ITエンジニアが語る、テレワーク導入時のリスクと企業の情報資産を守り抜くために

皆さん、こんにちは。

ISF NET クラウドソリューション部の井口です。

普段は、機能検証、新製品・技術検証、技術情報収集、提案業務など、ITインフラに関する情報を収集し、検証、導入を行っています。もちろんお客さまとのやり取りの中から、社会情勢に沿ったニーズや課題に対して、アプローチするなどしています。

新型コロナウイルス感染症によって、多くの企業は、業務体制について急速な変化を求められていることでしょう。この２、３か月のわずかな期間でテレワーク、在宅勤務といった会社以外での業務を社員に指示し、体制を整備しなければならなくなった企業は多くあるはず。

中には準備が間に合わず、社員を自宅待機とする企業や、無償のテレビ会議システムを使ってなんとかやりくりしています、という企業からの相談も増えました。

そのような企業に対して、これからの記事の内容が、少しでも助けになればと考えています。

ということで、今日は企業が情報資産を守るためのアクションについて、皆さんにシェアしていこうと思います。

差し迫る課題となったテレワークと企業の情報管理

まず、テレワークにあたって、システムの整備とともに、絶対に守らなければいけないものについて再確認しておきましょう。最も守らなければならないもの、それはさまざま意見があると思いますが、その中でも企業の情報資産はかなり上位であると考えます。

また、紙で管理しているという企業もあると思いますが、この事態を機にIT化を検討するという企業も増えていますね。

実際のところ、ITを導入している企業では、情報資産はどこに保存されているのでしょうか？オンプレミスのサーバーやクラウドサービスなどに分散されていませんか？

今までであれば社内ネットワークからの接続や、営業職などが社外からアクセスすることのみを想定し、その部分を制御していればよかったはず。しかし、テレワーク化がすすめば、社外からのアクセスが定常化することが想定されます。

そのような状況で、情報資産をきちんと守っていく仕組みの整備は急務、といえるのです…！

企業情報を守る為のファーストステップ

では、情報資産を守るためにはどうすればいいのでしょうか。さまざまなアプローチがあると思いますが、私がまず取り組んでほしいのは、アクセスに対する認証と認可の整備です。

少し話を戻しましょう。

テレワークで使用するネットワークがどういうものか、想像してみてください。家庭のWiFiや公衆無線LAN、携帯のテザリングなどを想像すると思います。実は、それらのいくつかは安全なネットワークではありません。例えば、フリーの公衆無線LANなどは通信が暗号化されていないものもあり盗聴の恐れがあります。また、家庭のWiFiでも使用している無線LANルーターのBIOSがアップデートされておらず、悪さをする人間によって脆弱性を突かれる可能性も考えられるのです。

このように、社内ネットワークと比べ、残念ながら社外のネットワークは決して安全とは言い難いのです。

そこで最近言われている仕組みが、”ゼロトラストネットワーク”です。

この言葉を聞いたことがある方は多くいるのではないでしょうか。簡単に言うと、ネットワークからのアクセスはゼロトラスト（信頼性のない状態）であるから、「認証」「認可」をしなければ、「アクセスさせない」という考えです。

テレワーク化がすすむと同時に、この考えも一般化していくと想定しており、ゼロトラストを前提とした整備をしていかなければならなくなるでしょう。

ゼロトラストへの最初のアプローチとして、多くのネットワークからのアクセスに対する認証と認可の整備、つまり、「IDと権限及び認可条件を整理すること」を推奨します。

ちなみに、当社ではその手法についてさまざまなアプローチを提供していますよ。

ゼロから始める企業もあれば、すでに「Active Directory」や「Microsoft 365」、「G Suite」、クラウドサービスなど、認証を必要とするシステムを運用している企業もあると思います。それらを整理し、ユーザーである社員が利用しやすく、且つ、IT管理者が運用しやすい最適なIT環境へ移行する手助けを当社では行うことが可能なんです！

次回以降、具体的なアプローチ方法や製品情報などを紹介していこうと思います。