2021年の夏を迎え、各種組織はコロナ後の働き方について考え始めつつあります。Appleは6月、9月以降は少なくとも週に数日はオフィス勤務を再開すると発表しました(英語記事)。新しい働き方の現実について、多くの企業ではまだ最終的な決定はなされていませんが、オフィス復帰が部分的なものであっても、IT部門およびITセキュリティ部門の側で、ある程度の対策が必要です。
在宅勤務への切り替えは難題でしたが、オフィスに戻るのもそれに引けを取りません。例えば、切り替えに当たって実施した変更を部分的に元に戻さねばなりませんが、その作業は初めて導入したときと同じくらい複雑である可能性があります。また、社内サービスのセキュリティを再確認したり、テレワーク中に慣れ親しんだソフトウェアに対する従業員のニーズに応えたりと、考慮すべきことは多々あります。そこで、優先順位付けに役立つように、企業のためのサイバーセキュリティのアクションプランをまとめました。
1. 在宅勤務開始時に導入したサイバーセキュリティの次善策を維持する
在宅勤務中も会社のエンドポイントのセキュリティを維持できるように、ほとんどの企業では追加の保護手段を導入したものと思います。リモートコンピューターのセキュリティチェックおよびパッチの集中管理、VPNの配備または拡張、中にはセキュリティの意識向上トレーニングを実施した企業もあったかもしれません。また、実際の境界線がないためにうまく機能しなかったネットワーク境界防御のギャップを埋めるのには、Endpoint Detection and Response(EDR)エージェントが重要な役割を果たしました。
こういった対策は、従業員が自宅とオフィスを行き来したり出張で移動したりする「ハイブリッド」なワークモデルにおいても維持されるべきです。エンドポイントにVPN、EDR、不正侵入検知システムを導入することで、従業員がどこででも安全に仕事ができるようになります。
2. テレワーク対応のため無効化されたセキュリティ規制を有効にする際のリソースと時間を慎重にプランニングする
従業員が(特に個人のデバイスから)企業ネットワークへリモート接続できるようにするため、Network Admission Control(NAC)などのサイバーセキュリティ関連の規制を緩めたり無効にしたりした企業もあります。NACは、企業ネットワークへのアクセスを許可する前に、そのコンピューターが企業のセキュリティ要件に準拠しているかどうかをチェックします。コンピューターに権限がない、古いアンチマルウェアソフトウェアを使用しているなどセキュリティ要件を満たさない場合、問題が解決されるまでNACはアクセスを許可しません。
従業員がオフィスに戻って企業ネットワークに接続する際には、従業員のコンピューターが何らかのリスクをもたらす場合に備え、NACを有効にして社内システムを保護する必要があります。ただし、これらのコンピューターは長い間(場合によっては1年以上も)企業ネットワーク外にあったため、OSやソフトウェアのアップデートが行われていない可能性があります。そのため、数十台、数百台規模のコンピューターに対してNACを有効にするとエラーが多発する可能性があります。したがって、担当人員が少ない場合、サービスの切り替えを段階的に徐々に実施せざるを得ない可能性があります。
企業としてはこのような問題を予測し、リソース、期限、バグ修正、さらにはITインテグレーターへの支援要請も含めた計画を立てる必要があります。
3. 社内システムの確実な更新
社内の重要サービスのチェックも忘れるわけにはいきません。パッチが適用されていないサーバーがあるのならば、ITセキュリティ部門では、従業員がオフィスへ戻ってきはじめる前に把握しておいた方がいいでしょう。
オフィス内で仕事をしていたとき、私たちのコンピューターは常に企業ネットワークに接続され、年中切れ目なく保護下にあり、セキュリティポリシーによってコントロールされている状態でした。そのため、PCからネットワークに侵入したエクスプロイトが脆弱なサーバーを侵害するリスクは比較的低かったのです。
皆が一斉にオフィスに戻ってきてコンピューターを企業ネットワークに接続した時点で、全ユーザーアカウントを管理するドメインコントローラーの中にパッチの適用されていないものがあった状態を想像してみてください。ネットワークに接続した数百台のコンピューターの中にセキュリティを侵害されたコンピューターがあり、サイバー犯罪者が脆弱なドメインコントローラーを突き止めることができたならば、従業員のアカウントデータやパスワードが不正にアクセスされる恐れがあります。ITセキュリティ部門がすぐに問題を検知するかもしれませんが、ネットワークの再編成や全部のパスワードの変更など、余計な仕事が増えてしまいます。
4. 節約するだけでなく、コストにも備える
従業員をオフィスに戻すことは、雇用側のコスト削減にもつながります。例えば当社の場合、ほとんどの社員が自宅で仕事ができるようにするために、VPNトンネルの数を1,000から5,000〜8,000に増やしました。社員がオフィスに戻ってくれば必要なVPNライセンスが減るため、その分コストを削減できる可能性があります。
同様に、SlackやMicrosoft Teamsのようなサブスクリプションベースのクラウドサービスのライセンス数も減らすことができます。これまでほどクラウドライセンスが必要なくなるため、一部のサービスをオンプレミスに戻せます。また、電子署名アプリについても同様です。人の移動が規制されている間には必要でしたが、移動制限が解除されれば規模を縮小し、文書に署名する従来の手続きと組み合わせて使用できるようになります。
しかし、浮いた予算をデジタルワークステーションの体系化に充てることで、オフィス勤務とそれ以外の場所での勤務を組み合わせた働き方を従業員が選択可能になります。デスクトップ仮想化(VDI)からDaaS(Desktop as a Service)に至るまで、以前から存在するものではありますが、Gartnerが指摘するように(英語)、これらはパンデミックを契機に普及が進みました。すべてのワークスペースがクラウド上に集約され、どんなデバイスからでもアクセスできる環境にあれば、仮想デスクトップを使用した方が、リモートコンピューターを使用するよりも導入、管理、修正、保護がはるかに容易です。
5. 従業員が使い慣れたツールや設定を残す
リモートで仕事をする間に、従業員たちは新しいコミュニケーションツールやコラボレーションツールに慣れ親しんできました。チャット、ビデオ会議、プランニングツール、CRMなど、これからもこうした便利なアプリケーションを使い続けたいとの要望が上がることでしょう。当社の調査では、パンデミック前よりも柔軟で快適な労働条件を求める人は回答者の74%に上りました(英語レポート)。
このような革新的テクノロジーの使用を禁止するのは、賢明な策ではありません。従業員がIT部門の承認を得ずに勝手にアプリケーションを使用する、いわゆる「シャドーIT」の拡大を誘発する可能性があります。企業としては、新しいサービスの利用を承認するか代替手段を提示するかした上で、より安全な方を選ぶことがなぜ重要なのか、その理由を従業員に説明できるようにしておく必要があります。クラウドサービスへのアクセス管理に関しては、クラウドに対してセキュリティポリシーを適用するためのソリューションを利用可能です。セキュリティ製品に搭載されたクラウドディスカバリー機能、またはCloud Access Security Broker(CASB)といった選択肢があります。
ITセキュリティは、障壁となるのではなく、ビジネスを可能にするものであるべきです。働き方の変化を会社側が無視した場合、従業員の会社に対する見方に影響が及ぶかもしれません。柔軟な働き方や労働者にとって便利なサービスを認めることで、従業員の目には会社がより魅力的なものに映り、将来の入社を考える人にとっても同様です。反対に、否定することで従業員の不評を招き、これが外に知られることとなれば世間の不評につながる可能性もあります。Appleでは、一部の従業員がティム・クックCEOと経営陣に対し「テレワークや働く場所の柔軟な選択を、採用の決定と同様に部門にて自律的に決定できるよう、考慮してほしい」との旨のメールを提出し、これをメディアが入手したことから、そのような事態となりました(英語記事)。
コロナ禍で得られた学びを先へ繋げるために
パンデミックとテレワークへの移行は、不可抗力により発生しました。このような事態はめったにあるものではありません。困難はいくつもありましたが、この経験はかけがえのないものであり、将来に向けての重要な学びでもあります。
コロナ禍で見えた最重要ポイントの一つは、ビジネス変革のスピードとITの柔軟性の大切さです。そしてITセキュリティは、何かを禁じるのではなく選択肢を提供するもの、そして、この柔軟性を支えるものでなければなりません。オフィス勤務の再開をスマートかつ安全に行うことで、企業はこの流れに乗りながらビジネスプロセスをフル活用することができるのです。