新型コロナウイルスで会社までウイルス感染!?

緊急事態宣言解除！　でも…

2020年5月25日。1ヵ月半に渡った新型コロナウイルス感染症（COVID-19）による緊急事態宣言が全面解除になりました。もともと予定されていた」6月1日を待たず、一足飛びの解除。これで一気に元の生活に！　……といけばよいのですが、なかなかそうは行かないようです。緊急事態宣言が解除になったとしても、まだまだ新型コロナウイルスの驚異がなくなったわけではありません。ビジネスの現場でも、新型コロナウイルス感染への警戒態勢は、今しばらく継続する必要がありそうです。

自宅から、ネットワークを介してさまざまな業務を行う。「テレワーク」は緊急事態宣言後も、テレワークは新しい働き方として一般化していくのでしょう。

急増する環境的リスク「新型コロナウイルス便乗脅威」

さて、ここで気になるのがやはりセキュリティの問題です。自宅から、会社の環境へ。そして、会社の情報を外部から利用する。このスタイルを安全に実現しなければなりません。

まず、大前提として現在のWebの世界におけるリスクを知っておく必要があります。

新型コロナウイルス感染症が蔓延して以降、インターネットの世界では新型コロナウイルス関連の不正サイトやマルウェア（情報搾取などを目的とした悪意あるソフトウェア。ウイルス）、それらに誘導するための不正メールなどが急増しています。

こうした新型コロナウイルス便乗脅威の拡大は世界的状況といえるものであり、あのインターポール（国際刑事警察機構）も「COVID-19 cyberthreats（新型コロナウイルス感染症便乗サイバー脅威）」という啓発サイトを公開。世界中のWebユーザに向けて危険回避の啓発をはじめました。新型コロナウイルスのおかげで、皆さんのPCや各種デバイスもウイルスに感染する可能性が高まっているのです。

テレワークにも「防疫」が必須

こうしたサイバー脅威。目的のほとんどが「情報資産」であると推察されます。オレオレ詐欺のように、直接の金銭収受を目的としたものもありますが、マルウェアなどの目的のほとんどはPCなどに保存された機密情報の入手。テレワークが一般化すると、企業情報や取引情報といった機密性の高い情報が、安全管理が一切されていない環境でやりとりされる可能性が高まります。これは新型コロナウイルスが蔓延する環境に、マスクや防護服といった防疫装備を整えずに飛び込み、気軽にお茶を楽しむようなもの。非常に危険な行為です。

もともと日本の企業では「IT管理者といっても特に詳しくないからセキュリティなんて……」といった企業が多く、安全な環境のほうが珍しいとさえ言われています。それでも、使用するネットワークやPC、デバイスを限定することは、まさに「外出自粛」のようなもの。会社の大切な情報を隔離することで、リスクを大幅に回避しているのです。

テレワークの一般化はこうした隔離措置の撤廃に他ならず、企業にとっての機密情報漏えいリスク拡大を伴うということを、しっかりと認識しなければなりません。

これまでのセキュリティでは防疫困難

インターネット環境でのセキュリティとえいば「エンドポイント・セキュリティ」が主流です。エンドポイントとは、ネットワークに接続された機械＝端末のこと。PCやタブレットなどユーザが直接触れる端末だと思えば良いでしょう。この端末にアンチウイルスソフトを入れたり（EPP方式）、攻撃と思われるアヤシイ動作を検知・通報する仕組みを導入したり（EDR方式）。これが端末をマルウェア感染から守るための基本セキュリティです。

こうしたエンドポイント・セキュリティと、特定のユーザのみを外部から社内にアクセスさせるVPNという仕組みがあれば、社内環境の隔離防疫は一応安心とされてきました。

しかし、クラウド型Webサービスの普及がこの安心を打ち崩しました。

これまで仕事のデータを保存する場所といえばハードディスクや社内サーバ。だから、手元の端末で感染を防ぎ、さらにVPNで内と外を隔離すれば安心と考えられてきました。

でも、いまやデータやアプリは社内サーバには「置かない」ことが普通になりました。このため、社内・外の境界を防疫するだけでは社内の安全を守りきれなくなったのです。

「ゼロトラストネットワーク」とは

「ゼロトラストネットワーク」はアメリカの調査会社フォレスターリサーチの調査員、キンダーバーグ氏が提唱したセキュリティ概念です。

キンダーバーグ氏は「ゼロトラスト（世界はすべて信用ゼロ）であることを前提として、すべてのデバイスのトラフィック検査やログ取得を行うべき」と主張しました。

世界はすべて信用できない。

だから、「ゼロトラストネットワーク」では外部からのアクセスに対して毎回セキュリティレベルをチェックし、安全だと判断されたデバイスだけのアクセスを許可します。IDとパスワードによるベーシック認証や、電話番号などによる二段階認証などがまさにソレ。こうしたデバイス確認や本人確認と同時にさまざまなセキュリティチェックを行うのが「ゼロトラストネットワーク」です。

現在、セキュリティの分野ではこの考え方が主流となり、クラウド領域・社内領域を問わず、ある特定の領域にアクセスする場合、都度このようなチェックを行うことが一般化しました。端末管理者やユーザはエンドポイント・セキュリティを徹底する。そして、ネットワーク管理者は「ゼロトラストネットワーク」の考え方に基づき、すべてのアクセスに対しセキュリティチェックを行う。この2Wayセキュリティが最も確度の高い防疫になりえる体制と位置づけられています。

私たちが今後継続していかなければならないテレワークやビジネスの遠隔化においても、この考え方は有効です。「ゼロトラストネットワーク」に基づくセキュリティが適切に構築されているか。また、利用するサービスが「ゼロトラストネットワーク」に基づいたセキュリティを持っているか。マルウェアの感染リスクが高まる今日、この点に留意し利用サービスを選定しなければならないのです。

ゼロトラストに基づく徹底防疫を実現した「box」

では、企業はどのようなサービスを利用してテレワーク環境を担保すべきなのか。

その答えのひとつが「box」です。

「box」はゼロトラスト・セキュリティの観点から①侵入対策（ネットワーク保護）、②なりすまし対策（複数の仕組みによる本人認証）、④ユーザごとのアクセス権限管理、⑤データ保護、傍受・改ざん管理、さらに⑥災害対策まで兼ね備えたクラウド型コンテンツ・マネジメント・プラットフォーム。企業の機密情報をウイルスやマルウェア、不正アクセスからしっかりと守るセキュリティが複層的に構築されています。

特に、マルウェアを含む不正アクセスから機密情報を守るネットワーク保護や、ユーザのなりすましに対するセキュリティは非常に強固。

このため、「box」は「いつでも」「どこからでも」、そして「どのデバイスからでも」アクセスし、データ共有することが可能なのです。

「box」のセキュリティイメージ

では、ここで「box」のセキュリティをイメージ化してみたいと思います。

「box」は複数のセキュリティによって企業やユーザのデータを守っています。侵入対策からアクセス管理まで、トータル的なセキュリティ体制を整えています。「box」は他のクラウド型データ共有サービスとはまったく性質の異なるサービスです。その違いの一つがこの強固なセキュリティであると言えます。その堅牢さは、アメリカ・イギリス両政府が認め、公式プラットフォームとして承認したことからもうかがい知ることができます。

新型コロナウイルスによって企業の機密情報への脅威が拡大する今、「box」は企業が選ぶべきテレワーク環境のひとつの答えであると言っても過言ではないのです。