テレワークの浸透とモバイル端末の業務利用がより一般化したことで、端末のセキュリティ対策は喫緊の課題となりました。端末のセキュリティ対策の重要性と対策の方法、総務省のテレワークセキュリティガイドラインについて解説します。端末のセキュリティ強化に有効なクラウド型のパソコン「Chromebook」も併せて紹介します。
端末のセキュリティ対策の重要性
企業は社外からのサイバー攻撃やウイルス感染、社員が業務で使用する端末の盗難や紛失に備え、端末のセキュリティレベルを強化しなければなりません。IT管理者には大量のパソコンを効率的に管理し、ウイルス対策と同時に感染した場合の対策も求められます。一度ウイルスに感染すればデータの破損や動作の不具合、パスワードや個人情報の漏えいなど多大な損失は否めません。次々に出現する新種のウイルスに対応するため、アンチウイルスソリューションを管理サーバーで取得し、端末にその度に配布する必要もあります。
最近ではエンドポイントに関するセキュリティ対策の必要性が説かれることも多くなりました。エンドポイントとは「末端」という意味で、IT用語ではネットワークの終端となる機器を指します。すなわち、各種サーバーや社内ネットワークに接続したパソコン・プリンター、外部からインターネット接続で利用するスマホやiPad、スマートウォッチ、パソコンなどのことです。エンドポイントは社内データや情報ファイルへのアクセス・保存の度に、ウイルスの入口となりやすく、ユーザのリテラシーにも依存するためマルウェアや不正アクセス、サイバー攻撃のリスクが高いのです。
テレワークでさらに端末のセキュリティ対策が重要に
働き方改革や新型コロナウイルス感染症(COVID‑19)の影響で、場所や時間に拘束されないテレワークが普及しました。テレワークが定着すると、社内で使用している端末を持ち帰ることが多くなり、セキュリティリスクが高まります。
まず、タブレット端末やスマートフォン、ノートパソコンなどのモバイル機器を社外に持ち出すと物理的に盗難や紛失のおそれがあります。また、持ち出すことで、最新のセキュリティバッチが適用されないことやOSやアプリケーションのサポート終了後も使い続けているケースもあり、既知の脆弱性をつかれたり、ゲートウェイセキュリティ外のため、テレワーク中のマルウェア感染等も起こりやすい上に、対処も難しく、知らずに情報漏えいしていたという事態になりかねません。
個人の端末(BYOD)を利用している場合は、尚更セキュリティ対策が心配です。マルウェアに感染したBYOD端末からのアクセスは企業情報を勝手に保存され、外部の人に見られるといったケースも起こり得ます。また、マルウェアが仕込まれていたUSBメモリを使用することで感染したり、すでに感染している端末をネットワーク接続してしまい、社内端末に感染を拡げたりするケースも増えます。。
インターネットを介さないマルウェア感染はゲートウェイセキュリティでは対応できません。これらの事例にはエンドポイントの使用環境に応じたセキュリティ対策が求められます。
端末のセキュリティ対策はどうやって行う?
エンドポイントセキュリティが従来の対策と異なるのは、ネットワーク攻撃や不正アクセスを防御するだけでなく、端末機器自体を守る点です。ここでは端末のセキュリティ対策を行う方法について解説します。
セキュリティ体制の見直し
テレワークの推進によりシステム構成や利用形態が多様化し、従来から整備してきたセキュリティ対策や情報セキュリティでは対応しきれなくなっているのが現状です。
こうした背景から国が定めたのテレワークセキュリティガイドラインがあり「従来のサイバー攻撃や不正アクセスに対応するセキュリティ対策では不十分で、社内ネットワークに侵入されることを前提に、セキュリティ対策自体を見直す必要がある」とされています。テレワークだけでなく、セキュリティ対策はもっとも脆弱なポイントを基準に全体のセキュリティレベルを設定することが必要です。
業務環境が変わることでセキュリティルールを一新する必要があります。ITツールやセキュリティ対策ソフトのインストール、パスワードやコード認証などで対応し、ITツールではカバーできないリスクには、セキュリティの知識を教育で周知する必要があります。
また、内閣セキュリティセンターが提唱している政府機関等の対策基準策定のためのガイドラインには、「環境整備が重要」とあります。セキュリティに精通し、信頼できる人材で構成された「情報セキュリティ委員会」の設置について触れられており、委員会主導で、既存のセキュリティソフトの見直しや変更が重要です。また経営者やテレワーカーの指導、教育をしていくことを求められています。
テレワークセキュリティ ガイドライン 第5版 (令和3年5月)
政府機関等の対策基準策定のためのガイドライン (令和3年度版)
エンドポイントセキュリティ強化
エンドポイントセキュリティで押さえておきたいのは、EPP(Endpoint Protection Platform)とEDR(Endpoint Detection and Response)です。
EPPは端末をマルウェアやウイルスに感染しないように保護し、攻撃を阻止して修復します。ただ、既知のマルウェアのみが対象で、最新ウイルスは検知できません。対してEDRはマルウェアやウイルスの侵入に迅速に対応します。その仕組みは、マルウェアやウイルスの侵入を予め想定し、不審な挙動をいち早く察知するというものです。EPPとEDRの両方を連携させると効果的で、EPPで従来の攻撃に備え、最新ウイルスはEDRで対処すると、よりセキュリティ対策は強固となるでしょう。
エンドポイントセキュリティは端末本体や保存しているデータ情報を、サイバー攻撃やウイルスから守るための対策です。HDD暗号化やマルウェア検知、不審なプログラムを検知する振る舞い(NGEPP、NGAV)、ID管理、個人端末からのアクセス検疫機能など、さまざまな対策を行います。
MDMの導入
MDMはMobile Device Managementの略で、パソコン以外にもスマートフォンやタブレットなどのモバイル機器を対象とし管理・運用するソリューションです。紛失や盗難に遭っても情報漏えいを防止する機能や、不正サイトへのアクセスを予防し、業務に不必要なアプリは無効化できます。また、各端末が予め設定したポリシーに従って利用されているかなど、情報の一元管理が可能です。これにより端末の管理をセキュアかつ効率的に行えます。
シンクライアント端末の導入
エンドポイントからの侵入を防止する一つの方法として、シンクライアント端末の導入があります。シンクライアントのシンとは「Thin」(=薄い)のことです。パソコンなどクライアント側の端末では必要最小限の処理しか行わず、データ保存・管理やアプリケーション実行など、基幹的な処理はサーバー側で行う仕組みを指します。基本的に端末のデータ保存ができないので、現在はクライアント端末の紛失・盗難による情報漏えいや、マルウェア感染対策などセキュリティ上のメリットから再び注目されています。
総務省のテレワークセキュリティガイドラインも参考に
テレワーク端末のパソコンとスマートフォンの併用について、総務省のテレワークセキュリティガイドラインでは、次のようなセキュリティ対策を勧めています。
通常はVPN接続のパソコンで業務を行い、外出や移動時にはクラウドサービスをスマートフォンで業務継続する方法です。また、リモートデスクトップサービスを活用してパソコンで業務を行い、外出や移動時はスマートフォン等で業務を行えば、端末にデータは保存されず、セキュリティ面や活用上、大きなメリットが得られます。
端末のセキュリティ強化にはデータをクラウドに保管する「Chromebook」がおすすめ
エンドポイントであるパソコンのセキュリティを高めるために有効なツールが「Chromebook」です。Googleが開発したChrome OSで稼働するノートパソコンで、ブラウザのみが起動し、強固なセキュリティ機能が標準で搭載されているパソコンです。
OSの自動更新機能が標準搭載されており、ネット環境に繋がっていれば自動的に最新の状態に更新することができるので、マルウェアへの対策は不要となります。その他にも、端末上にダウンロードしたデータストレージの暗号化機能や、ブラウザ上で個人情報盗難の恐れがあるWebサイトにアクセス、ソフトウェアをインストールしようとすると警告が表示されるセーフブラウジング機能などが搭載されているので、とくにセキュリティ対策を考えなくても安全に業務が行えるでしょう。
また、Chromebookをよりセキュアにかつ管理をしやすくするライセンス、「Chrome Enterprise Upgrade」と合わせてご利用いただくことで、端末のネットワーク情報やセキュリティポリシーをWeb上で一括で設定したり、複数の端末を一元管理することができます。また、設定項目は500以上あり、利用シーンに合わせたポリシー設定が可能です。アプリケーション制御や紛失・盗難時の端末ワイプ・ロック、Webサイトのブラックリスト登録、USB外部ストレージの利用制限、認証方式のログイン機能なども設定できます。
まとめ
テレワークの浸透でさまざまな端末の業務利用が増え、従来のセキュリティ対策では十分に対策できなくなっています。エンドポイントセキュリティはウイルスの侵入を前提とし、端末本体や保存しているデータ情報を、サイバー攻撃やウイルスから守らなければなりません。Chromebookなら、マルウェア対策やデータストレージの暗号化、セーフブラウジングなど端末自体に強固なセキュリティ機能が搭載されており、また「Chrome Enterprise Upgrade」ライセンスと共にご利用いただくことで、各企業様のセキュリティポリシーに準拠した端末に設定することができ、一元管理されたセキュアな環境で業務を行うことができます。
- カテゴリ:
- Chromebook
- キーワード:
- セキュリティ対策