テレワークのセキュリティはレイヤーに分けて対策
「情報セキュリティのリスクと、社員が新型コロナウィルスに感染するリスクのどちらの対策を優先するかで、とりあえず後者を優先する。間違った判断ではないものの、セキュリティ的にはギリギリの状態でテレワークを実施している企業があるようです」と語るのは、富士通クラウドテクノロジーズ ビジネスデザイン本部 サービスデザイン部の鮫島宗隆氏だ。そのような企業では、早急にテレワークのセキュリティ面の課題を解決しなければならない。
鮫島 宗隆(さめしま むねたか)氏
富士通クラウドテクノロジーズ ビジネスデザイン本部 サービスデザイン部。
2011年からニフクラのマーケティングに従事。クラウドセキュリティ推進協議会(JASA)でセキュリティ監査人補の資格を持ち、ニフクラの情報セキュリティ監査や各種認証制度に関するコンテンツの監修を担当。また、ニフクラエンジニアミートアップの幹事、ニフクラ公式Twitterの中の人でもある。
急ぎテレワーク体制に移行した際に懸念されるセキュリティリスクとしては、在宅で利用するPCの問題がある。元々テレワークに取り組んでこなかった企業では、オフィスで利用していたPCを持ち帰り、何ら追加のセキュリティ対策などをせずにテレワークに利用することもある。あるいは個人が所有しているPCを利用し、必要なセキュリティ対策ソフトウェアなどが入っていない場合もあるようだ。個人所有のPCについては、会社側で環境を把握し、適切な管理を徹底することはなかなか難しい。VPNなどの利用でインターネットの経路をセキュアに保っていたとしても、脆弱性のあるPCが企業のシステムに接続される状況は変わらない。
そのようなリスクがある中、「テレワークのセキュリティに関しては、レイヤーに分けて考える必要があります」と指摘するのは、富士通クラウドテクノロジーズ ビジネスデザイン本部 テクニカルデザイン部の今井悟志氏だ。
今井 悟志(いまい さとし)氏
富士通クラウドテクノロジーズ ビジネスデザイン本部 テクニカルデザイン部。
市場の流れがクラウドに向かいつつある中、2019年にVMware社より「国産クラウド」のニフクラに移り、いままでの経験を生かした中小・中堅企業に寄り添う現実的なクラウド利用提案や外部講演での啓蒙活動、営業トレーニングやSE向け技術支援、そしてvExpertとしてVMUGなどでも幅広く活動。勤務は100%テレワークの社員でもある。
テレワークにおけるセキュリティでは、一番下にはインフラがありその上にアプリケーションのレイヤーがくる。さらにアプリケーションで扱うデータのレイヤーがあり、その上にはアプリケーションやデータを扱う人のレイヤーがある。これらレイヤーごとに適切な対策をすることで、テレワーク環境全体の安全性が担保されるのだ。
今回は急ぎテレワーク環境を整えたこともあり、全てのレイヤーで完璧なセキュリティ対策が施せているわけではないだろう。そういった中、真っ先に対処すべきなのがインフラレイヤーの対策だ。「セキュリティ対策の施されていないPCをテレワークで利用してしまうと、インフラ部分のセキュリティが崩れ、結果その上のアプリケーションやデータのレイヤーもリスクを抱えることになります」と今井氏は指摘する。
インフラのセキュリティ対策をおろそかにすると、上のレイヤーの安全性担保も難しくなる。そのため、テレワークにおけるインフラセキュリティの対策は、企業が真っ先に取り組むべきものだ。これはIT部門のインフラ担当が担うことになる。アプリケーションレイヤーは、IT部門だけでなくアプリケーションを利用する業務部門も一緒に対策する。データについては、企業全体でデータの扱いについてのルールを考える必要がある。人のレイヤーは、企業のガバナンスやコンプライアンスにも関わるため経営課題にもつながる。短期的にはインフラレイヤーでしっかり対策し、中長期的には全てのレイヤーの対策をしっかり施し、トータルで安全性の高いテレワーク環境の構築を目指す必要がある。
