テレワークのセキュリティはレイヤーに分けて対策
「情報セキュリティのリスクと、社員が新型コロナウィルスに感染するリスクのどちらの対策を優先するかで、とりあえず後者を優先する。間違った判断ではないものの、セキュリティ的にはギリギリの状態でテレワークを実施している企業があるようです」と語るのは、富士通クラウドテクノロジーズ ビジネスデザイン本部 サービスデザイン部の鮫島宗隆氏だ。そのような企業では、早急にテレワークのセキュリティ面の課題を解決しなければならない。
鮫島 宗隆(さめしま むねたか)氏
富士通クラウドテクノロジーズ ビジネスデザイン本部 サービスデザイン部。
2011年からニフクラのマーケティングに従事。クラウドセキュリティ推進協議会(JASA)でセキュリティ監査人補の資格を持ち、ニフクラの情報セキュリティ監査や各種認証制度に関するコンテンツの監修を担当。また、ニフクラエンジニアミートアップの幹事、ニフクラ公式Twitterの中の人でもある。
急ぎテレワーク体制に移行した際に懸念されるセキュリティリスクとしては、在宅で利用するPCの問題がある。元々テレワークに取り組んでこなかった企業では、オフィスで利用していたPCを持ち帰り、何ら追加のセキュリティ対策などをせずにテレワークに利用することもある。あるいは個人が所有しているPCを利用し、必要なセキュリティ対策ソフトウェアなどが入っていない場合もあるようだ。個人所有のPCについては、会社側で環境を把握し、適切な管理を徹底することはなかなか難しい。VPNなどの利用でインターネットの経路をセキュアに保っていたとしても、脆弱性のあるPCが企業のシステムに接続される状況は変わらない。
そのようなリスクがある中、「テレワークのセキュリティに関しては、レイヤーに分けて考える必要があります」と指摘するのは、富士通クラウドテクノロジーズ ビジネスデザイン本部 テクニカルデザイン部の今井悟志氏だ。
今井 悟志(いまい さとし)氏
富士通クラウドテクノロジーズ ビジネスデザイン本部 テクニカルデザイン部。
市場の流れがクラウドに向かいつつある中、2019年にVMware社より「国産クラウド」のニフクラに移り、いままでの経験を生かした中小・中堅企業に寄り添う現実的なクラウド利用提案や外部講演での啓蒙活動、営業トレーニングやSE向け技術支援、そしてvExpertとしてVMUGなどでも幅広く活動。勤務は100%テレワークの社員でもある。
テレワークにおけるセキュリティでは、一番下にはインフラがありその上にアプリケーションのレイヤーがくる。さらにアプリケーションで扱うデータのレイヤーがあり、その上にはアプリケーションやデータを扱う人のレイヤーがある。これらレイヤーごとに適切な対策をすることで、テレワーク環境全体の安全性が担保されるのだ。
今回は急ぎテレワーク環境を整えたこともあり、全てのレイヤーで完璧なセキュリティ対策が施せているわけではないだろう。そういった中、真っ先に対処すべきなのがインフラレイヤーの対策だ。「セキュリティ対策の施されていないPCをテレワークで利用してしまうと、インフラ部分のセキュリティが崩れ、結果その上のアプリケーションやデータのレイヤーもリスクを抱えることになります」と今井氏は指摘する。
インフラのセキュリティ対策をおろそかにすると、上のレイヤーの安全性担保も難しくなる。そのため、テレワークにおけるインフラセキュリティの対策は、企業が真っ先に取り組むべきものだ。これはIT部門のインフラ担当が担うことになる。アプリケーションレイヤーは、IT部門だけでなくアプリケーションを利用する業務部門も一緒に対策する。データについては、企業全体でデータの扱いについてのルールを考える必要がある。人のレイヤーは、企業のガバナンスやコンプライアンスにも関わるため経営課題にもつながる。短期的にはインフラレイヤーでしっかり対策し、中長期的には全てのレイヤーの対策をしっかり施し、トータルで安全性の高いテレワーク環境の構築を目指す必要がある。
クラウドとDaaSでテレワークのインフラレイヤーをセキュアに
企業がまず取り組むべきインフラのセキュリティ対策は、テレワークで利用するユーザーのPCなどのデバイスがどういう状況にあるかを把握し、アンチウイルスソフトのウイルス定義の更新やOSパッチのアップデートなどの必要なセキュリティ対策を確実に施すことだ。ただし、個人所有PCを使うとなると、すぐに対応することはなかなか困難である。
そこで最初のステップとして、VDI(Virtual Desktop Infrastructure)が選択肢になるだろう。VDIの中でもクラウドを基盤とした「DaaS(Desktop as a Service)」の活用がおすすめだ。DaaSを使えばデバイスの管理をサーバー側で効率的に集約でき、パッチ適用などを常に行って環境を最新にしておくのも容易となる。その上で各ユーザーの手許にあるPCに重要なデータを残さないテレワーク環境が構築できる。これにより、仮にユーザーの手許のデバイスがウイルスなどに汚染されていても、VDIの中と環境は隔離されているため、それらの脅威が会社の環境に拡大することなくセキュリティを保つことができる。そして何よりCapex(設備投資)が不要で、Opex(利用費)だけで済むのが強みだ。
富士通クラウドテクノロジーズが提供するパブリッククラウドサービス「ニフクラ」では、VMware Horizon DaaSの仮想化技術を活用したDaaS「デスクトップサービス(専有型)」(以下、デスクトップサービス)を提供している。デスクトップサービスではクラウドで管理するVDI機能でPC画面だけを転送し、転送されたDaaSのデスクトップとPCとの間のデータ受け渡しを禁止できるので、情報漏洩のリスクが低い安全なデバイス環境が実現できる。
さらに、マネージドのクラウドサービスなので、サーバー側にハイパーコンバージドインフラ(HCI)などを新たに整備する必要はない。そのため、インフラのCapexが不要。Opexのみで運用を開始できる。必要なユーザー分だけを導入し、必要なくなれば利用をやめるのも簡単で、コストの最適化も図れる。
また、ニフクラのデスクトップサービスでは、トレンドマイクロのTrend Micro Cloud Oneが標準で装備されているため、別途セキュリティソフトウエアは不要。そして、ネットワークとセキュリティの仮想化ソフトウェア「VMware NSX Data Center」と連携し、個々のワークロードごとにマイクロセグメンテーションを設定できる。これによりユーザーが利用するDaaS環境はサーバー上で完全に分離され、あるセグメントに脅威が侵入したとしても、その脅威が他のセグメントに拡がることはない。
他にもコネクションブローカーを使い、テレワークからのアクセスに多要素認証を追加しセキュリティを強化できる。さまざまなセキュリティ機能を組み合わせることが可能であり、「テレワークで利用するユーザーの環境としては高いセキュリティレベルを保てるでしょう」と鮫島氏は言う。
このようにニフクラの特長の1つが、VMwareの技術をベースにしていることだ。オンプレミスでVMware vSphereを活用してきた企業ならば、かなりスムーズにクラウドへの移行が可能だ。「従来のVMware製品のノウハウを生かしながらリモートでIT環境の運用管理ができ、その上でクラウドサービスの柔軟性、拡張性のメリットを享受できます」と今井氏は言う。
しかし、VDIでは最初のコスト(Capex)が比較的大きいため、導入に躊躇することもあるだろう。DaaSではCapexは不要だが、それでもOpexも気になる。そこで、さらに低コストでテレワーク環境を整備したければ、WindowsのRDS(リモートデスクトップサービス)を利用する方法がある。オンプレミスにWindows環境を立ち上げ、RDSでその画面を転送するのだ。この方法だと、オンプレミス環境の運用保守を誰かが行わなければならないが、安価にテレワーク環境を導入できる。VPN環境をオンプレミスに用意しそこを経由して画面転送するので、先のVDIと同様に、転送された画面の中とユーザーの手許のデバイス間での処理を制限することでセキュアな環境を作り出せる。
ただし、この方法はVPNゲートウェイにアクセスが集中するため、アクセス経路についてはボトルネックにならないように十分にサイジングすることが重要だ。ニフクラではこれを解決するために、クラウドとRDSを組み合わせ、クラウド上にWindows環境を立ち上げ、そこからRDSでテレワークにPC画像を転送する形を作ることができる。これなら運用保守の手間も削減され、VPNのボトルネックも解消可能。ニフクラとRDSを組み合わせる方法ならば、Capex不要でかつOpexも5ユーザーで月額10万円以内とかなり低コストでテレワーク環境の運用が始められる。
テレワークが前提となるポストコロナを見据えてどこでもオフィスの実現を支援
企業によっては、テレワークに対応したセキュリティルールが整備されていないこともある。既にセキュリティのガイドラインがあれば、テレワークのリスクを追加することでルールの整備はできるだろう。そもそもセキュリティルールの整備が十分でなければ、今回を機に一から作らなければならないかもしれない。
富士通クラウドテクノロジーズでは、クラウド黎明期からクラウドを活用する際に考慮すべきセキュリティについて、啓蒙・普及活動や公的な認証制度化に貢献してきた歴史がある。これらの活動の延長線上で、テレワークのセキュリティについても考えることができる。
アプリケーションレイヤーやデータレイヤーのセキュリティ対策は、テレワーク時に、どのユーザーがどのアプリケーションやデータをどのように扱えるようにするかを、改めて考えることになる。既存のセキュリティ対策に新たなセキュリティの仕組みを追加する多層防御をとるのではなく、最終的にはゼロトラストネットワークを志向した新たなセキュリティの仕組みを構築することも必要になるだろう。さらに、レイヤーの一番上にある人の部分のセキュリティ対策については、テレワーク活用が当たり前となるポストコロナ・ウィズコロナ時代を見据え整備していく必要がある。これらトータルサポートについては、富士通クラウドテクノロジーズだけでなくパートナーや富士通グループの力を結集し対応していくことが可能だ。
今回、テレワーク環境への移行がスムーズに行えている企業の多くが、以前からクラウドを積極的に活用してきた企業だった。テレワークの実施でクラウドのメリットが明らかになり「オンプレミスの存在や情シス担当者の罹患で業務が停止するリスクが顕在化しました」と鮫島氏。富士通クラウドテクノロジーズではオンプレミスのリスクを回避し、ポストコロナの時代に向け「どこでもオフィス」を実現するためにクラウドを最大限に活用する提案を行う。
今後、再び世界規模のパンデミックが発生するかもしれない。また日本は災害が多く、大規模災害時のビジネス継続も考えておく必要がある。もっと小さな単位では、オフィスが入るビル内でトラブルがありそのビル自体がロックアウトされてしまうこともあるかもしれない。そのようなときに備え、「いつ何が起きてもビジネス継続ができるようにする必要があります。これはサーバーだけではなくオフィスの環境についても同様です。加えてデジタルトランスフォーメーションを進めるための、働き方改革にも取り組まなければなりません」と今井氏。政府の示すポストコロナ時代の「新しい生活様式」は、実はこれまで言われてきた働き方改革と本質的には同じ部分がたくさんあるとも言う。
多くの企業がテレワークを実践し、テレワークがどういったものかを体験することになった。「当社(富士通クラウドテクノロジーズ)でも全社でテレワークに移行しましたが、その過程では紆余曲折もありました。とはいえ実際にテレワークに移行したことで、さまざまなメリットがあることも実感しています」と鮫島氏。富士通クラウドテクノロジーズ自身の経験も生かし、テレワークのためのセキュアなインフラ整備を今後も積極的に提案する。さらに、ポストコロナ時代のテレワークを活用する働き方改革については、ニフクラのクラウドインフラに加え富士通グループやパートナーの力も結集して、サポートしていくことになる。