「国内約40社、テレワークで暗証番号流出」

　8月25日の新聞に、驚いた方も多いのではないだろうか。

　流出したとみられるのは、多くの企業が利用しているVPN^※で使われる際のユーザー名やパスワードといった利用情報だ。これまで安全と認識されてきたVPNだが、その安全性に疑問符がつくことになった。

　だが、なぜ第三者にVPNへ不正侵入されてしまったのか。日本マイクロソフトでサイバーセキュリティ対策や内部不正対策製品の提案や技術支援に従事するセキュリティ＆コンプライアンス テクニカル アーキテクトの橘浩平氏は次のように説明する。

　「VPN 機器にセキュリティ上の脆弱性がある場合もあります。これらにパッチ（修正プログラム）を当てていればいいのですが、企業によってはアップデートをせずにそのまま運用されているところも見受けられます。また、IDとパスワードを知ってさえいれば悪意のある第三者が簡単になりすましできてしまう点も攻撃者に狙われる理由として挙げられます」

　適切なメンテナンスをしていれば防げる場合もあるだろうが、実はそれ以外にもVPNに課題はある。キャパシティに限界があり、通常のネット環境のような快適性を損なう場合があるのだ。それでも、現状ではVPNを利用している企業が少なくないという。

　「多くの企業では、物理的なネットワークの中で、業務アプリやファイルサーバーの利用を許可したり、PCの管理を行ったりしています。つまり、VPNを利用して社内接続しなければ、一般の社員は『Office 365やWebシステム、ファイルサーバーが使えない』ことになり、管理者は『PCの通信監視、管理、マルウェア対策ができない』ということになってしまいます。現実的にVPNへの依存度が高い企業は多いのです」（橘氏）

　企業の多くは、ビフォーコロナの時代にVPNを導入し利用してきている。今まではよかったかもしれないが、見直す時期に来ていることは確かだろう。

※VPN：Virtual Private Networkの略語。インターネットの拠点を仮想的につなぐ技術。実際の専用線を敷くよりもコストが安い

　実は、一般企業のIT環境に関わる課題はVPNだけではない。新型コロナウイルスの感染拡大以後に、さまざまな課題があぶり出されてきているのだ。日本マイクロソフトのモダンワーク戦略技術本部 本部長の八木沼剛一郎氏は次のように話す。

　「かつてのリモートワークといえば、災害など有事の際のBCP（事業継続計画）の観点や、出張時などでの一時利用での導入が一般的でした。しかし、アフターコロナの『ニューノーマル』の時代には、リモートワークは当たり前であり、必須となりつつある。もはや一部の特別な人だけが利用するものではなく、多くの人が利用するものになりました。一方で、生産性やセキュリティ面で、新たな課題も生まれています」

　八木沼氏によれば、リモートワークの従業員が急に増えたため、VPN Gatewayのキャパシティが足りず、自宅や社外からアクセスできないといったことも起こっているという。一方で、企業によってはノートPCなど必要なデバイスが従業員に行き渡らず、「BYOD^※」を利用している企業もあるが、これにはリスクが伴う。社員が安全性の確認されていないWebサイトにアクセスしたり、ウイルスに感染したりした後に、社内接続するおそれもあるからだ。以下は、日本マイクロソフトがまとめた、ニューノーマル時代の新たな12の課題だ。読者の皆さんが勤務する会社に照らし合わせて考えてみてほしい。

日本マイクロソフトが考えるリモートワークの課題

　今、経営者に求められているのは、これらの課題を解決しながら、従業員の生産性を落とさないようなIT環境の整備といえるだろう。

※BYOD：Bring Your Own Device。従業員が、携帯可能な私物の機器を業務上の用途で使用すること

　上記のIT基盤のセキュリティに関わる課題を解決するために、マイクロソフトが提唱する概念が「ゼロトラスト」というものだ。一言で言えば、「誰も信用しない」ということになる。

　「例えばファイアウォールといったこれまでの境界型セキュリティソリューションの概念は、文字どおり『壁の内側にいる人はすべて善人で、安全』というものでした。ところが、昨今のセキュリティインシデントは正規の方法で境界を越えた後で攻撃を仕掛けるものが一般的になってきています」（八木沼氏）

VPNに頼らないリモートワーク

　VPNも同様だ。一度、壁を突破してしまえば、その人が疑われることはない。だからこそ、ゼロトラストという新しい考え方が重要になってくる。

　「例えば、『今認証を求めている人物は、IDとパスワードが合致しているが、実は悪人かもしれない』という観点から、多要素認証を行うことに加え、アカウントやデバイス、OSなどの安全性やリスクレベルをつねに確認し続けます。リモートワークはもちろんのこと、今後クラウドがさらに普及する時代において重要な考え方です。当社が提供する『Microsoft 365 E5』を中心としたセキュリティソリューションもその考え方に基づき設計されています」（八木沼氏）

　リモートワークにはクラウドベースであることが必須と考えられるが、「Microsoft 365 E5」においては、ID およびアクセス管理サービスの「Azure Active Directory（Azure AD）」を中心に、さまざまなソリューションが組み合わされているので、自宅や社外からの利用においてもセキュアな基盤が構築できる。具体的には、ユーザーやデバイスのリスクレベルに応じた動的なアクセス管理や多要素認証の活用、クラウド上の仮想デスクトップサービス （VDI）、デバイスの利用場所や種類に依存しないデバイス管理やマルウェア対策、エンドポイントで実現する通信の監視や制御などだ。また、マイクロソフト社以外のアプリや自社独自の業務アプリなどについても、IDやパスワードを統合しシングル・サイン・オンできるのも大きな特色だ。

リスクベースのリアルタイム アクセス制御 (Azure AD Identity Protection)

　八木沼氏は、「今後はさまざまな働き方が広がることで、非正規雇用の従業員の方の増加も含め、企業においては幅広い対応が求められてくると考えられます。『Microsoft 365 E5』では、自宅でも会社と同様の環境を整えたいという企業から、ファイルのダウンロード禁止などの制限付きでもユーザーが所有する個人デバイスですぐに利用したいという企業まで、さまざまなニーズにお応えできます」と語る。導入に当たっては、FastTrackやパートナー企業で、さまざまな支援も行っているのでうまく活用したいところだ。

　新しい時代には新しい働き方が求められる。最新のテクノロジーはその実現を後押しする。「Microsoft 365 E5」は、継続的な新機能の追加や機能強化でセキュリティと生産性を両立するIT環境の確立が可能だ。この機会にVPNに依存しないセキュアなリモートワーク環境の実現を検討してみてはいかがだろう。