テレワークで重視すべき新たなセキュリティ対策 今、企業に必要な「ポスチャマネジメント」とは
「エンドポイント」が脅威侵入の入り口に
「多くの企業が、急きょ全社規模のテレワークを始めた状況下で、PCなどの端末を社外に持ち出して働くことが増えています。その中で、エンドポイントセキュリティ対策が追いつかず、セキュリティリスクが増していると感じています」
こう話すのは、日立ソリューションズ セキュリティプロダクト本部の清宮勇人氏。コロナ禍によってビジネスパーソンの働き方がテレワークへシフトするのと同時に、企業のセキュリティも大きな方針変更が迫られていると話す。
セキュリティプロダクト本部
セキュリティプロダクト第1部
第1グループ グループマネージャ
清宮勇人氏
それはなぜか。社内でPCを使っていたときは、ファイアウォールという“境界”で、社外から社内ネットワークへ脅威の侵入を守る「境界防御」で対策していたため、PCなどのエンドポイントのセキュリティは、紛失や内部不正への対策に重きを置けばよかった。しかしPCが“境界”の外に持ち出され、直接インターネットに接続されるようになると、マルウェア感染のリスクが高まってしまう。そのため、エンドポイント自体を守ることが非常に重要になっているというのだ。
「エンドポイントが脆弱な場合、テレワーク中にインターネットからマルウェアが侵入し、感染する可能性が高まります。さらに、感染したことに気づかずそのPCを社内に持ち込んだときに、社内ネットワークを通じて、他の端末やサーバーなどに感染拡大するようなケースが報告されています。このようにエンドポイントが、攻撃の入り口になるケースが増えているのです」(清宮氏)
会社のルールとして、テレワークではVPN(Virtual Private Network:仮想閉域網)を経由して社内ネットワークに接続しなければいけないと決まっていても、自宅のネットワーク回線から直接インターネットに接続できるため、そのルールを守らずにインターネットを使用してしまう社員も少なくないだろう。
「社内にいるときは、人の目があるためルール違反は起こりにくいと思いますが、テレワークでは、会社が認めていない方法でインターネットにつないでしまうことはあり得ると思います。故意でなくても、うっかりVPN接続を忘れることもあります。努力義務に頼った形でセキュリティを徹底することは難しいです」(清宮氏)
新たな対策「ポスチャマネジメント」とは何か
この課題に対する解決策として、日立ソリューションズが提唱するのが、エンドポイントセキュリティにおける「ポスチャマネジメント」だ。「ポスチャマネジメント」はエンドポイントのセキュリティが継続的に維持されていることを指す。
企業の社内ネットワーク内に端末がある場合は、さまざまな形で悪意のあるプログラムの動きを捕捉する仕組みが設けられている。そのため、セキュリティパッチの確認は半年に1度など、一定の期間で行い、必要なら更新をかけるという運用が一般的だった。
しかし、エンドポイントが防御の要となるテレワーク環境では、常に最新のセキュリティを維持しなければいけない。「エンドポイントが社外に置かれた状態では、従来の方法で個々の端末に必要なセキュリティを適用するのが難しくなります。この問題を解決し、テレワーク環境でも適切なエンドポイントセキュリティ管理を実現するのがポスチャマネジメントです」と、清宮氏は説明する。
では、ポスチャマネジメントは、これまでのエンドポイントセキュリティと何が違うのか。
それは、個々のアプリケーションの脆弱性管理だけでなく、Windowsに標準で備わっているセキュリティ機能の管理も含めた、エンドポイント全体のセキュリティを最適な状態に保つことだという。
「エンドポイントにセキュリティパッチが適用されているかをチェックする製品は、従来から存在しました。しかし、パッチだけでセキュリティが確保できるわけではありません。例えばPCへの攻撃の入り口となり得る特定のポート(通信の出入り口)が開いたままだったり、リモートアクセスを行うためのソフトウェアが意図せず稼働していたりする状態では、脆弱性が存在すると言わざるを得ません。OSの設定やアプリケーションの情報を収集し、適切に管理するのがポスチャマネジメントの特長です」(清宮氏)
常に端末の状態を可視化、緊急時の対策にも有効
日立ソリューションズが2021年3月に提供を開始した「秘文 統合エンドポイント管理サービス」は、エンドポイントのポスチャマネジメントを実現するセキュリティサービスだ。具体的には、「セキュリティリスクの可視化」「リスクの分析と評価」「エンドポイントへの対策」の3つのサイクルを回すことで、エンドポイントの自律的なセキュリティ管理を実現し、サイバー攻撃から企業を守るとともに、管理者の負担を低減させる。
「セキュリティリスクの可視化」では、前述したとおり、OSやアプリケーションの脆弱性のチェックや、端末側の設定の不備をチェックする。加えて、「企業が禁止しているソフトウェアをインストールしていないかをチェックすることもできます」と話すのは、日立ソリューションズ セキュリティプロダクト本部の塩田尚志氏。こうした情報を集めて、各端末の状態を一覧で管理することができるという。
セキュリティプロダクト本部
セキュリティプロダクト第1部 部長
塩田尚志氏
「リスクの分析と評価」では、エンドポイントから日々送られてくる情報から脆弱性を診断し、自動でリスクの度合いを客観的に評価する。「年間1万5000件以上といわれる脆弱性情報を、管理者が個別に評価するのは事実上不可能です。また、リスクの度合いによって対応の優先順位を変える必要があります。当サービスでは、端末ごとのリスク評価を自動化し、管理者の負担を大幅に低減します」(塩田氏)
そして、「エンドポイントへの対策」では、リスク状況に合わせて端末側でアップデートを実行したり、OSの設定変更を自動で行ったりすることができる。企業が独自に導入しているアプリケーションなど、自動で実行できない場合は、ファイル配布機能で管理者からアップデートファイルを配布したり、ユーザーへの通知で設定変更を指示したりすることが可能だ。
こうした特長を持つポスチャマネジメントは、特に、「緊急度が高いセキュリティ対応について威力を発揮する」と塩田氏は強調する。「例えば、あるOSの機能の脆弱性が公開され、緊急で社内の全端末に対してその機能の停止をしなければいけない場合、遠隔で対応が可能なだけでなく、対象となる端末の数、実施状況がダッシュボードで確認できます。従来は、個別に機能の停止を呼びかけてから、その対応状況を確認しなければいけませんでした。この差は非常に大きいと思います」
経営リスクへの対策に、セキュリティ投資は欠かせない
「秘文 統合エンドポイント管理サービス」は、秘文シリーズが従来提供してきた、内部不正や盗難紛失による情報漏洩を防止する機能ももちろん利用可能だ。「秘文 統合エンドポイント管理サービスでは、これまで秘文が得意としてきた暗号化機能などはもちろん、PCやスマートデバイスなどIT資産を管理する機能も提供します。エンドポイントの管理に複数の製品を導入した場合、管理が煩雑になりますが、秘文 統合エンドポイント管理サービスであれば、セキュリティ対策から資産管理まで、1つのサービスで管理できます」(清宮氏)
企業の経営リスク管理の観点からも、ポスチャマネジメントは重要だと塩田氏は言う。「企業がDX(デジタルトランスフォーメーション)を進めていく基盤として、(“信頼しない”ことを前提に、常に認証・認可を求める)ゼロトラストセキュリティを推進していくことが必要になっています。同時に、緊急事態宣言下における事業継続の観点からも、テレワーク環境で安心して事業が続けられるセキュリティ確保は必須要件です。経営者にとっても、セキュリティはコストとして敬遠するのでなく、事業の発展と継続を支え、従業員を守るための『投資』と考えていただくことが求められています」
テレワーク必須時代の企業のセキュリティ管理は、ますます複雑さを増すと同時に、対応に迅速さが求められる。管理者の負担を抑えながら、エンドポイントのセキュリティレベルを保つポスチャマネジメントは、これからのビジネスに不可欠になるだろう。
