世界的なコロナウイルスのパンデミックは、多くの経済的なインパクトを及ぼしています。そしてそれを防ぐべく、各国は堅牢な検疫体制の強化を進めています。日本の緊急事態宣言による、外出自粛・テレワーク対応要請も顕著な例の一つです。これらの政策は、リモートアクセス時の認証情報や脆弱な個人用デバイス、はたまた保護されていないエンドポイントまで、標的型のサイバー攻撃急増を引き起こしています。そしてこのような混沌とした状況は、セキュリティ責任者やCISOの肩に重い責任を負わせています。
この記事の最後のテンプレートでは、組織のサイバー防御がこの困難な時代をうまく乗り切るためにチェックすべき基本的なプラクティスを簡潔、明確、かつ実行可能な形でまとめています。
テレワーク時のセキュリティ必須事項は主に7項目
尚、このテンプレートは、テレワーク時に必要なセキュリティ対策における7つの柱で構成されています。
- セキュリティ技術関連:インストールして設定すべき製品カテゴリの推奨リスト。これらのカテゴリを選択する際のガイドラインは、複数の攻撃分析ソースから収集したコロナウイルスに関連するインシデント・攻撃脅威の状況を集約した分析に基づいています。
- セキュリティチームの体制:規模や献身的なレベルに関わらず、すべてのチームは、継続的なセキュリティ運用を日常的に処理するための一連の手続きを持っています。これらの手順は、少なくとも今回のコロナウィルス対応・テレワーク対応のために更新されなければならず、また多くの面で特定の IT やサイバー攻撃の変化に対応するために更新されなければなりません。
- 労働環境:CISOやセキュリティ責任者は、人間は機械よりもはるかに弱いことをよく知っています。コロナウイルスがもたらすテレワークなどの労働環境の不確実性は、人々をあらゆる種類のソーシャルエンジニアリング操作に対して著しく脆弱にします。意識の向上、教育、セキュリティ・ドリルは、このような膨大に増加する攻撃に対する従業員の武装に不可欠です。
- 3rdパーティサービスプロバイダ:企業がすべてのセキュリティタスクを社内で実行しているかどうかに関わらず、スキルに依存したミッションの一部をドメインエキスパートのMSSP(マネージドセキュリティサービスプロバイダ)にアウトソーシングすることを検討する時期に来ていることは間違いありません。
- セキュリティ管理の可視性:組織の幹部は、セキュリティ担当者・CISOの取り組みだけでなく、実際のセキュリティ態勢についても完全な可視性を持っていなければならない。すべてのセキュリティ責任者は、これらのレポートを簡単に作成できるインフラを持っていなければならないはずです。
- ID管理と認証:従業員が必要かつ最低限なアクセス権限になっている事をしっかりと制御する必要があります。社内ネットワーク以外からテレワーク時はアクセスが発生する以上、社員のパスワードが簡易なために不正ログイン・不正アクセスをされないよう、より強固な認証の手配が必要です。また入退社に伴うID管理も、消し忘れなどないようなるべく自動化していくことが求められています。
- 物理環境のセキュリティ向上:テレワーク時には、通常時の社内環境のみながらず、自宅やカフェなど様々な環境からのアクセスが想定されます。そのような物理的な製薬を踏まえた上で、どのような点に気をつけるべきかをまとめました。
セキュリティ確認事項・チェックリストはなぜ公開されたのか
この文書を公開する自分の目標は、個々の企業のニーズに合わせて簡単に調整できる使いやすいテンプレートで、セキュリティ責任者及びCISOのセキュリティ強化プロセスを簡素化し、最適化することです。
エンドポイント、ネットワーク、ユーザーの保護を、プロアクティブな監視と制御、攻撃の防止と検出、および応答のオーケストレーションといったセキュリティライフサイクル全体にわたって統合し、自動化していく事が、昨今のコロナウィルスへの対策としてテレワークを開始するためのセキュリティ強化に必須となってきています。
このテンプレートをベースに様々な企業のセキュリティチームや責任者が、よりシンプルかつスピーディにテレワーク環境への対処を実現し、効率的に業務を進められる環境を構築できれば本望です。労働環境の変化に対応するためのセキュリティ項目や対応事項については、他の記事でも詳しく解説しているので、是非御覧ください。
テレワーク対応のためにセキュリティ担当者が対応すべきチェックリスト
| セキュリティー技術関連 | リモートアクセスのための多要素認証を追加 |
| 管理されていないデバイス(可能であればBYOD含む)のマルウェア対策 | |
| 管理されていないデバイスにインストールされているソフトウェアポリシー | |
| 電子メールの保護 | |
| ログインポリシーの再評価+オプションの条件付きアクセスポリシー(時間、地理的位置、同時セッションなどに基づく)の再評価 | |
| クラウドサーバーのアクティビティを監視(IaaS + PaaS) | |
| DDoS攻撃に対する対策 | |
| IPアドレスなどアクセス状況の評価を行えるサービス | |
| リモートアクセスに関するポリシーを細かく設定し、機密リソースへのアクセスを制限 | |
| 管理されていないデバイスとサービスを考慮したDLPポリシーの更新(これらのポリシーがオンプレミスとクラウドのワークロードの両方に適用されていることを確認する) | |
| セキュリティチームの体制 | 機密性の高いリソースへのリモートアクセスのための厳格な監視手順を設定 |
| クラウドサーバーに接続するための厳格な監視手順の設定 | |
| 明確に定義されたインシデント・レスポンス手順があることを確認する | |
| 公開されているサービスを中心とした継続的な脆弱性管理プロセスの設定 | |
| 緊急パッチ適用の手順を設定 | |
| 労働環境 | スピアフィッシング、クレデンシャル情報の盗難、強力な認証に焦点を当てた専用のセキュリティ意識向上プログラムを構築・立ち上げ |
| 安全なコミュニケーションチャネルを定義し、それが専用のコミュニケーション方法であることを全従業員が認めるようにします(例:Eメール・チャットサービス | |
| 従業員間の相互検証に関する検証プロセスを明確化 | |
ソーシャルエンジニアリングされる事を想定した、定期的なセキュリティドリルを開設する
|
|
| 3rdパーティサービスプロバイダ | 上記のいずれかがリソースのキャパシティを超えている場合は、MSSP(マネージドセキュリティサービスプロバイダ)との連携を検討
|
| セキュリティ管理の可視性 | 定期的にオンデマンドでレポートを作成する:
|
|
ID管理と認証 |
可能なときにテレワーク環境でもでセキュアに業務システムにアクセスできるように、多要素認証などの強力な認証方法を使用する。 |
|
組織のメンバーによるID付与の承認と行使の方法を検討する。またIDの追加・削除・権限付与はなるべくプロビジョニングを活用して自動化する。 |
|
|
2段階認証など、強力な認証技術を実装する。 |
|
|
アクセス制御の成否に関わらず、システムへのアクセスログを全て記録する。 |
|
| 物理環境 | 離席前に機密情報が露出されていないか確認する。 |
| サーバーを管理する執務室は鍵の管理などを含め堅牢にする。 | |
| 防犯カメラをなるべく利用し、インシデント時の証拠として利用できるようにしておく。 |
