【セミナーレポート】ゼロトラストから学ぶ、エンドポイントセキュリティ対策

ワークスタイルが目まぐるしく変化する今、企業はそうした状況に対応すべく、環境整備を進めていく必要があります。

株式会社レコモットは、リモートアクセスサービス「moconavi」を提供する事業者として、不定期で無料のオンラインセミナーを開催し、制度の見直しやDX推進などに取り組む企業の担当者さまに向けて有益な情報を発信しています。

今回は「ゼロトラストから学ぶ、エンドポイントセキュリティ対策」と題して行ったセミナーの様子をレポートします。

ワークスタイルが目まぐるしく変化する今、企業はそうした状況に対応すべく、環境整備を進めていく必要があります。

株式会社レコモットは、リモートアクセスサービス「moconavi」を提供する事業者として、不定期で無料のオンラインセミナーを開催し、制度の見直しやDX推進などに取り組む企業の担当者さまに向けて有益な情報を発信しています。

今回は「ゼロトラストから学ぶ、エンドポイントセキュリティ対策」と題して行ったセミナーの様子をレポートします。

■セミナータイトル：ゼロトラストから学ぶ、エンドポイントセキュリティ対策

■スピーカー：株式会社レコモット セールス＆マーケティング部　高埜智聖

はじめまして、株式会社レコモット セールス＆マーケティング部の高埜です。

このセミナーでは、ゼロトラストの概念や実践への導入の考え方などをご説明させていただきます。

まず「ゼロトラストネットワーク」というキーワードが昨今さまざまなメディアで語られていますが、簡単に表現すると、今までオフィスのネットワーク内やその境界を守るセキュリティ対策を従来型の「境界型防御モデル」と呼び、このセキュリティ対策で出てきた課題への対処として整理されてきた新しい考え方です。

従来の境界型防御モデルの課題には次の3点が挙げられます。

・外部からのアクセス集中による負荷の増大

・アクセス制限を突破され境界内への侵入を許すと無防備である。悪意のある人が内部にいた場合など、内部犯行への対応に関する課題

・クラウドやSaaSが一般化し、社内外のシステムを利用するようになったため境界自体が曖昧になってきた。境界内を守るという考え方自体を変えていく必要がある

ゼロトラストの考え方を個人的に一言でまとめると、境界型防御モデルの課題を踏まえ「過去に行われた認証や検証を信頼しない ＝ 都度、検証するセキュリティモデル」と言えるでしょう。よってゼロトラストに「完成」という概念は存在しません。「信用できる場合に許可する」アーキテクチャなので、「信用するに足る」と判断するためにはリスクを知り、どうITで実現するかを考えることが重要です。

続いて、エンドポイントの管理についてのお話です。

これまで、エンドポイント（クライアント）のIDやリソース、デバイスやポリシーの管理の中心にあったのが Active Directory（アクティブディレクトリ /AD）でした。

クラウドやモバイルが主流になる以前はオンプレミスが一般的で、組織内の一元管理をADが実施する仕組みで十分だったといえるでしょう。

しかし働き方の変化に伴って次のような課題が出てきました。

同時に、それぞれの課題に対応した有効なソリューションも誕生しています。

課題①：スマホが業務活用されるようになり、企業におけるスマホの端末管理が重要になってきた

→ソリューション：MDM（モバイルデバイス管理ツール）スマホの利用状況の把握や資産管理、リモートロックやリモートワイプ、導入時の初期設定やアプリ配布、プロファイル管理による統制などを行うことができ、ビジネス利用されるモバイルデバイスを一元管理できる

課題②：SaaSのようなクラウドサービスが主流になり、ADだけではアクセス制御が難しくなった

→ソリューション：IDaaSなどのIAM（IDおよびアクセス管理ツール）ユーザーの認証やアプリケーションの認可管理、ID管理・プロビジョニング・シングルサインオンといった機能を提供。ユーザーの情報が集約されるため、IAMはゼロトラストを語るうえで非常に重要な要素となる

課題③：働き方改革やコロナウイルスの流行で社外に持ち出すデバイスやリソースが増え、管理が難しくなってきた

→ソリューション：EPPやEDR、資産管理ツールなど、さまざまなソリューションが存在する

課題①で紹介したスマホ管理においてはMDMが提供する機能が非常に重要である一方、新たに考慮すべき2つの課題が出てきています。

・リソースに対するコンテキストベースの制御

さまざまな情報からユーザーの状態を特定し、そのセキュリティ環境や取り扱うデータの重要性ごとにコンテキストベースで動的に制御することが求められる

・サイバーセキュリティ対策

マルウェアの高度化には、ウイルスの検知、封じ込め、調査、修復といった「侵入を前提」とした対策が必要になってきている

こうした課題に対処するためには、MDMによる管理だけでは限界がきており、プラスアルファの対策が必要になります。

こうした新たな課題を考慮してエンドポイントセキュリティの理想的なかたちについて整理していきます。

テレワークセキュリティで重要なポイントは5点あります。

ポイント１ 端末紛失時の情報漏えいを防ぐ

これには「遠隔消去でデータを守る」もしくは「そもそも端末にデータを残さない」という大きく2つの考え方があります。

「遠隔消去でデータを守る」場合、端末の脆弱性にも注意しなければいけません。

「端末にデータを残さない」場合、データが端末に残置されないため、端末紛失時の情報漏えいのリスクも少なくなります。

ポイント2 ウイルス感染等による情報流出を防ぐ

ウイルス対策でもやはり「端末にデータを残すことを許容する」もしくは「端末にデータを残さない」という点がポイント。

「端末にデータを残すことを許容する」の場合、ウイルスに感染した場合もデータ流出のリスクが高くなる傾向があるため、EPP/EDRによるエンドポイントの保護が重要になります。

「端末にデータを残さない」場合、ウイルスに感染した場合でもデータ流出の可能性は低くなるでしょう。そのため、過度に恐れる必要はありませんが、ウイルスを社内に持ち込まれることには注意する必要があり、ネットワークを分離することが大切です。

ポイント３ 社員の不正利用を防ぐ

例えば端末のアプリが制限なしで使用されている場合、会社データが個人の記憶領域に保存されたり、管理範囲外のアプリに転送されたりして、データの流出を招く恐れがあります。

この対策として、MicrosoftはIntuneによるアプリ保護ポリシーによるデータ保護を推奨しています。

Intuneを活用することで業務利用するアプリケーションの動作を制御できるので、「業務データの保護」が実現可能です。

しかし、保護対象がMicrosoftのアプリと一部の認定アプリに限定されてしまうため、要件に合わせて導入可否の判断が必要になります。

ポイント４.機密情報へのアクセス制御

機密情報を守るために、ユーザーのアカウント情報によってどのデータにアクセスを許可するのかを基盤として整える必要です。ここで先ほども触れたIAMが登場します。

多要素認証による個人のデバイス特定とIP制限により、許可していないアクセスをブロックし、不正利用を防ぐことができます。

ポイント５.社内システム（オンプレミス）へのアクセスルートの強化

ゼロトラストは、その名の通り「全て信頼しない」ことがポイントです。

社内とインターネットの「境界」を守るのが境界型防御と呼ばれ、昨今の考え方ではレガシーな考え方と位置付けています。

SaaSの業務利用が一般化するとともに、コロナ渦でテレワークも加速することで境界線が曖昧になり、これまでの境界型防御モデルだけでは不足するようになってきたというのが一般論です。

とはいえ、すぐにVPNを廃止して、オンプレミスから脱却することも、企業の営みが長ければ長いほど現実的ではありません。

オンプレミスの社内システムは残り、テレワークの鉄板はVPNという仕組みのなかで、事業継続においてはVPNの脆弱性やアクセス集中をリスクと捉え、そのリスクに対して適切な対策を行っていく必要があります。

整理したテレワークセキュリティで重要な5つのポイントを踏まえ、具体的にどんな取り組みをすればいいのか・・・弊社レコモットが開発するmoconaviによるアプローチについてご紹介します。

moconaviとは、モバイル端末にアプリとして企業領域のワークスペースをもち、クラウドや社内システムにアクセスできる環境を実現する「リモートアクセスツール」です。

ユーザーに応じたアクセスコントロールが可能で、通信を集約し、IP制限などを行うことができます。

VPNを使わずに社内システムへのアクセスを実現でき、柔軟なアクセス制御が実現可能。リモートからアクセスできるものの、端末にデータを保持しない設計のため、個人端末を業務利用するBYODにおいてもしっかりとデータを保護できます。

moconaviでできることとして、以下の5点が挙げられます。

moconaviでできること1. 端末紛失時の情報漏えいを防ぐ

moconaviは端末にデータを残さないセキュアブラウザを採用したMAM（モバイルアプリケーション管理ツール）です。

裏で動く監視ツールを導入する必要がないため、BYODとの相性が良い点が特長です。

端末内のデータを守る方法として基本的にはMDMによるリモートワイプ（遠隔消去）という方法が一般的ですが、ネットワーク環境や端末の状態によっては遠隔消去が失敗する可能性もあるため、リスクをゼロにすることは難しいといえます。

そのため、社給端末の場合でもMDMとMAMを併用することが理想的です。

moconaviでできること2. ウイルス感染等による情報流出を防ぐ

端末にデータを残す場合、EPPやEDRの導入が必要になりますが、moconaviはデータを残さないため、低リスクです。

また、社内システムとのネットワークが分離されているため、端末がウイルスに感染してもmoconaviを通じて拡散することはありません。

moconaviでできること3. 社員の不正利用を防ぐ

moconaviはデータを端末にダウンロードさせないため、データが非管理領域に持ち出しされる心配はありません。さらにアプリ間のコピペも制御することが可能です。

ただし、moconaviもIntune MAMと同様、連携できるアプリに制限がかかる可能性があるため、モバイル端末でやりたいことがmoconaviで実現できるか、要件を精査する必要があります。

moconaviでできること4. 機密情報へのアクセス制御

moconaviはメジャーなIAMとの連携により、既存の認証基盤と連携したシングルサインオンの実現が可能です。

そのほか、アプリ制御・端末特定・ソースIPによるIP制限・お客様専有グローバルIPの発行など、moconaviだけでもさまざまなアクセス制御ができます。

moconaviでできること5. 社内システム（オンプレミス）へのアクセスルートの強化

他社の場合、IAP（アイデンティティ認識型プロキシ）という選択肢もありますが、moconaviは中継サーバーがオンプレミスへのアクセスを実現。

VPNなしで社内システムとの連携が可能です。

利用したい社内システムに接続できる位置に中継アプライアンスを設置すれば、お客様側のネットワーク構成やFW設定を変更する必要ありません。複数台設置することで冗長化も可能です。

さらに、moconavi RDSなら転送された社内PCの画面を手元の端末から操作でき、3DCADなどのクリエイティブ用のネイティブアプリもサクサク動かすこともできます。

今回はテレワークセキュリティで気になるポイントを整理し、解説しました。

これからテレワーク環境を導入される方も、既に環境整備済みの方も、今回紹介した5つのポイントでチェックしてみてください。

そのなかでmoconaviに興味をおもちになりましたら、ぜひお気軽にご連絡ください。