- エンドポイントセキュリティ
- ID管理
- 認証
特権ID管理もクラウドサービスで!選べるiDoperation Cloud(SaaS版)とパッケージ版
従来のパッケージ版に加え、クラウド版もリリースしたiDoperation。高い可用性が求められるサーバーの特権ID管理もSaaSで利用できるようになったことで、今後ますます需要が増えそうです。
|
|
皆さんこんにちは。長谷川まりです。
自社のテレワークのセキュリティ対策に抜け漏れがないかチェックしたい。そんな時に役に立つのがガイドラインです。日本では、総務省から2020年度中に最新版ガイドラインの公表が検討されているようですが、このような状況の中、海外ではどのような内容になっているのでしょう?今回は、米国を例に、その内容をかいつまんでご紹介します!
日本では、総務省のテレワークセキュリティのガイドラインが、既に多くの企業で活用されています。初版は以外と古く、2004年に公表されており、現在(2020年10月時点)では2018年に発行されている第4版が最新となっています。このほかつい最近、テレワーク導入の急速な広がりを背景に、特に中小企業等担当者向けの手引書も発行されました。
テレワークセキュリティガイドラインは以前、「テレワークの分類とお奨めの端末セキュリティ対策 」で種類と対策を少し触れていますが、全体的には、経営者、IT担当、従業員が、それぞれ何をするべきかが明確に示されています。
では、海外のガイドラインはどうなっているのでしょう?米国に目を向けたところで、NISTのガイドラインや米国サイバーセキュリティ関連機関が出している情報を全部ひっくるめて超シンプルにまとめた資料を発見しました。米国CISA(Cybersecurity and Infrastructure Security Agency)がリリースした「Telework Essentials Toolkit
」です。
CISAは、米国において省庁のネットワークを守り、重要インフラのサイバーセキュリティを推進する組織で、全米のサイバーセキュリティ向上を牽引している組織です。日本のNISCとIPAを一緒にしたような組織をイメージしていただけると、わかりやすいかもしれません。
さて、このガイドラインではCOVID-19に触れながら、一時的ではない長期的、戦略的なテレワークのセキュリティ対策を求めています。日本の総務省のものと同様、経営者、IT担当者、利用者の観点で実施すべきことが3ページで簡潔にまとめられています。以下にそのポイントをご紹介します。
経営者が講じるべき役割は、ITセキュリティに関する方針(テレワークに対する方針も含む)を作り、リスクを管理し、セキュリティ対策の有効性を確かなものにすることです。日本の総務省のガイドラインにも同様のことが書かれていますので、万国共通のものと言えますね。
IT担当者が講じるべき具体的な対策内容が書かれています。以下のように、脆弱性スキャン、ゼロトラスト、DNSセキュリティなど、新しいテクノロジーを用いたセキュリティ対策も盛り込まれています。
IT資産管理ツールを利用していても、OSのセキュリティパッチ、その上で動く無数のソフトウェアに紐づく脆弱性の把握と管理は人手では実現困難です。脆弱性管理はツールを導入して自動化し、極力人手を排除したいものです。
既存のセキュリティモデルを検証し、十分なセキュリティが担保されていないのであれば、ゼロトラストアーキテクチャの導入が好ましいとあります。確かに、クラウドに情報資産が分散し、社外ネットワークから情報資産にアクセスするという、社内外を隔てる境界が消失した環境においては、境界型セキュリティモデルでは厳しいですね。一足飛びにゼロトラストアーキテクチャに移行するのは難しいですが、将来の導入に向けたロードマップは作っておきたいところです。ゼロトラストについては、「ゼロトラストとは?ゼロトラストの意味と実現イメージ 」もご覧ください。
利用するネットワークのリスクに応じて安全な接続方法を強制するほか、許可するアプリケーションやデータを制限するといった対策を推奨しています。
被害に遭いデータを戻すにも、古いデータしか戻せないのは業務に支障が出るため、「高頻度」なバックアップが必要です。また、バックアップからデータが戻せない、などということを防ぐため、正しくバックアップができていることをテストし確かめることも必要です。
DMARC (Domain-based Message Authentication, Reporting, and Conformance)とは、なりすましメールや内容改ざんを防ぐためのメール送信元のドメイン認証技術です。これにより、なりすましメール自体の配信を防ぐといったことが可能です。
また、DNSセキュリティを利用すれば、悪意のあるドメインやハイリスクのドメインへのアクセスを防止でき、利用者による不正リンクのクリックやC2サーバへの通信を防止でき、マルウェア感染リスクや個人情報漏洩リスクを減らすことが期待できます。日本でも、フィッシングやビジネスメール詐欺対策の対策が求められていますが、従業員の意識向上だけではなく、このような技術的な対策も必要ですね。
ここでは従業員の守るべき基本的なルールが書かれています。パスワードに関する注意点、組織のセキュリティポリシーを守ること、メール添付ファイルを安易にクリックしてしまわないこと、報告をきちんとすること、といった意識向上面を中心に書かれていますが、これも経営者同様、不変のものと言えますね。
今回は、米国のテレワークセキュリティガイドラインをご紹介しました。テレワークを一時的なものと捉えず、脆弱性スキャン、ゼロトラスト、DNSセキュリティといった新しいテクノロジーを用いた、継続的な策が盛り込まれているようです。今後のテレワークセキュリティの方向性について、参考のちょい足しにしていただけると幸いです。
長谷川 まり
|
|
従来のパッケージ版に加え、クラウド版もリリースしたiDoperation。高い可用性が求められるサーバーの特権ID管理もSaaSで利用できるようになったことで、今後ますます需要が増えそうです。
サイバー攻撃では多くの場合、Active Directoryが狙われています。企業の中核システムとして止められない。多機能で運用も複雑。そんなActive Directoryを守るには、どうしたらよいのでしょう。
業務でメールを利用する際のセキュリティ対策としてのパスワード別送「PPAP」。今回は、改めてPPAPとは何かのおさらいとリスク、代替手段についてご紹介します。
