アン ジョンソン (Ann Johnson)
サイバーセキュリティソリューションズグループ コーポレートバイスプレジデント
※ このブログは、米国時間 3 月 12 日 に公開された ”Work remotely, stay secure—guidance for CISOs” の抄訳です
多くの従業員が急遽在宅勤務にシフトする中で、企業や社員がサイバーセキュリティのリスクを高めることなく生産性を維持するためにできることがあります。
リモートワークという新たな状況に置かれた従業員は、チャットアプリケーションや共有ドキュメントを使って仲間や同僚と連絡を取り合う方法を考えたり、予定していた会議をオンライン会議に変更するなど検討していることでしょう。その一方で、サイバー攻撃については配慮が出来ていないかもしれません。このように組織が一夜にして分散化し、詳細な計画立案や検証の時間がほとんどない状況において、最高情報セキュリティ責任者 (以下CISO) と管理者は新たなシナリオの想定と脅威ベクトルを早急に検討する必要が出てきました。
マイクロソフトは、迅速に新たな作業環境へと移行しなければいけないお客様をこれまで支援してきました。これらの経験に基づき、最高レベルの保護環境を確保するためのベストプラクティスを一部紹介したいと思います。
短期的、そして長期的に何をすべきか
ビジネスチャットツールを使えるようにすることで、従業員は共同作業の場を把握できるようになります。6 ヶ月無料で利用できる有償版の Microsoft Teams を利用している場合や、ユーザー数の上限が撤廃され、ビデオ会議のスケジュールができるようになった無料版のTeamsを利用している場合、こちらのページを参考にリモートワークをサポートしてください。Open for Business Hub には、新型コロナウイルスが蔓延する中、小規模企業が無料で利用できるさまざまなベンダーのツールが掲載されています。いずれのソフトウェアも、Azure Active Directory (Azure AD) でユーザープロビジョニングを行い、シングルサインオンを設定すれば、ユーザーにダウンロードリンクがメールで送信されフィッシングメールの被害にあうといったことも起こらないでしょう。
クラウドアプリケーションへのアクセスは、セキュリティのデフォルト設定によってサインインが守られている Azure AD の条件付きアクセス で保護されます。これまでに設定したポリシーを確認し、在宅勤務ユーザーからのアクセスをブロックしないよう気をつけてください。パートナーやサプライヤーと安全にコラボレーションするには、Azure AD B2B をご覧ください。
Azure AD Application Proxy では、リモートで利用可能なオンプレミスアプリが発行できます。マネージドゲートウェイを使用する場合、現時点でマイクロソフトがサポートするパートナーソリューションとして、Azure AD で安全にハイブリッドアクセスできるソリューションが複数存在します。
多くの従業員が自宅でも職場のノートパソコンを利用していますが、個人用デバイスを使って企業データにアクセスする頻度も高まることが見込まれます。そこで、Azure AD Conditional Access と Microsoft Intune アプリの保護ポリシー を併用してみましょう。これにより、個人デバイス上の認証アプリからアクセスする企業データの管理と保護が可能となり、従業員の生産性も維持できます。
Intune は、ユーザーが新たなデバイスでアクセスしたことを自動的に検知し、デバイスを登録して企業の認証情報でサインインするよう求めます。デバイスの管理オプションとして、BitLocker を有効化したり、パスワードの長さを設定したりすることも可能です。これによって家族写真などの個人データに干渉することはありません。ただし、設定の変更は慎重に行いましょう。ポリシーの設定が可能だからといって安易に利用するのではなく、実際に対処すべきリスクがあることをあらかじめ確認してから利用してください。
Tech Community では、他にも Azure AD でリモートワークをサポートする方法について紹介しています。
私はこれまでに何度も多要素認証 (MFA) について話してきていますが、どの企業の従業員に関しても断言できることがあります。それは、在宅勤務中の社員のセキュリティ向上を実現する最善の方法は、MFA の採用であるということです。現時点でMFA を採用していないのであれば、今を緊急検証の機会と捉え、利用方法がわからない社員等をサポートするスタッフをそろえて備えてください。ハードウェアタイプのセキュリティデバイスは配布できないと思うので、Windows Hello の生体認証や、Microsoft Authenticator などのスマートフォン認証アプリを活用してください。
長期的な対策としては、Azure Information Protection などを活用し、最重要データを検索してラベル付けできるようなプログラムを検討するようセキュリティ管理者にお勧めしたいと思います。これにより、在宅勤務の従業員のデータ利用状況が追跡でき、監査も可能です。すべてのネットワークが安全とは言い切れませんし、リモートワーク中の従業員が必ずしも自宅にいるとは限らないことを念頭に入れておきましょう。
Microsoft Secure Score にて、リモートワークによるコンプライアンスとリスクへの影響が確認できます。また、Microsoft Defender Advanced Threat Protection (ATP) で、在宅勤務中の従業員を装った攻撃者を探し出すことが出来ます。ただし、ユーザーの一般的な行動から外れた行為を検知するようなアクセスポリシーを採用している場合、自宅やカフェからの正規ログインに対してもフラグを立ててしまうことがあるので注意してください。
従業員をどのようにサポートするべきか
リモートワークを採用する企業が増えていますが、ツールを提供しポリシーを施行するだけでは従業員を十分にサポートできないこともお伝えしたいと思います。従業員のサポートには、ツールと透明性、そしてタイミングの組み合わせが大切です。
リモートワーク中の従業員は、データや情報、そして企業ネットワークにアクセスしています。つまり、犯罪者からの誘惑も高まっている状況です。そこで従業員に対し、幹部社員などの認証情報を狙った標的型スピアフィッシングをはじめとするフィッシング攻撃の増加が予測されると警告してください。今こそ真剣に取り組む時です。企業ポリシーに反し、感情的な言葉を用いて少し間違った詳細が書かれているような緊急のリクエストには特に注意してください。また、このような疑わしいメッセージを受け取った場合の報告先も決めておいてください。
明確なコミュニケーションポリシーを確立することで、従業員は企業の公式メッセージとして捉えるようになります。例えば、ビデオはメールよりもなりすましが困難なため、Microsoft Stream のような公式チャンネルを設けることで、社員同士のつながりを保ちつつフィッシングの危険性を減少させることが可能です。また、時間のある時に視聴できるストリーミングビデオも、学校の休校や旅行のスケジュール変更などで個人的な用事をやり繰りしている従業員にとってはありがたいものです。
ここで重要となるのは透明性です。マイクロソフトのお客様の中で、成功している企業は透明性も極めて高いと言えます。従業員からの信頼はまさに透明性によって構築されます。デバイスの保護方法を含め、明確で基本的な情報を提供することにより、企業も従業員も脅威の一歩先を行くことができるのです。
例えば、消費者向け VPN や無料 VPN を介してダウンロードすることがなぜ良くないことなのか、従業員がしっかり理解できるよう努めてください。こうした接続方法により、従業員が気づかないまま企業ネットワークから機密情報を引き出せてしまうのです。かわりに自社で採用している VPN を活用する方法と、この手法が安全な VPN 接続によってルーティングされていることを伝えるようにしてください。
従業員に必要なのは、条件付きアクセスポリシーの情報や、企業ネットワークに接続するデバイスに求められる最新のマルウェア対策保護ツールなどに関する基本的な理解です。こうした情報を整えておくことで、従業員は自分のアクセスがブロックされているかどうか、また必要なサポートをどうすれば受けることができるのか把握できるのです。
在宅勤務をしているからといって、従業員がそれぞれ孤立しているわけではありません。お互い交流もできれば連絡を取り合うこともでき、同時に企業の安全性も維持できるのです。リモートワークで生産性を維持する方法についての詳しい内容は、Microsoft 365 のブログをご覧ください。
—
本ページのすべての内容は、作成日時点でのものであり、予告なく変更される場合があります。正式な社内承認や各社との契約締結が必要な場合は、それまでは確定されるものではありません。また、様々な事由・背景により、一部または全部が変更、キャンセル、実現困難となる場合があります。予めご了承下さい。
