セキュアワークスはこのほど、安心安全なテレワーク環境を実現するためのポイントや見落としがちな部分を把握し、必要となるセキュリティ対策を総合的に分析する新サービスとして「テレワークリスクアセスメント」と「リモートアクセス脆弱性アセスメント」の提供を開始した。また、新たなグローバル・パートナー・プログラムもスタートさせ、パートナーとともにセキュリティソリューションの拡販を狙う。

古川勝也・主席上級セキュリティアドバイザー

マネジメント面とテクニカル面の対策は両輪の関係

 新型コロナウイルス対応の一環として、急きょ多くの企業がテレワーク対応を余儀なくされた。しかし、元々テレワークを想定していなかった社員やテレワーク環境が整っていない組織も対象となるため、セキュリティ面に不安を持つ企業は少なくない。総務省のテレワークセキュリティガイドラインなど、適切なセキュリティ対策が求められるが、そうした対応が十分にできている企業は限られる。

 「新型コロナを巡る情勢に便乗したサイバー攻撃が実際に確認されている。当社でも、VPNなどのリモートアクセス製品の脆弱性を悪用した攻撃を観測しており、どの組織も攻撃を受ける可能性が十分にある状況と考えたほうがいい」と、古川勝也・主席上級セキュリティアドバイザーは指摘する。

 テレワーク実施に際しての不安は、マネジメント面とテクニカル面に大別できる。マネジメント面では、テレワークの管理者や利用者のためのルールが漏れなく整備されているか、ユーザーが必要なルールを正しく理解しているか、といった課題がある。テクニカル面では、脆弱なツールを使用していないか、パスワード運用やセキュリティに関連する設定ミスがないか、といった点があげられる。

 「テレワーク環境でセキュリティレベルを確保するため、管理や運用に関するルール策定が必要で、これはマネジメント面のアプローチだ。テレワークを実現するツールやシステムをルールに沿って実装するのが、テクニカル面のアプローチになる。ルールとツールがそろって、はじめて対策の効果が十分に発揮できるようになるため、マネジメント面とテクニカル面の対策は両輪の関係になる」と、古川アドバイザーは指摘する。

最も優先度の高いVPNに絞った診断サービス、すべてがリモートで完結

 テクニカル面のアプローチとして提供するのが「リモートアクセス・セキュリティ脆弱性アセスメント」。同サービスは、リモートアクセス機能を有するネットワークシステム・サービスを対象にネットワークセキュリティ診断、パスワード推測調査、ウェブアプリケーション診断を組み合わせたセキュリティ診断を行う。

 「セキュリティ対策の幅は非常に広いが、特に、テレワークによる利用者の拡大が想定されるVPNに絞った診断サービスとした」と古川アドバイザー。

 急きょテレワークに取り組むことになった組織は、十分な検証をせずにVPNを導入したほか、従来使用していなかったVPNを利用する場合もあり、安易なログインパスワードや設定・アップデートの不備など、脆弱性が放置されることがある。脆弱性が悪用されると、リモートで任意のコードが実行され、ファイルを読み取られて認証情報などの情報が取得される可能性もある。2019年には、日本国内でPulse SecureやNetScalerなどVPNシステムの脆弱性を悪用したインシデントが大量発生し、JPCERTコーディネーションセンター(JPCERT/CC)が注意喚起する事態となった。

 リモートアクセス脆弱性アセスメントは、VPNによるリモートアクセスに特化した新たな診断サービスだ。診断はもちろん、必要な打ち合わせや報告会まで、すべてリモートで実施する。さらに診断項目も、リモートアクセスで攻撃対象となりやすいネットワークセキュリティ診断・パスワード推測調査・ウェブアプリケーション診断など焦点を絞ることにより、通常のセキュリティ診断より時間を短縮してサービスを提供することができる。リモートアクセスの脆弱性診断は初回打ち合わせから最終の報告会まで、わずか5営業日で対応が可能だ。
 
リモートアクセス脆弱性アセスメント

コロナ後も含めたテレワークのセキュリティ対策が必須

 マネジメント面からのアプローチとして提供するのが「テレワークリスクアセスメント」。ユーザー企業の安全なテレワーク環境において運用面、システム面、現場などで対応可能なセキュリティ対策をクイックに導出するため、九つのポイントを重点的に分析する。

 アセスメント内容は、テレワークに関するポリシー、ネットワーク構成図などのレビュー、セキュリティ対策状況を確認した上で、チェックシートに基づきワークショップを実施。さらに、不明点・不足事項についてのヒアリングを実施する。

 サービス提供日数は、キックオフから報告会まで約2週間。アセスメントサービスについても打ち合わせも含めて、すべてをリモートで実施する。
 
テレワークリスクアセスメント

 サービスにおける提出物は、キックオフ資料およびリモートアクセス・リスク管理アセスメント(兼推奨改善策)報告。また、オプションとしてリスクアセスメントを実施した結果をもとに、テレワークセキュリティのさらなる向上につながる多様なコンサルティング支援サービスを提供する。

 古川アドバイザーは、「テレワークは決して一過性の動きではない。セキュリティ診断やアセスメントサービスなどを活用して現状を的確に把握し、新しい時代に向けたセキュアなテレワーク環境の整備に役立ててほしい」と強調する。

 また、同社は5月28日に、新たなグローバル・パートナー・プログラムを国内でもスタートした。「リベートやマーケティング・デベロップメント・ファンド(MDF)など、これまで明確に体系化していなかった制度を整備した。セールスに向けたマーケティングリソース、トレーニング、案件登録などの包括的なコンテンツライブラリーなども提供している。プログラムを通じて、パートナーの方々が最大限に収益を得られるよう、しっかり支援していく」と、古川アドバイザーは力を込める。
 
企業におけるテレワークの導入とセキュリティ対策についてアンケート
https://www.seminar-reg.jp/bcn/survey_telesec