を用意すればよいというわけではなく、組織は社会に求められている業務を遂行しなければなりませんので、自組織ではどのような業務が行われていてそれらを支えるために必要な通信とネットワークをセキュリティ込みで把握し社会と経営陣が求める「通信とネットワークのセキュリティ」をマネジメントしていくことがCISSPには要求されています。

次に、テレワーク環境を導入する場合、大きく分けてリモートアクセスとコミュニケーションの環境が必要になり、どのようなテレワーク環境を準備し、どのようなセキュリティを実装していくのかは組織の事業特性に応じてマネジメントの方針が異なってくることが金子様のWebinarから理解することできます。企業が採用するリモートアクセス環境として知られているのは、エンドポイントデバイスにVPN(Virtual Private Network)ソフトウェアを導入し組織のVPN終端装置で認証を行った後信頼されたネットワーク上で基幹業務やメールを使用する「エンドツーエンド暗号化」の仕組みが多いと思います。VPNについては、セキュアな通信チャネルを確立する方式としてCISSPでも共通知識として取り上げていますので、組織がリモートアクセスを行う際に採用できる手段の1つとなります。 コミュニケーションについては、スマートフォンやインターネットチャット等が使用されているケースが多いと思いますが、音声、動画やメッセージのやり取りを行うのであればセキュリティを確保した環境を用意する必要があります。

これらテレワークをサポートする構成要素については、「モビリティやコラボレーションをサポートするサービスに必要な技術を把握する」としてCISSPの共通知識として要求されています。それは、経営資源の費用対効果を高めるために個々の業務環境と独自の情報システムの統合は経営課題の1つであるため、例えば固定電話やテレビ会議システム、基幹業務、メール等トラフィック特性やネットワーク品質が異なるものを同じ通信環境上で伝送し、ネットワーク運用をしていくことが要求されています。そのため、CISSPは組織の事業特性を理解し、1つのネットワークに複数の異なった業務トラフィックを統合することに加えて、運用状況を把握するネットワークガバナンスを手に入れなければなりません。また、現在の業務環境はモバイル環境においてもオフィスにいるときと同様な環境を用意することが要求されます。それは、今回、僕らが経験しているとおり、パンデミック等に遭遇した場合においても事業を継続する必要があることに他なりません。

このようにCISSPは、オンプレミス環境においてコラボレーション環境を構築することに加え、モバイルにおいても同様な環境を用意する必要があるため、今までオンプレミス環境で対応していた情報セキュリティを組織外でも同様に適用する必要があります。例えばCISSPは、モバイル環境からリモートアクセスにより組織内の業務をVPNで実装する際、どの業務でどの地域でどれくらいの利用者が存在するのか、どのようなサービスレベルが必要なのか、クレデンシャルの管理はどうするのか、どの暗号モードを採用するのか、どれくらいの拡張性を見込んでおくのか等様々な要件に基づきセキュアに設計されたVPNを実装していきます。

ただ、このような静的なネットワーク設計手法では動的なリスクに対応ができないことがCOVID-19の発生により実証されました。金子様のテレワーク環境におけるVPN環境の課題として説明があった通り、COVID-19対応としてテレワークの対象者を増やそうとして組織では、テレワーク環境が特定の従業員から派遣社員等含むすべての従業員を対象にする必要があったため、今まで使用していたVPNハードウェアではコネクション数上限により、VPN利用者数の運用制限が発生してしまうことや利用者数が増えたことでトラフィック増加に伴うVPNハードウェアの性能問題が発生し、生産性の低下や最悪の場合業務が実施できないといった事業継続に直面するリスクが発生してしまった組織が多く見受けられたと考えらえます。

ハードウェア環境に依存したネットワーク設計を行っている組織の場合、今回のような急激にネットワークリソースが要求された場合、容易にリソース拡張ができないことに加え、ハードウェア調達や設定に時間が多くかかりすぎたため、やむを得ず特定の利用制限をエンドユーザーに強いることで生産性の低下や場当たり的な設定変更により度重なる運用変更によるストレスを与えてしまう業務環境を作ってしまった組織もあったかと思います。このような問題が発生した場合、情報セキュリティの原則における可用性の低下を招いてしまうことで事業継続に関するリスクに直面するだけではなく、普段通りの業務手順が遂行できないため例外手順が発生し、完全性の低下や機密性に関するリスクが顕在化するケースが考えられます。

Webinarを通じて紹介されているクラウドベースのネットワーク環境についてはCISSPの共通知識の中で、SDN(Software Defined Network)とNFV(Network Function Virtualization)として考え方が存在します。SDN によりガバナンスが確立されたネットワーク環境を手に入れることが可能になりますが、ルーターとスイッチがハードウェアとして残ってしまうため、拡張性や柔軟性については経営陣の期待に応えることができない可能性があります。そのため、中長期的に組織が向かうゴールはNFVであり、CapEx(設備投資)からOpEx(運用コスト)モデルとなるクラウドファーストストラテジーの考え方に向かい必要があります。

ネットワーク環境においては、組織が業務を行うための様々なデータをやり取りする必要があるため、人間でいうサラサ血液が流れる血管のような状態でなければなりません。経営陣が今どのようなネットワークの稼働・使用状況になっているか把握する仕組みが必要であり、業務環境やリスクに動的に対応できる通信とネットワークの環境を提供することがCISSPには要求されております。

さらに、今回VPNからクラウドベースのリモートアクセス環境にシフトする際、IAPやデバイスポスチャの必要性について金子様から解説いただいておりますが、CISSPとしてもう一度、VPNの特徴を理解しておく機会にしていただければと思います。注意しなければならないのは、VPNはエンドポイントデバイスと組織側のVPN終端装置との間で確立される単なる仮想専用線でしかないので、組織の社内LANがインターネット等を経由しリモート先のエンドポイントデバイスまで延長された環境と認識しておく必要があります。そのため、一般的に用意されている情報セキュリティ管理策は社内向けの情報セキュリティとなってしまうことがあり、VPNはリモート環境からの接続にもかかわらず組織内の信頼された環境と同様にトラフィックを受け入れてしまうということを理解してセキュアな環境を設計しなければなりません。この特徴をVPNは持っていることから、本来であれば、リモート先のエンドポイントデバイスから組織側に送られるトラフィックは信頼できないリモート先から送信されるため、信頼できる人、信頼できるデバイス、信頼できるトラフィックかどうか検証する仕組みを用意しておく必要があります。今後もVPNを使用する組織においては、何かしら検証する仕組みをVPNの確立前に用意するか、リスクを受容してVPNを継続使用するかどうか経営陣に問いただす必要があることをCISSPは理解しておく必要があります。

最後に、僕がwebinarで感じた今後のテレワーク環境に必要な考えについて共有したいと思います。Webinarでは、テレワーク環境の課題と管理策についてタイムリーなトピックが紹介されていますが、テレワークは従前よりSDGs(持続可能な開発目標)、事業継続や働き方改革等への対応として大企業を問わずあらゆる組織が取り組んできた経営課題の1つでした。しかし、今回のCOVID-19のようなパンデミックによる大規模なロックダウンを想定していた組織は多くはなく、想定外の規模に動的に対応したテレワーク環境を準備することができなかった組織は劣悪なテレワーク環境を強いられてしまい、組織は思うような業務環境を手に入れられず著しい生産性の低下を招き事業継続に大きな影響を与えられている組織も多かったと僕の耳にも届いています。

CEOを支えるCスイート(COO、CIO、CISO、CTO等CxO)の不在や能力不足によりエンドユーザー(お客様及び従業員等)へ多大なる負担をかけてしまった現場では経営者、経営陣を支える情報システムセキュリティの専門家の雇用や適切な配置転換が急務となりますので、是非、Webinar解説を通じてCISSP的な考え方を少しでも身に着けていただける機会にしていただけるとありがたいです。

さらに、Webinarのキーワードにもありましたが、「After COVID-19」に対応した恒久的なテレワーク環境とはどのようなものなのか考えるためにCISSPは経営陣とともに、再びパンデミックが発生したとしてもスムーズに対応ができるテレワーク環境を考えていかなければなりません。金子様がWebinarで触れていますが、「今回のようなグローバルで大規模なテレワークは、働き⽅を恒久的に変える」ことになるトリガーとおっしゃっていますが、僕も同意見です。世界中で亡くなられた方も多くいますし困難な社会環境が続いておりますが、パンデミック環境時において人類存続と社会経済への影響含め持続可能な仕組みを考え出すよい機会にしていく必要があります。

これから僕らが生きるこの時代に応じた働き方を将来のあるべき姿を見据えて理解し、従来のような信頼されたネットワーク境界ではなく、あらゆる信頼できないネットワーク境界を前提に住みやすい働きやすい環境とは一体なんなのか、世界中の業界の大きな流れの変化に対応するにはどのような情報システムセキュリティの戦略が必要なのか、今一度みなさんと一緒に考える時間にしていきたいと思います。

いかがでしたでしょうか。今回は、「Akamai Technologies」様のWebinar「急増するテレワークと情報セキュリティの両立、IDを境界とするクラウド型対策」について、ネットワークのスケールの課題に焦点を合わせて、CISSPの共通知識分野に紐付けて考えてみました。Webinarでは、テレワーク環境時における標的型攻撃への対策として、ID認識型プロキシ(IAP)の詳細な実装の解説が行われておりますので是非、Webinarを視聴してみてください。また、「Akamai Technologies」様のリファレンス「アプリケーションアクセスの再定義:新時代のワーカー管理」を※3として記載しておきました。僕も読みましが、ゼロトラストネットワークアクセスに関する考え方を新時代のワーカー目線でわかりやすくまとめられております。組織でゼロトラストネットワークアクセスやセキュアWebゲートウェイを採用されたい方はご確認ください。次回の webinar解説は、「2020年5月13日(水)」に実施されます「「特権アクセス管理の基本- セキュリティ環境を変革せよ」となります。

最後に、(ISC)²が提供するWebinarは、(ISC)²メンバーまたはそれ以外の方、どなたでも視聴することができますので、是非、みなさんの組織で有効活用していただきたいと思います。Webinarはオンライン視聴だけではなく、Webinarの講演資料やスポンサー様が公開しているホワイトペーパー等をオフラインで確認することもできますので、お時間があるときにWebinarのトピックを(ISC)² CBK(共通知識分野)に紐付けて読み解いていくことが可能です。また、(ISC)²メンバーでない方は、Webinarを通じて、グローバルスタンダードにおけるCBK(共通知識分野)に触れていただければと思います。さらに、興味がわきましたら、CISSPチャレンジセミナー、CCSPチャレンジセミナーにお越しいただけると嬉しいです。

※1 一般社団法人日本テレワーク協会(Japan Telework Association)

※2 コラム︓テレワーク実施率5.6%の衝撃、政府の強い関与不可欠:REUTERS

※3 Application Access Redefined – Managing the Modern Workforce アプリケーションアクセスの再定義:新時代のワーカー管理