Okta - IDaaS - クラウド型ID管理・統合認証サービス

セキュリティ

ニューノーマルにおけるセキュリティーの課題と対策を徹底解説

ニューノーマル時代におけるセキュリティーの課題と対策のポイントを解説します。

環境変化に対応した柔軟なセキュリティー対策を講じたい
これまでのセキュリティーのままではなぜダメなんだろうか
ニューノーマルにおけるセキュリティー対策のポイントを知りたい

リモートワークなどの新しい働き方が浸透しつつある昨今、これまでのセキュリティー対策を見直して、ニューノーマルに対応させる必要性を感じている企業は少なくありません。
そこで今回は、ニューノーマル時代におけるセキュリティーの課題と対策のポイントを解説します。

この記事に関連するおすすめの製品

Okta

資料ダウンロード

Q&Aで学ぶ「ゼロトラスト」時代のセキュリティポイントは ID / 認証管理

ニューノーマルで今までのセキュリティーが通用しない理由

まずは、これまでのセキュリティー対策ではなぜニューノーマルに通用しないのか、その理由を見ていきましょう。

従来のセキュリティー対策がニューノーマルに通用しない理由として、以下の3つ背景があります。

オフィス出勤を前提としないテレワーク
社内ITツールのクラウドシフト
境界型セキュリティーの限界

それぞれ詳しく解説します。

オフィス出勤を前提としないテレワーク

ニューノーマルの大きな特徴の一つに、オフィス出勤を前提としないテレワークがあります。

以前からテレワークはありましたが、定期的または不定期的なオフィス出勤が前提となっているケースが一般的でした。そのため、テレワーク環境では一部の社内情報にはアクセスができず、一切出勤をしないで業務を完結させることが困難なケースがほとんどでした。

しかし、ニューノーマルではオフィス出勤を前提とせず、テレワークで業務が完結できる環境へとシフトしたため、オフィスに出勤せず自宅やシェアオフィスなどの社外の環境から、社内ネットワークにアクセスすることが多くなりました。

また、テレワークの際にVPN経由で社内システムに接続する場合、これまでのように限られた人数しかVPNでアクセスしなかった状況と異なり、多くの人が同時にVPN接続を行うようになりました。
その結果、VPNサーバーへの負荷が高くなり、処理速度が遅くなるといった問題も生じています。

社内ITツールの
クラウドシフト

社内ITツールのクラウドシフトもニューノーマルの特徴の一つです。

テレワークの拡大とともに、スケジュール管理やプロジェクト管理、勤怠管理、コミュニケーションツール、社内申請手続きなどの社内ITツールのクラウド利用が拡大しています。

またサーバーサイドでも、Amazon Web ServiceやMicrosoft Azureなどのクラウドサービスの活用が増え、機密データを社外環境に保管するケースは増加傾向にあります。

社内ITツールもクラウドシフトしていることから、社内ネットワークのなかにデータを置いて外部からのサイバー攻撃に対応するという今までの考え方では、対応しきれなくなってきているのです。

境界型セキュリティーの限界

ニューノーマルにおいては境界型セキュリティーのみの対応に限界があることも、セキュリティー対策を見直すべき理由の一つです。

従来のセキュリティー対策で標準的な考え方であった「境界型セキュリティー」では、データを境界の内部に保管し、ファイアウォールなどの境界で侵入者を検知する施策を行ってきました。

しかし、社外ネットワークからのアクセスや、PCやスマートフォン、タブレットなど、あらゆるデバイスからのアクセスには、境界で侵入者を防ぐという考え方では対応が困難です。

また、クラウドサービス活用の拡大に伴って社外にデータを置くことが一般的になったことから、境界型セキュリティーの考え方自体が効果を発揮できないケースが増えています。

ニューノーマルに対応するためには、境界型セキュリティーで対応可能な範囲に限定してテレワークを運用するか、ゼロトラストセキュリティーなどの新しいセキュリティーモデルへ移行するかが現実的で、選択を迫られているといえるでしょう。

ニューノーマルにおけるセキュリティー5つの課題

ここでは、ニューノーマルにおけるおもな5つのセキュリティー課題を紹介します。

テレワークに合わせたセキュリティー対策の実施
サイバー攻撃の高度化
ユーザー情報管理の煩雑化
クラウドとオンプレミスシステムの併用
在宅勤務における従業員の意識

それぞれ詳しく解説します。

テレワークに合わせた
セキュリティー対策の実施

ニューノーマルにおけるセキュリティー課題で欠かせないのが、テレワークに合わせたセキュリティー対策の実施です。

テレワークでは仕事環境はもちろん、コミュニケーション手段や業務管理の方法も変わることから、新しい働き方に合わせたセキュリティー対策が必要です。

IPAが2021年1月に発表した「情報セキュリティ10大脅威 2021」によると、組織への脅威の第3位に「テレワークなどのニューノーマルな働き方を狙った攻撃」があげられています。

※ 参考：情報セキュリティ10大脅威 2021 情報処理推進機構

テレワーク業務を効率化するためのツールの導入も重要ですが、併せてセキュリティー対策もクラウドシフトに適した形に変えていく必要があることが、調査結果からも伺えます。

サイバー攻撃の高度化

ニューノーマルにおけるセキュリティー課題には、高度化するサイバー攻撃への対応もあげられます。

先述の「情報セキュリティ10大脅威 2021」では、組織への脅威の第1位として「ランサムウェアによる被害」があげられました。
ランサムウェアとはマルウェアの一種で、PCやサーバー、スマートフォンが感染すると、データが暗号化されて利用できなくなったり、端末自体が使用できなくなったりと業務に多大な影響をおよぼします。

このように近年、個人ではなく組織化してサイバー攻撃を行う例が増えています。また、サイバー攻撃にAIを活用するなど、技術的な面でもより高度な攻撃になりつつあります。

今後もさらに高度になっていくことが予想されるサイバー攻撃の脅威に備えて、現状どのような脆弱性を抱えているかを正確に把握しなければなりません。

ユーザー情報管理の煩雑化

ニューノーマルにおいては、ユーザー情報の管理が煩雑化しがちです。

ニューノーマルによってクラウドサービスを含め利用するツールも増えたため、従業員のID・パスワードの管理の煩雑化と管理者の負担の増加が問題になっています。

たとえば以下のような問題があります。

同じパスワードを複数のシステムやサービスで使い回している
ID・パスワードを紙に記載して家に置く、外に持ち歩く、PCに付箋で貼っている
ID・パスワードを忘れるなど管理者への問い合わせが増加している

従業員が複数のID・パスワードを管理しなければならないことも課題といえますが、従業員ごとに社内ツールの権限設定をしたり、異動のたびに再設定したりする作業は、管理者にとっても大きな負担といえるでしょう。

これらの課題を解消しつつ、ID・パスワードの漏洩などを防ぐための対策を講じる必要があります。

クラウドとオンプレミスシステムの併用

クラウドとオンプレミスシステムの併用も、ニューノーマルにおけるセキュリティー課題です。

クラウドサービスの利用が拡大する一方、企業によってはオンプレミスから離れられないシステム領域もあります。たとえば、企業が大きな投資をして独自に開発したシステムや移行が難しいものなどです。

そのため、企業によっては、残り続けているオンプレミスシステムとクラウドサービスのセキュリティー対策を並行して行う必要があります。

在宅勤務における従業員の
意識

在宅勤務における従業員の意識向上も重要な課題です。

ネットワーク環境へのセキュリティー対策など技術的な対策を講じても、従業員のセキュリティー意識が低ければ意味をなしません。従業員が誤って不正なメールの添付ファイルを開いてしまうと、たちまちウイルス感染が拡大してしまうといった可能性もあります。

また、在宅勤務やテレワークによってプライベートと仕事環境の境界があいまいになることで、意識が低下し判断ミスにつながる可能性もあります。

定期的な教育・啓発活動などを通してルールを周知するなど、従業員一人ひとりがセキュリティーに対する高い意識を持つよう対策していくことが重要です。

ニューノーマルにおける3つのセキュリティー対策

ニューノーマルにおけるセキュリティー対策には、以下のようなものがあります。

セキュリティー対策の考え方を現状に適した形に変える
侵入を前提とした対策を講じる
従業員管理の方法を変える

それぞれ、一つずつ解説します。

セキュリティー対策の考え方を現状に適した形に変える

ニューノーマルにおけるセキュリティー対策の一つ目は、現状のテレワークにあったセキュリティー対策へと考え方を変えることです。

まずは現状の境界型セキュリティーの限界を認識することから始めましょう。そのうえで境界型セキュリティーを続ける場合は、テレワークでの制約条件を明確にし、社内に周知・実装する必要があります。

なお、総務省が発表しているテレワークセキュリティガイドラインにはテレワークのセキュリティー対策を下記の13種類に分け、それぞれに対して経営者・システム管理者・テレワーク勤務者が実施すべき対策の詳細を記載しています。

＜対策分類＞

ガバナンス・リスク管理
マルウェア対策
物理的セキュリティ
資産・構成管理
通信の保護・暗号化
脅威インテリジェンス
脆弱性管理
アカウント・認証管理
教育
特権管理
アクセス制御・認可
データ保護
インシデント対応・ログ管理

参考：テレワークセキュリティガイドライン第５版（令和３年５月）総務省

テレワークを安全に行える環境づくりに向けて必要な対策を確認し、現状に適したセキュリティー対策を行いましょう。

侵入を前提とした対策を
講じる

ニューノーマルにおけるセキュリティー対策の二つ目は、侵入を前提とした対策を講じることです。

さまざまなデバイスからのアクセスや攻撃方法の高度化により、従来の「攻撃・侵入を防ぐ対策」という考え方では攻撃を防ぎきれないケースも増えつつあります。

そこで近年、攻撃されることを前提とした「侵入後の被害の拡大防止」と「監視強化」を目的とした対策が講じられるようになってきました。
具体的には、以下のようなセキュリティー対策が有効です。

エンドポイントセキュリティー

エンドポイントセキュリティーとは、ネットワークに接続されているサーバーやPC、スマートフォンなどの末端につながっている機器すべての保管データをしっかりと守る対策のことです。

近年、「インターネット」「メールの添付ファイル」「感染PCからの拡大」「USBメモリー」など、脅威の侵入経路は多様であり、最初の壁が崩れやすいとされています。

そのため、ネットワーク上の対策ではなく最後の砦であるエンドポイントで脅威を監視し続けるEDR（Endpoint Detection and Response)に注目が高まっているのです。
ゼロトラストセキュリティー

ゼロトラストセキュリティーは、「すべてを信頼しない」ことを前提としたセキュリティー対策で、過去の認証情報や検証結果を参照することなく、アクセスのたびに問題がないか厳密にチェックします。

社内外を問わずすべてのアクセスに対して、デバイスの種類やアクセスの場所、ユーザーの振る舞いなどを検証し、認証できた場合に限りアクセスを許可するので、厳格なセキュリティー対策を実現できます。

従業員管理の方法を変える

従業員管理の方法を変えることもニューノーマルにおけるセキュリティー対策につながります。

たとえば、クラウドサービスとオンプレミスを併用する前提でIDやログを管理する場合、クラウド型ID管理・統合認証サービス「IDaaS」（Identity as a Service）や、アイデンティティ管理システム「IAM」（Identity and Access Management）などを利用する方法が有効です。

従業員一人ひとりの意識が大切ですが、管理方法を変えることで効果も大きく変わります。従業員の管理方法をクラウドシフトし、万全なセキュリティー対策を行いましょう。