開閉ボタン
ユーザーメニュー
ユーザーメニューコンテンツ
ログイン

  • 会員限定
  • 2020/06/17

見えてきたテレワークセキュリティのキモ、従来型のVPNでは何がダメなのか

2020年4月7日に発せられた政府の非常事態宣言を受けて、多くの企業でテレワークが実施ないしは検討された。そして非常事態宣言が明けた今、明らかになっているのは「この急激な変化は不可逆である」ということだ。働き方の「ニューノーマル」に向けて、企業はどのようにセキュアなテレワーク環境を整えていけばよいのか。鍵を握るのは“可用性”だ。

アカマイ・テクノロジーズ 金子 春信

アカマイ・テクノロジーズ 金子 春信

アカマイ・テクノロジーズ エンタープライズセキュリティ APJ地域シニアプロダクトマーケティングマネージャ。
15年間にわたりITインフラストラクチャ業界で、システムエンジニア、ビジネスデベロップメント、プロダクトマーケティング業務に従事。SEとしてキャリアをスタートし、リコーテクノシステムズ、ネットワンシステムズにおいて、金融、製造を中心とするラージエンタープライズ顧客に対してネットワーク、セキュリティ、コラボレーションのシステムを多数提供。2012年から2015年は、米国シリコンバレーにあるNet One Systems USAにて、ビジネスデベロップメントマネージャとして、セキュリティやクラウド関連等のスタートアップとのビジネス開発を担当。 2018年より現職。

photo
リモートワークが急造する今、セキュリティの鍵を握るのは?
(Photo/Getty Images)

「ニューノーマル」に応じた働き方が求められている

 新型コロナウイルスの影響で余儀なくされたテレワークだが、皆さんはどう受け止めているだろうか? 緊急事態宣言も解除され、また社会は元通り、いつもと同じ日常を取り戻す──そのように想像するだろうか?

 だが「そうではない」と考える人たちの声が多く出ている。たとえば、これはTwitter社のHead of human resourcesであるJennifer Christie氏がBuzzFeed Newsに対して語ったコメントだ。

“People who were reticent to work remotely will find that they really thrive that way. Managers who didn’t think they could manage teams that were remote will have a different perspective. I do think we won’t go back.”

「これまで遠慮がちにリモートで働いていた人々は、これが成功への道だと確信するでしょう。リモートで働くチームを管理できるとは思っていなかったマネージャたちも、リモートへの考え方が変わるはずです。もう後戻りできないと思います」 (筆者訳)

 これまで「特殊」だと思われてきた状況は、新しい世界への鍵を握る新たな局面になる。私の会社アカマイ・テクノロジーズでも、世界中に分散した約7000名の従業員が在宅勤務をベースにしている。私自身もこれまで2カ月以上にわたって在宅勤務をしてきたが、この状況は勤務形態の在り方に不可逆的な変化を与えると確信している。

苦戦するテレワーク実施率

 では、大半の労働者が、ニューノーマルな環境に向けて在宅勤務をしているのだろうか? 実際の数字を見ると実はそうでもないようだ。

 厚生労働省がLINEで行った「新型コロナウイルス対策のための全国調査」は記憶に新しい。皆さんの中にも回答したという方は多いのではないだろうか。

 この統計によると、テレワークの実施率は、第1回の14%から第3回の27%と、2倍近い増加率だが、絶対値ではまだ3割に満たない状況だ。

調査 実施率 対前回比
第1回(3月31日-4月1日) 13.99% -
第2回(4月5日-4月6日) 16.20% 115%
第3回(4月12日-4月13日) 26.83% 165%
オフィスワーク中心(事務・企画・開発など)の方におけるテレワーク実施割合の推移

 この実施率の低さの要因として、パーソル総合研究所が実施した「新型コロナウイルス対策によるテレワークへの影響に関する緊急調査」の結果を見ると、「テレワーク制度が整備されていない」との回答が41.4%、「テレワークで行える業務ではない」が39.5%、「テレワークのためのICT(情報通信技術)環境が整備されていない」が17.5%となっている。テレワークを増やしたいのに増やせない事情がうかがえる。

 このように、現在の日本は変革の過渡期にいるが、同時にジレンマを抱えている状況と言えるだろう。オフィスワークが中心の業種業態であるにもかかわらず、テレワーク環境の整っていない企業は、通勤を行ってもらうか、さもなければ該当業務を止めるしかない状況になってしまう。

 このような状況のことをITセキュリティの言葉では「Availability(可用性)が損なわれている」と表現する。ここで今回の状況を整理するためにセキュリティの基礎的な考え方を簡単に紹介する。

セキュリティの「CIA」

 「情報セキュリティのCIA」という言葉を聞いたことがあるだろうか? CIAといっても、米国の中央情報局ではない。これは、Confidentiality、Integrity、Availabilityの3つの頭文字をとったもので、情報セキュリティの基本になる要素だ。元々は、OECD(経済協力開発機構)が制定したものだが、現在ではISO27001(ISMS)のような認証や、CISSPをはじめとする情報セキュリティ系の資格試験などで、根本的な考え方として取り入れられている。

 大きく端折(はしょ)って3行で説明する。

  1. Confidentialityは「機密性」のことで、情報の流出等を防止する
  2. Integrityは「完全性」のことで、情報の改ざんを防止する
  3. Availabilityは「可用性」のことで、情報システムの停止を防止する

 このフレームワークを使えば、情報セキュリティを考える際に、さまざまな状況をこれらに当てはめて、クリアに整理できる。たとえば、標的型攻撃による情報の流出は、情報の機密性が失われる事象なので、Confidentialityの軸で考える。DoS攻撃による自社システムの停止は、利用機会が損なわれる事象なので、Availabilityの軸で考える。

現在はAの確保が最優先

 この観点で、現在の企業の状況に目を戻すと、これは完全にA=可用性が損なわれている状態だ。可用性を確保しなければ、事業継続性が確保できなくなり、リストラや倒産などの経営リスクも発生してくるだろう。

 そこで、迅速にこの状況に改善しなければならない。Aを最優先する、つまりCIAではなくACIが求められる現状というわけだ。だが、上記調査で見た通り、実態はまだ3割に満たない状況だ。それはなぜか。

画像
顕在化してきたCIAのリスク

可用性の確保が困難なリモートアクセス設備

 たとえば小売業の販売スタッフなど、顧客との対面が必要でテレワークに向かない業種・職種はあるものの、オフィスで行っていたような業務はなるべく自宅で行えるようにすることが事業継続の観点では重要だ。そこで主に議題になるのは、リモートアクセスによる業務系アプリケーションの利用と、Web会議やチャットを中心とするコミュニケーションだ。今回は、リモートアクセスにおける課題についてもう少し分析する。

画像
テレワークに対応するためのICT環境

オンプレミス型のリモートアクセスの限界

 リモートアクセスといえば、大半の企業がインターネットVPNを利用している。これは、データセンターや本社にVPN装置を配置して、そこに対してリモートワーカーがトンネル(暗号化された仮想的施設網)経由の通信を行う方式だ。この方式には、15年以上の歴史があり、広く普及している。その分安定性も高く、多くのIT管理者、特にネットワーク管理者にとっては慣れ親しんだ方式だろう。


 だが、現在の急拡大する在宅勤務では、このVPNが問題になっている。

画像
リモートアクセスでよく用いられるVPN

【次ページ】従来型VPNの問題点とは?

VPN・広域イーサ ジャンルのトピックス

PR

ビジネス+IT 会員登録で、会員限定コンテンツやメルマガを購読可能、スペシャルセミナーにもご招待!