情報は増えども方針策定の見通しは立たず

　新型コロナウイルスの感染拡大を機に、多くの企業で新時代のワークプレースに関する議論が緒に就いた。だが、それから約1年が経過し、2度目の緊急事態宣言が発令されたにもかかわらず、いまだ多くの企業が明確な方針を示せていない。その理由の1つがセキュリティである。

　ガートナー リサーチ＆アドバイザ理部門でシニア プリンシパル，アナリストを務める矢野薫氏は、「昨年初頭の緊急事態宣言を受けリモートワークでの対策の検討が一気に広がったことで、今ではネット上にリモートワーク・セキュリティの情報を数多く存在します。ただ、セキュリティの影響範囲は個々のITデバイスから、システム、従業員、企業としてのポリシーまで極めて広範で、かつ、時間的、経済的リソースも限られているため、どう手を付けるべきかの判断が極めて難しい。結果、決断を下せぬまま迷走しているというのが多くの企業の実情です」と解説する。

3つのステップで段階的かつ確実な対策を行う

　こうした混迷からの脱却に向け、矢野氏が必要性を訴えるのが、「計画」「実装」「運用」の各ステップによる、段階的かつ確実な対策の遂行だ。

　まずは「計画」である。ここで実施すべきはセキュリティ対策の目的の明確化だ。「なりすまし」「マルウェアの侵入」「情報漏えい」「外部脅威によるネットワーク遮断などの二次的な業務への被害」などの観点から、セキュリティ対策により回避したいトラブルを明確にする。

具体的な対策では3つに「単純化」する

　そのうえで対策を具体的に固めていく。ポイントは、全社システムを「デバイス」「ネットワーク」「アプリケーション」の3つに単純化して捉えることだ。

「システム面で抑えるポイントはこの3つに集約されます。また、システムが複雑化する中にあって、仕組みを構成する3要素の単純化により対策漏れを防止できます」（矢野氏）

　このうち、「デバイス」の対策は、セキュリティ対策の目的からおのずと決まるという。「マルウェア対策」「データ保護」「脆弱性対策」が代表的なものだが、たとえばマルウェア対策であればエンドポイント保護のための「EPP（Endpoint Protection Platform）」とエンドポイントでの振る舞い検知のための「EDR（Endpoint Detection and Response）」の導入が具体的な施策となる。同様に、脆弱性対策ではOSの最新状態へのアップデートや、クライアント／モバイルデバイス管理のための「CMT（Client Management Tool）」「EMM（Enterprise Mobility Management）」の利用が、データ保護ではデバイス暗号化やEMM、仮想化などの活用が対策の柱となる。


　次の「ネットワーク」のセキュリティ対策は、二要素認証などによる「認証」やVPNによる「アクセス制御」などに大別される。そのうち、矢野氏が「特に慎重に検討すべき」と強調したのがアクセス制御だ。


「リモートワークによりクラウドの利用が広がった結果、従来からのグローバルIPアドレスだけでなくローカルからのアクセス制御の強化も求められるようになっています。ただし、アクセス制御のやり方はネットワーク形態に左右されるため、見直しにあたってはネットワーク担当者との将来のネットワーク像を踏まえた事前協議が欠かせません」（矢野氏）

【次ページ】アプリケーションで求められる4つの対策とその順番