この一年は我々にとって、リモートワークやZoom 疲れに満ちた、長い試練の年でした。しかしワクチン接種の進捗を見ると、新型コロナウイルスをめぐる状況は好転を示しており、一部の従業員が「オフィスに戻る」ことが始まるかもしれません。
誰もがこの 1 年間待ち望んでいた「普通の生活」をもうすぐ取り戻せるかもしれません。これ自体は当然喜ぶべきことです。しかしそのためには、慎重な準備、そして先を見据えた考え方が必要です。これは新型コロナウイルスのためだけではなく、オフィスにおけるサイバーセキュリティの観点からも必要となります。
昨年は、世界中のビジネスが突如として予期せぬ決断を迫られ、ほとんどのワークフォースがリモートに切り替えられました。在宅勤務は長い間多くの企業が注目してきた 1 つの働き方でしたが、全社的な今回のリモートワークへの短期間での移行は、誰も予測ができなかったことではないでしょうか。ほとんどの会社が、パンデミックによるオフィスの大規模閉鎖を想定した事業継続計画を持ち合わせておらず、この状況に対して、多くの組織は新しい IT とセキュリティのインフラストラクチャに即席で対応しなければなりませんでした。
たとえば、全従業員がテレワークをするために充分な VPN 環境があるか、自宅の Wi-Fi で、業務用のマシンにソフトウェアのアップデートが適用できるか、そもそも個々の従業員が家に持ち帰ることのできるノート PC が用意されているか、といった問題は、以前は検討されることすらありませんでしたが、急激に必須の検討事項となりました。
多くの企業はテレワーク環境のための IT 戦略をポイントソリューションをつなぎ合わせて構築したのですが、当然のことながら、ゼロトラストネットワークやセキュアアクセスサービスエッジなどの理想的な手法をとってセキュリティリスクを最小限に抑えることができた企業はほとんどありませんでした。
オフィスに戻ることになり、これまで管理ツールの手が届かなかったデバイスを再び統合する際に、セキュリティを犠牲にすることなく「通常の業務に戻る」ために IT 部門が取り入れることのできるいくつかの方法をご紹介します。これは、遅れているセキュリティ対策を逆手に取って、セキュリティ強化する最大の機会にする方法とも言えます。
<h2隔離されたローカルエリアネットワークで従業員のデバイスをアップデート & クリーニングする
リモートで働いていた従業員の業務用デバイスに対し、定例の (あるいは強制の) アップデートをインストールできなかった企業も数多くありました。結果として、非常に多くのノート PC や他のデバイスが、数週間、あるいは数か月セキュリティパッチが適用されず、アップデートされていないまま、企業の Wi-Fi ネットワークに再接続される可能性があります。隔離生活を解くためには、皮肉にも別の隔離を行うことが重要です。
従業員の多くは、業務用のデバイスを子供や家族と、たとえば遠隔授業などのために、この 1 年間共用していた可能性も高いでしょう。しかし 1 台デバイスあたりのユーザーの数が増えるほど、閲覧したサイトやダウンロードしたプログラムも多くなり、脆弱性の影響を受けている可能性も高くなります。最新のアプリアップデートや OS パッチについて万全の注意を払っている従業員は少なく、必然的にデバイスごとにそれぞれ異なったセキュリティリスクがある状態で会社のネットワークに接続される恐れがあります。
他のネットワークセグメントから隔離されており、デバイスを安全にアップデートできる特定のローカルエリアネットワーク (LAN) を作成してすることで、デバイスが大規模の社内ネットワークに接続した際に、他のデバイスと同じように保護されている状態が確保されます。これは業務用コンピュータにワクチンを接種するようなものです。
従業員が使用したソフトウェアの監査
この 1 年で、会社員は多くのことを求められました。たとえば、慣れ親しんだオフィスのリソースを使用できずに在宅勤務をし、同時に育児や遠隔授業の世話などをすべて自分でこなす必要があったこと。また、緊急事態下で、仕事をしやすくするためのソフトウェアやツールのインストールなど、できる限りのこともしなければなりませんでした。Slack、Google Docs、Facebook Messenger、Dropbox、WhatsApp などのアプリケーションもそこには含まれます。
その工夫は評価するべきですが、IT 部門の承認を得ていないアプリケーションをインストールした業務デバイスが社内ネットワークに再度アクセスする場合にはセキュリティリスクをもたらす可能性があります。
従業員がオフィスに戻ってきた際には、企業は IT 監査プログラムを展開し、どのようなツールを使用、あるいはダウンロードしたかを確認する必要があります。これは企業デバイスの機密データをどこで保護、管理すべきかについて IT 部門の可視性を向上させるだけでなく、リモートワーク戦略の弱点を特定する有益な機会にもなります。
個人向けクラウドサービスやリムーバブルメディアの使用をやめる
リモートワークのためにこの 1 年間会社の VPN にアクセスできなかった従業員は、業務用ファイルを共有するために個人のクラウドや USB ストレージなどのリムーバブルメディアを利用した可能性もあります。しかしこれらのデバイスを企業ネットワークに再び接続する場合は、これらの使用は早急にやめるべきです。個人のクラウドサービスやリムーバブルメディアストレージで共有されたファイルは暗号化が難しいので IT 全体を可視化する場合に適しておらず、紛失する可能性も高いためです。
企業は再統合の一環として、公式に認可しているツールやクラウドサービス (企業のクラウドログインや、企業がアカウントを持っているサービスなど) について、従業員の意識を高める努力をすべきです。IT 部門は、データやファイルを個人所有のストレージから企業所有のストレージに移行する際に、サービスごとに適切なアクセス権限を持っているかどうかを確認する必要があります。
1 年間のリモートワークを終えてオフィスに戻るとあっては、多少の混乱は発生するかもしれませんが (昨年 3 月にリモートに移行したときもそうでした) 従業員のデバイスを企業ネットワークに戻すプロセスを、最終的に利益に変換することも可能です。企業や IT チームのリーダーにとってこれは、従業員のデバイスのセキュリティを強化して時代に適合させるだけでなく、リモートワーク戦略に大きな変更を加え、より高いレベルのセキュリティとアクセスを可能にする新しいポリシーを展開する絶好の機会となります。
「普通に戻る」ということは、「今まで通り」という意味ではありません。これは、組織がさらに前進するための絶好の機会なのです。