ITセキュリティ女子のブログ

  • ID管理
  • 認証
2021.12.03

リモートアクセスで対応できる業務を増やしたい!(前編) 3つのセキュリティ課題と解決方法

リモートアクセスで対応できる業務を増やしたい!(前編) 3つのセキュリティ課題と解決方法

皆さんこんにちは。長谷川まりです。

2020年以降世界的なコロナ禍が続き、テレワーク導入も広がってきました。ただそれでも、「セキュリティ上の課題があるから、リモートでアクセスできない」と、出社せざるを得ない業務があるのではないでしょうか。
今回は、その課題を見直しながら、アシストでご提案できるソリューションをご紹介します。

リモートワークの課題

長引くコロナ禍で、従業員のリモートワークの範囲を拡大した企業も多いかと思います。アシストでもオフィスの所在地域の感染者状況によって、シフト制またはフルリモートワークでの業務になりました。しかしもちろん、様々な事情でリモートワーク化ができないお客様もいらっしゃいます。よく伺うのが、サーバで重要なデータ、例えばマイナンバーや個人情報、クレジットカード情報などの機密情報を扱う業務があり、リモート作業では安全性が担保できないため、という事情があります。

その場合、下記の図のように、事前申請によって許可された担当者が、物理的な幾つもの対策が施されたセキュリティルームに入室し、情報の持ち出し制御や、行動が監視された環境で作業をすることが多いかと思います。


従来の重要データ関連作業のイメージ


では、これはリモート作業だと本当に安全性が担保できないのか、改めて考えてみましょう!出社時と同等のセキュリティレベルを担保しようとすると、以下の課題があると思います。



これらがクリアできれば、一部の従業員のみが出社せざるを得ない状況が解消できるほか、いつでもどこからでもサーバ作業が行える、便利で効率的な運用が可能になります。
その方法について1つずつ見ていきたいと思います。

1.サーバへのリモートアクセスが作業者本人であることの証明が難しい

リモートでの作業は、不正アクセスのリスクが高まります。物理的環境で実現できていたセキュリティ対策、例えばセキュリティルームでの本人確認や専用端末に限定したアクセス制御が難しくなるからです。サーバへログインするためにはID、パスワードが本人確認の手段となりますが、これがひとたび漏洩してしまうと、本人に成り代わった第三者がネットワークに侵入できてしまうためです。ここで実現したいのは、サーバへの「認証強化」です。具体的な方法としては、ID、パスワードに加えて別要素の認証を用いた多要素認証を実現し、確実に作業者本人だけがサーバにアクセスできる状態とすることです。多要素認証は、自社でID認証のシステム基盤を構築するか、または外部のサービスを利用することで実現できます。

アシストでは、「Okta 」というソリューションを提案しています。Oktaは、IDaaSのグローバルスタンダート製品です。クラウドサービスやオンプレミスアプリへの認証を集約し、どんなデバイスからでも安全にシステムを利用できる環境を提供します。ID、パスワードによる認証だけでなく、標準機能で多要素認証のアドオンも可能です。また、Okta上のユーザー情報を基に、クラウドのアプリケーションのアカウント管理(ID管理)を行うことも可能です。


IDaaSイメージ

2.作業者のリモートワーク端末への情報持ち出しをどう防ぐか難しい

リモートワーク環境では、自宅などに持ち帰った個人端末からサーバへリモートアクセスを行いますが、このときサーバ上のファイルを個人端末にダウンロードしたり、画面ショットを取得したりすることで、簡単に機密情報を外部に持ち出すことができてしまうリスクがあります。これを防止するために、エージェント型の資産管理ツール等がありますが、そもそも機密情報は容易に個人端末に持ち出しできてはいけませんね。そこで実現したいのは、システム的に情報の持ち出しを制御することです。具体的な方法の1つが、画面転送技術を用いて、重要サーバに対するブラウザベースでの仮想アクセスを利用する」ことです。以下の図のように、画面転送の設定時に、コピーアンドペーストや画面キャプチャの禁止を簡単に行うことができます。

アシストでは、「Ericom 」という製品をご提案しています。Ericomは、どこでも、どんなデバイスからでもVDIやアプリケーションへのセキュアなアクセスを可能にするクライアント仮想化製品です。グリッド・テクノロジーによる驚異的な処理性能と、無限のスケーラビリティを特長とし、HTML5技術により完全なクライアント・レスでのアクセスを可能とします。


Ericomイメージ

3.サーバ上で行われる作業の内容をどうチェックしたらよいか難しい

リモートからサーバへのアクセスが可能となると、利用者にとっては利便性が向上しますが、管理者にとってはいつ、誰が、何のためにサーバ利用を行ったのか、正確に管理することが難しくなります。また、実績や安全性の証明としての「誰が、どんな作業を行ったか」の確認も難しくなります。そこで、作業時の申請・承認をシステム的にワークフロー化して、サーバでの操作内容を全て記録すれば、これらの課題が解決できます。サーバへのアクセスに用いるIDのパスワードをシステムで定期変更し、作業者へのID貸し出しも、ワークフローの承認に基づいたサーバへのパスワード秘匿ログインとすれば、作業者は必ずワークフローに則って、パスワードを知らない状態のまま、サーバ利用がスムーズにできるようになります。

アシストでは、「iDoperation 」という製品をご提案しています。iDoperationは、国産の特権ID管理製品です。特権ID管理に必要なID管理、ワークフロー、アクセス制御、アクセスログ管理、操作ログ管理を備えたオールインワンのパッケージです。オンプレミスだけでなく、クラウド環境(AWS, AzureAD, Salesforce)や仮想基盤
(vCenter、Hyper-V)における特権ID管理機能を提供し、エージェントを導入した環境上のすべての操作を動画として記録します。


iDoperationイメージ

まりから一言

以上のように、重要データを扱う場合でもシステム的に課題を解決することで、セキュアなリモートワークが実現できます。アシストでは、これらの課題解決をまとめて「セキュア・ワークスペース・ソリューション」と呼称し、ご提案しています。一部のみのご提案ももちろん可能ですので、リモート業務のセキュリティに課題をお持ちの場合は、ぜひアシストにお声がけください。次の記事では、このセキュリティ・ワークスペース・ソリューションを用いたときに、サーバ作業者が実際にどのようなオペレーションとなるのか、手順のイメージをご紹介します。

セキュア・ワークスペース・ソリューションによるセキュアアクセスのイメージ

セキュア・ワークスペース・ソリューションによるセキュアアクセスのイメージ

課題 解決方法 解決製品
セキュア・ワークスペース・ソリューション サーバへのリモートアクセスが作業者本人であることの証明が難しい (ID認証基盤)
サーバへのリモートアクセスは作業者本人となるように認証を強化
Okta
作業者のリモートワーク端末への情報持ち出しをどう防ぐか難しい (リモートアクセス基盤)
作業者のサーバ操作は転送された画面とすることで、情報の持ち出しを制御
Ericom
サーバ上で行われる作業の内容をどうチェックしたらよいか難しい (特権ID基盤)
申請・承認を必須とすることで作業内容を把握でき、取得した証跡にて容易に事後確認も可能
iDoperation

長谷川 まり

株式会社アシストに入社以来十数年、セキュリティ対策製品担当として活動中。

売れない小説家だった祖父の影響で、文章を書くことが好き。
「役に立つ人間になる」をモットーに、日々真面目で丁寧な仕事を心がけている。

関連している記事

  • ID管理
  • 認証
2021.12.08

リモートアクセスで対応できる業務を増やしたい! (後編)セキュリティ強化後の利用イメージ

「リモートアクセスで対応できる業務を増やしたい!前編」でご紹介したリモートでサーバにアクセスする方法の、サーバ作業者のオペレーションについて、実際の手順イメージをご紹介します。

  • 認証
2021.11.19

SalesforceによるMFA(多要素認証)必須化は、認証の世界に何をもたらすのか

2022年2月より、Salesforceへのアクセスに必須となったMFA(多要素認証)。なぜ今「MFA」なのか?今後、認証の世界に何らかの変化があるのか?ということについて考察します。

  • ID管理
  • 認証
2021.10.13

特権ID管理ツール「こういうのでいいんだよ」シェアNo.1の人気の理由

安全性や効率性、監査対応の面から多くの企業で導入が進んでいる特権ID管理ツール。市場に多くの特権ID管理ツールがある中、「iDoperation」がなぜシェアNo.1なのか、3つの理由をご紹介します。

プロフィール


長谷川まり
セキュリティ製品を担当。お客様からの信頼も厚い、お姉さん的存在。

ページの先頭へ戻る