「セキュリティ対策って何から始めればいい?」 ハイブリッドワークで守るべき3つのポイントをサイボウズの情シス部長に聞いてみた【ガイドライン資料付き】
コラム
出社するタイミングとテレワークを組み合わせたハイブリッドワークが企業の新しい働き方として定着しつつあり、柔軟に働き方が選択できるだけに、できれば継続していきたいところでしょう。
一方で、社外で貴重な情報に触れることになるため、セキュリティ対策にも気をつけていかなければなりません。でも、どのような考え方をもとにハイブリッドワークのセキュリティを考えるべきなのでしょうか。
そんなハイブリッドワークのセキュリティについて、サイボウズの情報システム部門 部長 鈴木秀一に話を聞きました。
目次
考え方は従来通り、その対象が変わったハイブリッドワークのセキュリティ
ーー出社前提だったこれまでのセキュリティは、どんな考え方が根本にあったのでしょうか。
ポイント
- 出社が前提だった以前の働き方では、基本的にオフィスという安全なエリアの「入り口」を守っていれば大丈夫だった
- ハイブリッドワークでは、「入り口」の対象がパソコン・スマートフォン・クラウドサービスなど、従来に比べて小さい単位に変わるため、個別に守るべき対象が広がった
出社が前提だった以前の働き方では、オフィスという安全なエリアで働いてもらい、入り口で悪い人(脅威)を防ぐという境界型防御という考え方がセキュリティにおける基本的な考え方でした。
つまり、オフィスの鍵や入退出管理で利用するIDカードの仕組みなどでオフィスという安全な空間をつくってきたわけです。これはネットワークの世界でも同様で、インターネットとの間に壁を設けて、イントラネットという安全な空間で仕事をしてもらってきました。
一方でハイブリッドワークは、自宅やカフェ、ホテル、貸し会議室など、これまで安全ではないと言われてきたエリアで働くようになる。しかも、社内の安全なエリアにあった業務システムがクラウドサービスに移行し、安全ではないとされてきたインターネット越しに利用することになるなど、環境は大きく様変わりしました。
ーー昨今セキュリティに関する考え方として、ゼロトラストといったキーワードもよく耳にしますが、これはハイブリッドワークでも何か関係してくるのでしょうか。
ゼロトラストは“何も信用しない”という前提に立ってセキュリティを考えるものです。NIST(National Institute of Standards and Technology:米国立標準技術研究所)にて「SP 800-207: Zero Trust Architecture (A) ZT2nd DRAFT」としてゼロトラストがクラウド化・テレワーク型社会におけるセキュリティモデルとして紹介されています。
たしかに理想的な考え方ではありますが、ゼロトラストを意識しながらセキュリティを考えるのは、セキュリティの専任者であればいざ知らず、情シス兼務の方であればなかなか難しい。
SASEやIDaaS、EDRといった新たなセキュリティソリューションを導入することがゼロトラストでは求められますが、現実的に対応していくにはコストもスキルも必要です。大企業ではすでに検討が進められていますが、全ての企業で対応していくのは厳しいはずです。
ーーでは、ハイブリッドワークにおけるセキュリティはどのようなアプローチが現実的なのでしょうか。
発想的には以前と変わらないと思っています。ただし、オフィスという物理的な空間ではなく、もっと小さな単位で見ていくことが重要です。社内のデータがある場所は、仕事を行うパソコンやスマートフォンのなかにあり、システムでいえばクラウドサービス上に業務に必要なデータがある。この単位ごとに入り口の安全を考えていくことです。
例えばパソコンやスマートフォンであれば、誰がアクセスできるのか、どこまでアクセスしていいのかということを考えていくわけです。オフィスでみれば、IDカードリーダーがないと入れませんし、サーバなどがおかれた部屋には、情報システム部門など一部の担当者しかアクセスできない。役割に応じて入室できるエリアも異なっていたはずです。
ハイブリッドワークでも同じような考え方をあてはめ、その対象が変わったという捉え方をしてもらうと分かりやすいのではないでしょうか。
ハイブリッドワークにおける具体的なセキュリティ対策
ポイント
- 働いている人のITリテラシー、そしてどれくらい費用をかけられるのかというコストによって、セキュリティレベルの落とし所も変わってくる
- ただし、「パスワードポリシー」「スクリーンロック」「ディスクの暗号化」は最低限押さえておきたい
セキュリティの在り方は100社100通り。現場に合ったやり方でないと意味がない
ーーではハイブリッドワークへの移行に伴い、具体的にどんな対策を実施すべきなのでしょうか。
働いている人のITリテラシーや持っている機材に寄ってくるため、一概には語れませんが、まずはパソコンやスマートフォンに対して、アクセスしていい人かどうか分かるようにする。従業員一人ずつにアカウントを付与し、きちんとIDやパスワードを設定することから始めたいところです。
ただし、それでは単に正しい人がアクセスできるようになっただけです。今度はパソコンそのものをオフィスと同じように安全な状態にする必要があります。
ーー「オフィスと同じように安全な状態にする」とはどういうことでしょうか。
例えばパソコンをオフィスに放置してトイレや昼食に出ても、オフィスが安全なので皆さんあまり意識はしていなかったのではないでしょうか。
社外で仕事をするようになれば、少なくともパソコンの中身を見られないようにしたいところです。そう考えると、データを暗号化したり、認証をもっと複雑にしたりといったことが有効になってきます。
認証を複雑にするには、パスワードだけでログインできるのではなく、例えば生体認証やスマートフォンアプリを利用したリアルタイム認証など複数の認証手段を組み合わせます。そうすることで、オフィスにいたときと同じようなセキュリティレベルに近づけていくことができる。
クラウドサービスについては、認証を強化することが必要ですし、クラウドサービス内のデータが暗号化されているものを最初から選んでおきたいところです。
ーーセキュリティ環境の整備を進めるうえで、他にはどんな点に注意すべきでしょうか。
働いている人のITリテラシー、そしてどれくらい費用がかけられるのかというコストが重要になってくるはずです。
オフィス中心の働き方でも、物理的な鍵を利用している企業もあれば、ICカードで鍵を解除している企業もある。生体情報がないと入室できない厳格な対策を実施しているなど、コストのかけ方はそれぞれです。リモートワークにおいても、どれだけコストがかけられるのかによって変わってきます。
ITリテラシーに関しては、例えば二段階認証のほうがセキュリティレベルは上がりますが、二段階認証用のメールアドレスを忘れてしまうとか、そもそも二段階認証から先に進めないので解除して欲しいといった問い合わせが多数寄せられるようでは本末転倒です。働いている皆さんにあったやり方でないと意味がありません。
最低限押さえておきたい「パスワードポリシー」「スクリーンロック」「ディスクの暗号化」
ーー会社によって違いはあるものの、最低限どこまでやっておきたいところでしょうか。
一人一台PCを持っており、お金をかけずに対策したいという前提で考えると「パスワードポリシーを作成する」「スクリーンロックをかける」「ディスクを暗号化する」といったあたりは最低限やっておきたいところです。クラウドサービスを利用する場合は、暗号化された経路でアクセスすることも意識すべきです。
必ず押さえたい:
「パスワードポリシー」「スクリーンロック」「ディスク暗号化」
できれば押さえたい:
「2段階認証(PC)」「リモートワイプ(スマホ)」
ーーパスワードポリシーを作成するとは具体的にどんなものでしょうか。
シンプルにパスワードは何文字以上で英数や記号を組み合わせるなど、どれだけ複雑なものにするのかという決め事をしておくことです。
システムで制限できればいいですが、お金をかけないのであればルールを決めて運用していくことです。これはスマートフォンでも同様で、MDMなどシステムで制御する場合もあれば、単に6つの数字だけで解除できないよう英数字のパスコードを使うといったことをルール化して運用していきましょう。
スクリーンロックについては、一般的なパソコンであればスクリーンセイバーを設定してあげること。これを強制させるのか、ルールとして利用者の善意に任せてしまうのかは別にして、まずはしっかりとルールとして決めておくことが大事になります。
ーーディスクの暗号化については具体的にどうすればいいのでしょうか。
WindowsやMacOSにはそれぞれOSの標準機能として暗号化機能が付帯しています。WindowsであればBitLocker、MacOSならFileVaultと呼ばれるものを利用すれば、コストもかかりません。スマートフォンにも標準の機能として暗号化機能が付いています。AndroidもiPhoneも設定できるので、そちらを利用すれば暗号化が実現できます。
ーーコストがかけられないのであれば、OS標準の機能も積極的に利用すべきとお考えでしょうか。
サイボウズの考え方としては、きちんと説明できることはとても大事だということ。何か発生した場合に、きちんと対策していたということが説明できるかどうかが重要で、アンチウイルスや暗号化などもOS標準の機能を使っていれば周りも理解しやすい。
Windowsであればアンチウイルス機能が備わっているMicrosoft Defenderなどが利用できますし、お金をかけずとも最低限のことはできます。逆に、何かの付録についてきた暗号化ツールを使ってしまうと、なんでそんな製品を使っていたのかの説明が付きにくい。その意味でも、OS標準の機能を使う意味はあると考えています。
ーークラウドサービス利用時の暗号化については、何か特別な環境が必要でしょうか。
クラウドサービス内のデータ暗号については、本来であればクラウドサービスを選択する際に検討が必要です。また、アクセスするための経路となるインターネットは、悪い人がはびこる“悪の巣窟”のようなイメージを持たれていることも。
そこを安全に利用するのであれば、アクセスするサービスがHTTPSで暗号化されているかどうかも大事になります。もしコストをかけることができるのであればIPsecなどVPN技術にて経路を暗号化するということも可能です。
私物の端末を利用する場合は、より詳細な検討が求められる
ポイント
- コストが許すのであれば、パソコンやスマートフォンなど業務に必要なものは全て貸与して、私物では仕事をしないというルール設定が理想
- 私物のパソコンやスマートフォンを利用する場合、どこまでセキュリティを求めるのかという、許可した後のことをいろいろ考えなければならない
ーーハイブリッドワークでは、自宅のパソコンや自分が持っているスマートフォンを利用したいという声も当然出てくると思いますが、そこはどう考えるべきでしょうか。
個人的な考えですが、会社から貸与したパソコンやスマートフォンでアクセスするというルールにしておいたほうが安全であることは間違いありません。
たしかにどんな端末からも利用できるのがクラウドサービスのメリットですし、私物の端末からアクセスを許可することは簡単です。しかし、私物のパソコンやスマートフォンに対してどこまでセキュリティを求めるのかという、許可した後のことをいろいろ考えなければならない。であれば、会社から貸与したものを利用してくださいとお願いするほうがシンプルです。
ーーたしかに、私物のパソコン内に情報が残っていて、それを廃棄する場合はどうするのかとか、新たなルールをいろいろ考える必要がありそうですね。
もちろん、コストが十分使えるのであれば、パソコンやスマートフォンなど業務に必要なものを全て貸与して、それ以外で仕事をしないというルールが設定できます。できる限り私物の端末を使って欲しいという場合でも、ルールをしっかり作っておくことです。
そのためには、どんな業務であればリモートワークできるのか、どこまでお金をかけてデータを守りたいのかといったことをしっかりと見定めるべきです。
ーー私物の利用を想定した場合、具体的にどんなルール作りが考えられるのでしょうか。
例えばSMSやスマートフォンアプリでの二要素認証であれば、私物のスマートフォンは許可し、それ以外の業務データはダウンロードしないといったルールづくりです。
セキュリティは強化したいので、二要素認証のアプリだけは個人のスマートフォンにインストールしていい、ただし、業務で使うデータを保存するのは会社から貸与されたものにしてねといったバランスが重要になってきます。
サイボウズにおけるハイブリッドワークのセキュリティ事情
社員のセキュリティリテラシーをあげていく活動も必要
ポイント
- ガイドラインは直していくことを前提に、きっちり決め過ぎずに、小さく始めてブラッシュアップしていくほうが、自社にあったハイブリッドワークのルールやシステムも作りやすい
- 一度リリースしたら一生改修できないようなプロダクトと違い、ハイブリッドワークの仕組みは改善していけるものである
ーーコストをかけずに対策できることから進めていくことはもちろん、ルールを決めてそれを遵守させていくためのリテラシーも重要だというお話がありました。サイボウズではそのような形でルール化しているのでしょうか。
サイボウズでは、社外で仕事する場合には“こうしたほうがいい”という「リモートワークガイドライン」を社員に提示しています。
ガイドラインでは、リモート環境でもオフィス同等の安全を保つにはどうすることが最良なのか、使う人に伝える意図が込められています。どうしてもセキュリティをやり始めると完璧を求めてしまいがちですが、従来のオフィスを超えるセキュリティである必要はないと思います。
ーー「オフィスを超えたセキュリティ対策」とは、例えばどんなことでしょうか。
リモートワークだと身近にメンバーがいないため、マネージャーの立場からすると監視したくなるものです。でも、オフィスにいるときには常時監視していなかったですよね。セキュリティあるあるですが、どうしてもやり過ぎてしまうケースも見受けられますので、そのあたりはバランスが重要になってきます。
例えばカフェで仕事をする場合は、個室でない限り極秘、秘密情報は見ないでね、といったことがガイドラインに記載されています。実際には、オフィスにいるときは極秘、秘密情報をこっそり見ていた人はいるはずで、それはリモートワークでも許容しながらも、誰かに覗かれないような環境で見て欲しい。
オフィスと同等のレベルをどう許容するのかというバランスを考えて明文化しています。
ーーちなみに、どんなことがサイボウズ社内のガイドラインに記載されているのでしょうか。
下手に縛ってしまうよりは、こんなことに気を付けて欲しいという伝え方をしているところでしょうか。メンバーはみんなリモートワークを続けたいはずで、何かによって禁止されたくないのが本音でしょう。
リモートワークは皆さんに利便性を提供するものであり、なるべくルールを守ろうという流れになりやすい。このメリットを長く享受するために、自分たちはどうするべきかということを考えてくれるようになりました。
これもあれもダメというルールよりも、注意して欲しいことをきちんとガイドラインとして書いてあげれば、それを敢えて超えていこうという人は少ないのではないでしょうか。
ガイドラインは小さく始めて直していくことを前提に、きっちり決めすぎない
ーーこのガイドラインはどのように作られていったのでしょうか。
コストの面もあり、最初から全社員を対象にリモートワークに移行するのは大変ですので、例えば外回りをする営業部門など特定の部署から許可していくなど、スモールスタートしていくことが重要で、サイボウズではそれがうまく功を奏しています。
リモートワークできるシステムがある程度整っていて、在宅でできる仕事を持っている人たちからお試ししてもらうことで、こんなこともルール化した方がいい、ここはちゃんと制御しないとインシデントが発生するかもなど、試してはじめてわかることも多くあります。それをガイドラインとして追加していきました。
当初は全く想定できていませんでしたが、「ホテルのWi-Fiって使っていいんですか?」と問い合わせが来たときに、たしかにそこは考える必要があることに気づかされたこともあります。
ーーなるほど。最初から完璧なものは目指さず、まずは実際に運用してみて、その中で見えてきた課題をもとにアップデートしていけばいいと。
一度リリースしたら一生改修できないようなプロダクトと違い、ハイブリッドワークの仕組みは改善していけるもの。小さく始めて直していくことを前提に、きっちり決め過ぎずに、ふわっとした状態でブラッシュアップしていくほうが、自社にあったハイブリッドワークのルールやシステムも作りやすいはずです。
ーーちなみに、ネットワークなどはどう考えたらいいのでしょうか? 社内を経由してインターネットに抜けていくのか、直接自宅からインターネットに接続して業務の情報があるクラウドサービスにアクセスしていいのでしょうか。
わざわざ社内を経由することなく直接クラウドサービスにアクセスする、いわゆるローカルブレイクアウトの環境が理想的ではあります。しかし、ネットワーク変更などが大変なので、社内を経由してクラウドサービスにアクセスするほうが進めやすい。
ファイルサーバなど社内にアクセスしないと仕事ができないケースもあるはずですし、大事な情報が社内にある場合はIPアドレス制限など少しコストをかけて環境を整備する必要があります。いろいろ考えると、いったん社内にアクセスしてもらう方法から始めたいところです。
もちろん、基本は社内を経由するものの、例えばZoomなどWeb会議のトラフィックは直接インターネットにアクセスしてもいいといった考え方もあります。このあたりもスモールスタートしながら、いろいろ試していくことをお勧めします。
ーー最後に、ハイブリッドワークのセキュリティに取り組む方に向けてアドバイスいただけますか。
これまでセキュリティは、IT部門の人が考えてくれるから、自分たちは考えなくていい、ルールを守ればいいという感覚の人も多かったはずですが、ハイブリッドワークについてはそれぞれに意識してもらうことが大切です。
これは、セキュリティの知識を習得するという話ではありません。リモートワークやクラウドサービス利用においてセキュリティは切り離せないもの。今の状態が本当に安全なのか、どうやれば安全に利用できるのかといった意識を、働いているメンバー全員が持ってもらえるような環境づくりを進めてもらえればと思います。
皆さまのガイドライン検討にお役立ていただけるよう、記事内にも出てきた「サイボウズのリモートワークガイドライン」の抜粋版を公開します。どうぞご活用ください。