テレワークセキュリティとは?

テレワークセキュリティとは、企業が管理するタイプのアプリケーションをはじめ、パーソナルアプリケーション、娯楽用のアプリケーション、およびWebアプリケーションへのアクセスを保護することです。テレワーカーが使うアプリケーションを保護するには、シャドーITの特定、URLやWebカテゴリのフィルタリングを通じたリスクの軽減、マルウェア対策の実施、データ損失防止(DLP)の設定などの手法が必要となります。

別の言い方をすると、テレワークセキュリティとは、従業員によるリモートアクセスがより頻繁に行われるコンテキストにおいて、機密性の高いアプリケーションを保護すると同時に、アプリケーションのパフォーマンスを許容可能なレベルに維持することです。テレワーカーは、即座にアクセスできることおよび高速なパフォーマンスを期待していますが、この2つを両立させるには、信頼できないリモートアクセスなど、多くの脅威を食い止める必要があります。

その他のセキュアテレワークに関するトピックとしては、次のものがあります。

従来のテレワークセキュリティは、仮想プライベートネットワーク(VPN)やネットワーク境界を中心に実施されてきましたが、在宅勤務を行う従業員の数が長期的に増加している現在、より高度なサイバーセキュリティの実践とそれをサポートするツールが必要になっています。

今日、テレワーカーのセキュリティに関しては、次のような3つの大きな柱があります。

  1. テレワーク環境において、コラボレーションソフトウェアや生産性スイートなどのあらゆるSaaSアプリケーションに対して、それらの利用目的が業務関係であるか個人的なものであるかを問わず、セキュアアクセスが行えること。
  2. 個人的な電子メールやクラウドストレージアカウントなどの一般的なWebアクセスに加え、テレワークセッション中にYouTube、ディスカッションフォーラム、スポーツサイトなどにアクセスすることから生じる脅威やリスクに対する防御を行うこと。
  3. オンプレミスやクラウド(AWS、Microsoft Azure、Google Cloud Platformなど)上でホスティングされている企業ソフトウェアのアプリケーション管理を行うこと。たとえば、セキュアアクセスサービスエッジ(SASE)内におけるゼロトラストネットワークアクセス(ZTNA)を通じて管理を実施すること。

モダンなテレワークセキュリティに求められるもの

テレワーカーは2005年頃から急速に拡大し始め、FlexJobsによれば、2019年には159%増加したと言われています。新型コロナウイルスの大流行により、テレワーカーの増加はさらに加速しており、それに伴って、関連するセキュリティリスクに対する、よりスケーラブルで柔軟性のある信頼できる防御策が必要となっています。

ユビキタスなテレワークでは、従来のネットワーク境界を利用したサイバーセキュリティモデル(最初のリモートアクセスがVPNを通じて許可され、それ以降の企業WAN内でのアクティビティは安全であると見なされるもの)はもはや通用しません。より具体的に言えば、テレワーカーは、事実上あらゆる場所から、そして多くの場合、複数のデバイスを通じて、データやアプリケーションにアクセスする必要があります。

しかし、テレワークセキュリティに対する境界ベースのアプローチでは、そのような大量かつさまざまな種類のリモートアクセスリクエストを保護できません。

  • 今や、ワーカーは、オンプレミスアプリケーションに加えて、パブリッククラウドのSaaSアプリケーションにもアクセスする必要があります。これらのアプリケーションは、境界ベースのセキュリティやMPLSタイプのWANに大きな負担をかけます。従来型のWAN経由でVPNユーザーに送られるSaaSトラフィックは、最初にデータセンター経由でバックホールされる必要があります。このプロセスは、パフォーマンスを低下させるため、テレワーカーがVPNを完全にオフにしてしまうことにもつながります。しかし、クラウドへのダイレクトアクセスを有効にすると、ユーザーを膨大な数のサイバーセキュリティ脅威にさらすことになります。
  • テレワーカーが企業支給のハードウェアではなく個人のデバイスを使用しているために、エンドポイント管理が複雑になっています。企業ネットワークは、複数のリモートセキュリティ対策が適用されるまで、いかなるリモートアクセス要求も正当なものであるとは仮定できません。なぜなら、そのような要求は、任意の数の非マネージドデバイスから発信された可能性があるためです。さらに、VPN内のユーザーはネットワーク内のラテラルムーブメントを行う権限を持つため、これがマルウェアを拡散させる原因となっています。従来型のアクセスモデルに代わって、コンテキスト認識型で「時代に合った」、必要最低限の機能を備えたアクセスモデルが必要とされています。
  • VPNは、スケーリングを行うために設計されていません。テレワークの増加に伴い、VPNを利用するユーザーが増えているため、企業や組織は、データセンター内において、かつてないほど多くのセキュリティハードウェアを必要としています。このようなハードウェアベースのアーキテクチャをスケーリングすることは、時間とコストのかかる複雑なプロセスとなります。クラウドベースのアプリケーションや大規模Webサイトに流れる、暗号化された広帯域アプリケーショントラフィックの増加は、この問題をさらに悪化させます。

3つ目のVPNに関する問題は、モダンなテレワークセキュリティを実現する上での全体的な課題を浮き彫りにするものです。すなわち、アプリケーションとデータの完全な保護と、許容可能なパフォーマンス、および企業WANを経由した正規エンドユーザー向けの合理化されたアクセスのバランスを取るにはどうすれば良いかという問題です。

マルウェアやインサイダー脅威などの危険性によるセキュリティリスクが高まる中、リモートセキュリティソリューションは次のことを可能にしなければなりません。

  • VPNの過度に寛容で「安全を前提とした」構造を克服すること。
  • ハブ&スポーク型のWANをSASEで置き換えること。このSASEは、最初にバックホールを必要とすることなくクラウド向けのアプリケーショントラフィックを保護および誘導できるような、SD-WANを組み込んだものとなります。
  • セキュアウェブゲートウェイ(SWG)やクラウドアクセスセキュリティブローカー(CASB)などのSASEメカニズムを利用して、IT部門が直接管理していないSaaSやWebアクセスなどのソースがもたらす脅威を軽減すること。
  • ネットワークのセグメント化やトラフィック隔離などのZTNAの原則を導入することで、攻撃サーフェスを縮小し、あらゆるアプリケーションに関して、あらゆる場所で、あらゆるデバイスを通じてデータとユーザーを保護すること。ZTNAは、SASEの重要な構成要素の1つです。
  • このような方法で、SASEはSaaSやWebプロパティへのトラフィックを保護できるほか、MPLSスタイルのバックホールアーキテクチャが必要ないため、アプリケーションパフォーマンスとユーザーエクスペリエンスを維持できます。
  • 一般的なOS(Microsoft Windows、macOs、Chrome OS、Linux、iOS、Androidなど)を搭載したテレワーカー用のマネージドエンドポイントに対して、ソフトウェアエージェントを通じた保護を実現すること。
  • シングルサインオン(SSO)を改良することで、よりコンテキストに基づいたものにすると同時に、より広範なアプリケーションとの互換性を持つものにすること。

これらの方法により、テレワーカーが使用するアプリケーション間でほとんどチェックされることのないサイバーセキュリティリスクから、データやユーザーを保護できます。

テレワーカーにとって最大のセキュリティリスク

サイバーセキュリティリスクの奥深さと幅広さを考えると、VPNやバックホールアーキテクチャを超えて、テレワークセキュリティ対策を統合することが不可欠です。代表的な脅威としては次のものが挙げられます。

フィッシング

フィッシング攻撃とは、電子メールやチャットなどの一般的な通信手段を使ってログインクレデンシャルなどの機密データを引き出すための、単刀直入ではあるが効果的な方法です。テレワークのコンテキストでは、企業ポリシーの変更を名目としたフィッシングメールが、特によくあるフィッシング詐欺の手口となっています。懸賞や確定申告などの「急用」を装った詐欺も依然として一般的です。

たとえば、ある従業員が会社が「オフィスへの復帰」の一環として在宅勤務に関するポリシーを更新するという重要そうなメールを受け取ったとします。しかし、従業員がそれを開き、詳細ページにつながると称するリンクをクリックすると、その従業員のアカウントはハッキングされてしまいます。VPNを使用している場合、攻撃者は当該ネットワークにおけるラテラルムーブメントを実行することで、さらなる被害をもたらす可能性があります。継続的でかつコンテキストに応じたセキュリティリスク評価が必要です。

脆弱なパスワードセキュリティ

パスワードはサイバーセキュリティの基本であるにもかかわらず、その作成と全体的な管理は非常に多くの問題をもたらす原因となっています。従業員は、同じ脆弱なパスワードを複数のアカウントで使い回していることが多いため、たった1つのログインアカウントがハッキングされただけで、すべてのデータが流出してしまう可能性があります。

さらに悪いことに、個人用アカウントで使用しているパスワードを企業アカウントでも再利用しているユーザーも存在しています。2020年には、平均的なユーザーは個人用アカウントと企業アカウント全体において8個のパスワードを共有していました。これは、個人用の電子メールアカウントに影響を与えるような侵害は、職場におけるデータの安全性に大きな影響を与える可能性があるとことを意味します。SaaSやWebアプリケーションの利用範囲が非常に広いため、ユーザーによるパスワード漏洩対策が正しく行われていない場合、テレワークセキュリティにとって大きな脅威となります。

非マネージド型のパーソナルデバイスとリモートアクセス

従来の境界セキュリティの世界では、IT部門は、企業所有のPCのような信頼できるマネージドデバイスのセットにまで境界を拡張し、それらのデバイスからのVPNアクセスを可能にしていました。このパラダイムは、従業員が自分の携帯電話やラップトップのような非マネージド型のパーソナルデバイスを使用するテレワークの世界では崩壊します。

パーソナルデバイスにVPNクライアントをインストールしたユーザーは、企業アプリケーションにアクセスできるようになりますが、それには明確なセキュリティリスクが伴います。パーソナルデバイスに適切なパッチが当てられていない可能性もあれば、デバイス上で最新のソフトウェアが動作していない可能性もあります。このため、ネットワークにリモートアクセスすると、ネットワーク全体に新たな脆弱性をもたらす可能性があります。

クラウドやSaaSアプリケーションへの保護されていないダイレクトアクセス

VPNとハブアンドスポークWANの組み合わせは、パフォーマンスとユーザーエクスペリエンスに大きな影響を与えるため、テレワーカーは多くの場合、使い勝手は良いがセキュリティ的に問題のある代替手段を探そうとします。VPNが全体的に問題であるのと同様に、保護機能を全く使用しないこのアプローチは、はるかにリスクが高いものとなります。

テレワーカーは、機密データを漏洩させるようなマルウェアに感染するリスクを冒すことになります。それは、データ漏洩やランサムウェア攻撃のような形で、企業にとって大きな損失をもたらす可能性があります。

リモート環境におけるデータとアプリケーションの保護

テレワーカーが直面するデバイスやデータのセキュリティリスクを軽減するには、企業や組織は、クラウドやオンプレミスの企業アプリケーションを保護すると同時に、SaaSやWebへのアクセスを保護する必要があります。このような目的に最適なテレワーカーセキュリティソリューションは、遅延を減らしパフォーマンスを最大化するようなシングルパスアーキテクチャの内部において緊密に統合されています。

SASE

基本的なレベルでは、パフォーマンスを低下させることなく、 SASEはネットワークアクセスをよりセキュアなものにします。SASEは、SWG、CASB、サンドボックスなどのさまざまなセキュリティメカニズムを通じて、SaaSアプリケーション、社内で管理されているアプリケーション、仮想アプリケーション、Webプロパティなど、あらゆるタイプのアプリケーションにユーザーを接続します。SASEは、テレワーカーをあらゆる場所から、あらゆるデバイスを通じて、あらゆるアプリケーションに安全に接続します。各ブランチで大量のファイヤウォールを設定する必要はありません。

その一方で、SASEの一環として、ZTNAはデフォルトでは誰も信用せず、多要素認証(MFA)などのメカニズムを使用することで、すべてのユーザーIDを継続的に監視および検証します。ゼロトラストアプローチは、テレワークセキュリティにとって最適です。

  • ユーザーはMFAを通じて明示的に認証される必要があるほか、ユーザーの使用するデバイスは、パッチレベルなどの基準に基づいて継続的なリスクプロファイリングが実施されます。
  • テレワーカーは、VPNによる広範なアクセスとは異なり、自分の役割に必要となる最低限のリモートアクセスしか得られません。
  • トラフィックをマイクロセグメンテーションすることで、危険なリモートユーザーやパーソナルデバイスを封じ込め、ネットワーク上でのラテラルムーブメントを抑制できます。

Secure Internet Access

企業や組織は、テレワーカーからのアプリケーショントラフィックの急増に対応する必要があります。それを実現する最も簡単な方法とは、従来のハードウェア中心のアプローチを超えて、テレワークセキュリティを採用することです。Citrix Secure Internet Accessのようなソリューションは、包括的なテレワークセキュリティを、1つのスケーラブルなサービスを通じて提供します。

企業が許可したアプリケーション、SaaSアプリケーション、一般的なWebアプリケーションなどからのトラフィックが増えると、ハードウェアアプライアンスへの負荷が大きくなります。この結果、高額な費用をかけて定期的にアップグレードするか、もしくは暗号化トラフィックの検査によるパフォーマンスの低下に対処することが必要となります。これに代わるものとして、ソフトウェアを通じたインターネットアクセスの保護は優れた方法を提供します。これには次の機能が含まれています。

  • それらの間での膨大な脅威インテリジェンスのフィードにより、広範な種類を特定できます。オープンなAPIベースの設計を通じて、追加のフィードを簡単に統合できます。
  • シングルパスアーキテクチャは、トラフィックの復号化と検査を一度だけ行うため、複数の検査ポイントを持つサービスチェーン型のアーキテクチャに比べてはるかに優れたパフォーマンスを発揮できます。
  • DLP、マルウェア防御、SWGなどを含む包括的な保護機能により、今日のアプリケーショントラフィックに潜むさまざまな脅威をブロックできます。

アナリティクス

テレワーカーによりもたらされるリスク、あるいはテレワーカーに対してもたらされるリスクを評価する際には、トラフィックに関する可視性が不可欠です。これを行うために、アナリティクスソリューションは、ユーザー名、タイムスタンプ、送信元IPアドレスなどのデータポイントに関するディープな可視性を提供するほか、さらにAIを使用してリスクの高いユーザーや活動を特定できるようにします。 

MFAとSSO

MFAは、自動化されたサイバー攻撃をブロックするだけでなく、パスワードの窃取や再利用による被害を抑えるための最も確実な方法の1つです。シングルサインオン(SSO)は、ユーザーのログインエクスペリエンスを合理化し、IT部門のIDおよびアクセス管理を簡素化します。IDプロバイダーとの統合により、MFAとSSOのセットアップがより簡単になります。

テレワークセキュリティを実現するCitrixソリューション

シトリックスは、セキュリティチームが簡単に導入できるような、常に最新の包括的なテレワークセキュリティソリューションを提供しています。これには次のものが含まれます。

  • Citrix Secure Internet Accessは、あらゆる場所やデバイスからのテレワーカーのセキュリティを確保するためのクラウドベースのセキュリティサービスです。この製品は、ハードウェアセキュリティスタックを完全に置き換えるものであり、10以上の脅威インテリジェンスフィードを統合し、強固なマルウェア対策を実現します。
  • Citrix Secure Workspace Access は、MFAとSSOを提供することで、中小企業が従来のパスワード管理のリスクや煩雑さを必要とせずに、従業員によるリモートアクセスを実現できるようにします。また、これにより、攻撃サーフェスを最小化するために設計されたサイバーセキュリティのゼロトラストアプローチの一環として、クラウドやSaaSアプリケーションへのVPNレス型のアクセスも容易になります。これにより、企業や組織は、より安全でよりスケーラブルなテレワークをサポートできるようになります。
  • Citrix SD-WAN は、SASEにとって不可欠な要素です。これにより、アプリケーション向けに最適化されたネットワークを構築できます。このようなネットワークを通じて、テレワーク環境を維持するために不可欠となるパフォーマンスとセキュリティを提供できるようになります。
  • Citrix Analyticsは、セキュリティやパフォーマンスに関する問題を特定した上で、できるだけ迅速に解決するために必要となるインサイトを提供します。

Citrix Workspaceの詳細についてはこちらを、SASEの詳細についてはこちらをご覧ください。

関連資料

次のステップ