テレワークと情報資産
皆さん、こんにちは。
クラウドソリューション部の井口です。
普段は、機能検証、新製品・技術検証、技術情報収集、提案業務など、ITインフラに関する情報を収集し、検証、導入を行っています。もちろんお客さまとのやり取りの中から、社会情勢に沿ったニーズや課題に対して、アプローチするなどしています。
新型コロナウイルス感染症によって、多くの企業は、業務体制について急速な変化を求められていることでしょう。この2、3か月のわずかな期間でテレワーク、在宅勤務といった会社以外での業務を社員に指示し、体制を整備しなければならなくなった企業は多くあるはず。
中には準備が間に合わず、社員を自宅待機させている企業や、無償のテレビ会議システムを使ってなんとかやりくりしています、という企業からの相談も増えました。
そのような企業に対して、これからの記事の内容が、少しでも助けになればと考えています。
ということで、今日は企業が情報資産を守るためのアクションについて、皆さんにシェアしていこうと思います。
差し迫る課題となったテレワークと企業の情報管理
まず、テレワークにあたって、システムの整備とともに、絶対に守らなければいけないものについて再確認しておきましょう。最も守らなければならないもの、それはさまざま意見があると思いますが、その中でも企業の情報資産はかなり上位であると考えます。
また、紙で管理しているという企業もあると思いますが、この事態を機にIT化を検討するという企業も増えていますね。
実際のところ、ITを導入している企業では、情報資産はどこに保存されているのでしょうか?オンプレミスのサーバーやクラウドサービスなどに分散されていませんか?
今までであれば社内ネットワークからの接続や、営業職などが社外からアクセスすることのみを想定し、その部分を制御していればよかったはず。しかし、テレワーク化がすすめば、社外からのアクセスが定常化することが想定されます。
そのような状況で、情報資産をきちんと守っていく仕組みの整備は急務、といえるのです…!
企業情報を守る為のファーストステップ
では、情報資産を守るためにはどうすればいいのでしょうか。さまざまなアプローチがあると思いますが、私がまず取り組んでほしいのは、アクセスに対する認証と認可の整備です。
少し話を戻しましょう。
テレワークで使用するネットワークがどういうものか、想像してみてください。家庭のWifiや公衆無線LAN、携帯のテザリングなどを想像すると思います。実は、それらのいくつかは安全なネットワークではありません。例えば、フリーの公衆無線LANなどは通信が暗号化されていないものもあり盗聴の恐れがあります。また、家庭のWifiでも使用している無線LANルーターのBIOSがアップデートされておらず、悪さをする人間によって脆弱性を突かれる可能性も考えられるのです。
このように、社内ネットワークと比べ、残念ながら社外のネットワークは決して安全とは言い難いのです。
そこで最近言われている仕組みが、“ゼロトラストネットワーク”です。
この言葉を聞いたことがある方は多くいるのではないでしょうか。簡単に言うと、ネットワークからのアクセスはゼロトラスト(信頼性のない状態)であるから、「認証」「認可」をしなければ、「アクセスさせない」という考えです。
テレワーク化がすすむと同時に、この考えも一般化していくと想定しており、ゼロトラストを前提とした整備をしていかなければならなくなるでしょう。
ゼロトラストへの最初のアプローチとして、多くのネットワークからのアクセスに対する認証と認可の整備、つまり、「IDと権限及び認可条件を整理すること」を推奨します。
ちなみに、当社ではその手法についてさまざまなアプローチを提供していますよ。
ゼロから始める企業もあれば、すでに「Active Directory」や「Microsoft 365」、「G Suite」、クラウドサービスなど、認証を必要とするシステムを運用している企業もあると思います。それらを整理し、ユーザーである社員が利用しやすく、且つ、IT管理者が運用しやすい最適なIT環境へ移行する手助けを当社では行うことが可能なんです!
次回以降、具体的なアプローチ方法や製品情報などを紹介していこうと思います。
日本企業と情報セキュリティの危機感
最後に一つ、あまり聞きたくないであろう事実も書いておこうと思います。
日本は経済大国との認識が諸外国には根強く残っています。それはある意味事実であり、そうでないともいえるかもしれませんが...
この文章をここまで読んでくださっている企業の方は、自分たちの持つ情報資産の価値が世界的な基準でどれだけ高価値であるかということを認識されていることでしょう。
現在、日本の多くの企業は、その情報資産を狙うものたちのターゲットとなっています。標的型攻撃という言葉が世に知られたころであれば、ターゲットは大企業がメインでしたが、現在のターゲットは主に中小企業なのです。
そして、コロナ禍の混乱に乗じて甘くなったセキュリティをついた攻撃がすでに確認されてる、との報告も。つまり、悪者はすでにあなたの会社をターゲットとしている可能性が否定できない状況であり、その対策は急務であるでしょう。
次回、「技術コラムシリーズの記事」へ続く!
この記事の関連ソリューション情報はこちら!
- Windows Server 2008のMicrosoft Azure移行支援ソリューション
- Microsoft 365導入支援ソリューション
- その他いろいろ!当社HPトップ
- まずは相談する方はこちら
気になるアイエスエフネットの採用情報はこちら!
(閲覧できない場合、当社のHPからお進みください)