密っちゃイヤン♪:こうしす! こちら京姫鉄道 広報部システム課 @IT支線(22)
情報セキュリティの啓発を目指した、技術系コメディー自主制作アニメ「こうしす!」の@ITバージョン。第22列車は、「リモートワークのセキュリティ」です。
「こうしす!」とは
ここは姫路と京都を結ぶ中堅私鉄、京姫鉄道株式会社。
その情報システム(鉄道システムを除く)の管理を一手に引き受ける広報部システム課は、いつもセキュリティトラブルにてんてこ舞い。うわーん、アカネちゃーん。
「こうしす!@IT支線」とは
「こうしす!」制作参加スタッフが、@IT読者にお届けするセキュリティ啓発4コマ漫画。
第22列車:リモートワークと「3密」
井二かけるの追い解説
マンガのテーマは「リモートワークのセキュリティ」です。
新型コロナウイルス感染症(COVID-19)の影響で、多くの企業がリモートワーク(テレワーク)を始めました。このマンガに登場する架空の企業「京姫鉄道」も、緊急事態宣言の対象となった兵庫県に本社があるという設定です。
さすがに鉄道会社でリモートワークというのは現実ではあり得ないと思いきや、JR東日本が運行担当者以外のテレワークを通達したと報道されています。業種を問わず、これまでリモートワークなど検討すらされていなかった企業でさえ、COVID-19の感染拡大や緊急事態宣言を受けて、急速にリモートワークの導入を進めているようです。
このこと自体は喜ばしいのですが、問題は、準備不足のままリモートワークに突入してしまった事例が少なくないことです。懸念されるのは、やはりセキュリティ対策です。
個人所有のPCを無思慮に社内に接続するリスク
マンガでは、「取りあえずやってみた」という準備不足の結果として、従業員の個人所有PCを、無思慮にVPN経由で社内LANに接続してしまいました。
もとより個人所有PCは社内PCとは異なる基準のセキュリティポリシーで運用されています。アップデートが適用されていなかったり、マルウェアまみれのままだったり千差万別です。
そうした従業員個人のPCを社内LANに接続することにはリスクが伴います。社内LANはいわば「密閉」によって安全を確保している場所ですから、そこでコンピュータウイルスのパンデミックを発生させてしてしまっては元も子もありません(逆に、個人所有PCよりも社内PCの方が激ヤバセキュリティポリシーで、社内PCから個人所有PCにマルウェアが伝染するというパターンも考えられますが……)。
同一ポリシーを適用することの困難
問題は、個人所有PCや自宅LANに会社と同じポリシーを適用することの困難さです。
個人所有PCにインストールするOSを強制はできませんし、個人所有PCをActive Directoryに参加させるなんてことを考えたら、頭痛で頭が破裂しそうになります。さらに、PC管理用や監視用のソフトを個人所有PCにインストールさせようものなら、プライバシーの問題が生じかねません。
リモートワークに関するものではありませんが、個人所有PCに点検ツールをインストールさせたことで、騒動となった事例もありました。
ネットワークのセキュリティ対策も同様です。社内LANにUTM(統合脅威管理)が設置されているからといって、従業員全員の自宅に同じUTMを設置するなんてことは、費用面から現実的とはいえないでしょう。セキュリティ事故の際の責任問題も頭痛の種です。
そうなると、下記の3つあたりが直接的な対処法でしょう。
- リモートワーク対象者には、会社からPCを支給する(あるいは仮想デスクトップ環境を用意する)
- 個人のネットワークには接続させない
- VPN経由でのアクセスを厳しく制限する
しかし、こうしたリモートワークのための「特別な対策」を維持管理し続けるのは大変です。どうしても後手後手の対策になりがちですし、こうした手間はコスト面からも許容されないことでしょう。二重規範はいつか破綻します。
近年注目される「ゼロトラスト」という考え方
そこで必要なのは発想の転換です。
「社内は安全」という発想を捨て、「全員が常時リモートワークをしているのが普通」という前提でセキュリティを設計するという方法です。
- 社内LANを特別視せず、社内LANに存在するPCであっても信頼しない
- サービス利用時にセキュリティポリシーを満たすかどうかを自動的にチェックし、満たさないなら利用を拒否する
業務や端末管理に上記の方法に対応したクラウドサービスを活用すれば、業務システムに対する社内LANからのアクセスも、自宅LANからのアクセスも、スタバの公衆無線LANからのアクセスも、統一的に運用できるようになります。究極的には、VPNさえ必要なくなることでしょう(スタバでの作業は、画面の盗み見など、ネットワークセキュリティとは別の観点で問題となり得ますが)。
こうした「社内LANに存在するPCであっても信頼しない」というアプローチは「ゼロトラストネットワーク」や「ゼロトラストセキュリティ」などと呼ばれています。
参考記事
パロアルトが性悪説の「ゼロトラスト・ネットワーク・セキュリティ」を解説
「人とパケットは違う」――セキュリティの一線で活躍するエンジニアが語る「本当の信頼」とは
「毎日岩を押し続ける」――セキュリティの一線で活躍するエンジニアが示す道筋
とはいえ……
とはいえ、「言うは易く行うは難し」です。
従来型の静的なセキュリティ対策に比べ、「ゼロトラストネットワーク」の実現には動的な対策が求められます。
「Windows 10」には、「Microsoft Intune」や「Azure AD(Active Directory)」と組み合わせて「ゼロトラストネットワーク」を実現するための機能が標準搭載されています。しかし、「Microsoft 365」の標準機能でカバーできるような業務であればともかく、独自開発の社内システムを社外からアクセスできるように作り替えるのは容易ではありません。
当然、開発者やセキュリティ担当者も高いスキルを要求されることでしょう。下手をすれば、情報漏えいが多発し、「ゼロトラストネットワーク」どころか「ゼロトラストカンパニー」になってしまうこともあり得ます。
ただ、筆者個人としては、非常事態がいつ起きるか分からない現代において、「ゼロトラストネットワーク」の考え方の方が現実的な解なのだろうなと考えています。
いずれにせよ「ローマは一日にしてならず」ですから、何ごとも前もって準備を進めていきたいものですね(自戒も込めて)。
Copyright 2012-2017 OPAP-JP contributors.
本作品は特に注記がない限りCC-BY 4.0の下にご利用いただけます
筆者プロフィール
作画:るみあ
フリーイラストレーター。アニメ「こうしす!」ではキャラクターデザイン・キャラ作画担当をしています。
原作:井二かける
アニメ「こうしす!」監督、脚本。情報処理安全確保支援士。プログラマーの本業の傍ら、セキュリティ普及啓発活動を行う。
「こうしす!社内SE 祝園アカネの情報セキュリティ事件簿」(翔泳社)2020年2月発売
- Webサイト:IBUTA Kakeru Web Site
- Twitter:@k_ibuta
解説:京姫鉄道
「物語の力でIT、セキュリティをもっと面白く」をモットーに、作品制作を行っています。
原作:OPAP-JP contributors
オープンソースなアニメを作ろうというプロジェクト。現在はアニメ「こうしす!」を制作中。
- Twitter:@opap_jp、@kosys_pr
- 公式サイト:Open Process Animation Project Japan(OPAP-JP)
- 貢献者一覧:こうしす!/クレジット
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
- 「人とパケットは違う」――セキュリティの一線で活躍するエンジニアが語る「本当の信頼」とは
「ゼロトラスト」のコンセプト発案者であるPalo Alto NetworksのJohn Kindervag(ジョン・キンダーバーグ)氏。農場の仕事に比べたらITの仕事は楽と笑顔で語る同氏がセキュリティに出会い、やがてゼロトラストという考えに至ったきっかけとは何だったのか - 「毎日岩を押し続ける」――セキュリティの一線で活躍するエンジニアが示す道筋
「ゼロトラスト」のコンセプト発案者であるPalo Alto NetworksのJohn Kindervag(ジョン・キンダーバーグ)氏。農場の仕事に比べたらITの仕事は楽と笑顔で語る同氏がセキュリティに出会い、やがてゼロトラストという考えに至ったきっかけとは何だったのか - パロアルトが性悪説の「ゼロトラスト・ネットワーク・セキュリティ」を解説
次世代ファイアウォール製品を販売するパロアルトネットワークスは、壁を守るだけではなく内部にも脅威があるとする性悪説を基にした、「ゼロトラスト・ネットワーク・セキュリティ」のポイントを解説した - 当社のゼロトラストはどこまで進んでいる? Microsoftが「ゼロトラストアセスメントツール」をリリース
Microsoftは2020年4月2日(米国時間)、ゼロトラストセキュリティ対策状況の評価を支援する「ゼロトラストアセスメントツール」を開発したと発表した。ゼロトラストセキュリティフレームワークに基づくセキュリティ対策の取り組みが、どのような段階にあるかを、企業が判断するのに役立つという