ブログシリーズ「Work Unleashed~枠にとらわれない働き方」へようこそ。このシリーズは、Boxの幹部社員による投稿やお客様との会話をきっかけとして執筆された、今日の働き方の 「ニューノーマル」に関するブログを集めたものです。チームメンバーが時間や場所に縛られずに最高の仕事ができる環境を作るためのヒントを紹介しています。
今回のような非常事態においても、業務を停滞させるわけにはいきません。医療や食品など、人々の日々の生活に欠かせないものが確実に供給されるように、多くのテクノロジープロバイダーが、病院や物流をはじめとするクリティカルな業務を支えています。新型コロナウイルス感染症(COVID-19)の世界的流行は、これまでは想像できなかった形で、私たちを1つのコミュニティとして結束させるきっかけとなりました。
多くのCISO(情報セキュリティ最高責任者)にとって、今、いかにして業務を継続させるかが最重要事項となっています。オンラインでの業務は、シームレスであると同時に、平時と同レベルの信頼性が必要とされます。重要なコンテンツへのアクセスは主にクラウド上で行われるため、ネットワークの境界だけを保護する従来の境界型セキュリティでは対策として不十分です。組み込み型のセキュリティが従来以上に極めて重要になります。
ただし、それを実現する方法については柔軟に考える必要があります。CISOとしての立場から、今考慮すべき3つの事柄を挙げてみます。
フィッシングやハッキングへの対策を強化する
パンデミックに限らず、ホリデーシーズンや税金申告などの大きなイベントがある時期は、サイバー犯罪者にとって絶好の機会となります。人は、テンションが上がったり、不安を感じたりするとき、無防備になることがあり、攻撃者に隙を与えてしまうのです。
米ジョンズ・ホプキンス大学が先日、同大学のCOVID-19追跡マップを偽装したマルウェアが発見されたこと発表しました。このマルウェアは、偽サイトを訪れたユーザーから個人情報を盗むように設計されていました。 おそらく、不安に駆られて感染情報を逐一調べているような人は、このサイトが偽物であることに気づかないでしょう。また、昨今のフィッシングの手口には、ハッカーが同僚を装い、リモートから会社にアクセスしようとするものがあります。「会社のVPNに繋がらなくなったのでアクセスコードを教えてほしい」といった電話には注意が必要です。
ユーザーにベストプラクティスを浸透させ、規定のセキュリティ対策から逸脱しないよう徹底を図ることが、これまで以上に重要になります。例えば、メールサービスやSlackにサインインするという日常的な場面でも、可能な限り、VPNなどのセキュアな接続を介してアクセスするようにします。また、リモートからの電話による技術サポートへの依頼には、追加の認証プロセスが必要となること、オンライン環境の場合も同様であることを、ユーザーに周知しておくことをお薦めします。
ただ、上記のような対策によってすべてのユーザーのセキュリティが守られるわけではありません。
セキュリティのしきい値と制御を再確認する
リモートワークのセキュリティを保護するために適切な制御が行われていることを確認します。組織に必要なリスク管理を検討する際には、次の点に留意します。
- すべてのユーザーをセキュアに認証できること。例えばBoxでは、シングルサインオン(SSO)にはOktaを、モバイルデバイスには二要素認証(2FA)のDuoを使用しています。
- 使用する機器のセキュリティが十分であること。業務を主にオフィスで、あるいは管理されたデバイスを介して行っている企業の場合には、リモートワークの従業員に新しいそれらの機器を迅速に届けることは難しく、場合によっては不可能かもしれません。これは、個人のデバイスの使用を増やすことにつながるため、それらのデバイスの信頼性にも気を配らなければなりません。組織のセキュリティを確保するには、リスクのあるエンドポイントからアクセスするユーザーに、データやコンテンツに直接アクセスさせるのではなく、セキュアな端末を経由するように設定します。あるいは、アクセスエンドポイントのコンプライアンスを検証するか、対応を義務付け、コンプライアンス対応のエンドポイントからのみアクセスを許可する方法もあります。
- リモートワークがリスクを特に増大させる部門を考慮すること。例えばカスタマーサポートや請求処理を行う部門といった業務上、機密性の高い情報へのアクセスが可能なチームを考慮する必要があります。所定の場所のデータの出し入れを厳しく管理する「クリーンルームポリシー」を守ることが難しい場合は、業務慣行を見直す必要があるかもしれません。リモート回線ではセキュリティが保証できないため、クレジットカード情報を電話で確認しないようにする、といった例が考えられます。
コンテンツ管理を一元化して可視性を高める
遠隔制御を可能にし、重要なデータへのアクセスを一元的に把握することは、これまで以上に重要になります。これを実現するための3つのポイントを挙げます。
- コンテンツの無秩序な増殖を避ける。コンテンツが、堅牢な監査機能とレポート機能を備えたプラットフォーム上にあることを確認します。このことは、今回の非常事態に対処するという目的のみならず、リモートワークを実現したいと考えているCISOにとっては、自分たちのコンテンツが適切に保護されているかどうかを知る機会でもあります。コンテンツの一元化とは、すべてのコンテンツを1つのプラットフォームで管理し、SlackやOffice 365などの主要なアプリケーションと統合することで、コンテンツへの柔軟なアクセスとコラボレーションを実現することを意味します。
- 監視ソリューションを使用して組織全体のアクティビティを把握する。CISOには、各チームがメンバーの行動を監視して異常を検知できるようにするという役割があります。データ分析から得られる実践的な知見は、速やかな改善措置を講じるための鍵となります。
- 地域の境界を越えて不審行動を検知する。業務の大部分がオンラインに移行するため、地域の境界を越えた広い範囲で不審行動を監視する必要があります。不審なセッションの誤検知が増えても、あまり鈍感にならないことがコツです。誤検知を無視することが習慣になってしまうと、妥当な警告を見逃すことになります。
[SMART_CONTENT]
常にセキュアな方法で業務を行う
リモートワークは、ビジネスやコネクテッドコマースを推進する原動力となっています。チームの分散化が進む状況下では、ネットワークの境界を保護することよりも、情報の流れを保護することが重要になります。ZoomやSlackなどのコミュニケーションツールとの機能統合を備えたクラウド・コンテンツ管理が、ミッションクリティカルな業務の継続を可能にします。
CISOとしての私の視点からは、業務に使用するツールは、ネイティブなセキュリティ制御を備え、相互に統合され、セキュアに構成されていることが重要だと考えます。ツールのプロバイダーに対するお客様の要求も高まっており、DLP、データ分類、脅威の検知などの機能が組み込まれていること、また、それらの機能を高い水準で提供されることが期待されています。
通常、新しいセキュリティツールやアーキテクチャのセットアップには時間がかかります。しかし、セキュリティ機能が組み込まれたものを提供するプロバイダーと提携することで、データ漏えいの懸念なく、ニーズに即応する迅速なスケールアップが可能になります。私たちはこれらを重視しており、今般の状況下においても、お客様が貴重な情報をセキュアに保護しつつビジネスを継続できるよう、お客様との緊密な連携を続けています。
Boxでは、分散したチームが力を発揮するための情報を発信しています。リモートワークに役立つ情報について詳しくは、こちらのWebサイトをご覧ください。
※このブログはBox, Inc公式ブログ(https://blog.box.com/)2020年3月31日付投稿の翻訳です。
著者:Box, Inc. CISO Lakshmi Hanspal (ラクシュミ・ハンスパル)
原文リンク:https://blog.box.com/persistent-security-time-uncertainty
- トピックス:
- セキュリティ