SSF2020 セキュリティセミナー 2020 年 11 月 5 日 リバウンドしがちなテレワーク でも もとには戻さない ~ 場所 時間 立場を問わない ビジネス環境のセキュリティ ~ 富士通ソーシアルサイエンスラボラトリ サイバーセキュリティ事業本部 第一システム部 セキュリティストラテジスト

リバウンドしがちなテレワーク、

「でも、もとには戻さない」

～場所・時間・立場を問わない、

ビジネス環境のセキュリティ～

サイバーセキュリティ事業本部 第一システム部

富士通ソーシアルサイエンスラボラトリ

SSF2020

セキュリティセミナー

2020年11月５日

セキュリティストラテジスト

（第20904155-202009-01号）

幸田 一生

Agenda

◼

ニューノーマル時代へ

◼

会社はテレワークの全社適用拡大で、

必死に事業を継続させようとした。なのに…

◼

「もう以前のようには戻れない」のならば、

「さらに何を変えなければならないのか？」

◼

まとめ

事務所

外出先

業務・事務

セミナー

打合せ

出張

営業活動

研修

従来

現在

業務環境の変化

◼

働き方改革やCOVID-19の感染拡大を機会として、

多くの組織がテレワーク・在宅勤務中心の業務環境へ

インターネット

（クラウド）

社員等

委託事業者

（保守サポート）

事務所

外出先

業務・事務

セミナー

打合せ

出張

営業活動

研修

オンライン

（業務・打合せ、ウェビナー）

私物等

（タブレット・スマホ、SNSなど）

◼

働く環境が大きく変化…。いちばん変わったのは

姿勢・価値観

！

何が変わったのか？

Mind

姿勢・価値観

既存技術の

利用拡大

◼

リモート接続（VPN、仮想技術）

◼

各種クラウドサービスの採用

◼

Web会議、チャットワーク

◼

個人PCなどの活用（BYOD） など

◼

非効率な会議

◼

在宅ワークは週に2回まで等の制限

◼

紙・ハンコ文化

◼

掛け声だけのワークライフバランス

仕事の進め方を変えなければ！

一部の社員が使って

いた便利なツールを

全社で利用し始めた！

デジタル化を

先延ばしにしてきた

ことに気付いた！

会社はテレワークの全社適用拡大で、

社員は、どうだったのか？

情報システム部門、総務リスク部門は、

事業を継続するために何をしたか？

１）ネットワーク回線の増強

２）ルールの緩和

３）Web会議システム等の条件整理

◼

VPNサーバ

◼

仮想サーバ

◼

認証サーバ など

セキュリティポリシー

◼

機器・データ持ち出し

◼

BYODの許可

◼

勤務形態 など

◼

アカウントの追加購入

◼

顧客指定のシステムへの

対策

◼

設備の追加購入 など

４）ペーパーレスの徹底

◼

帳票回送を電子化

◼

判子文化の見直し など

印

社員の第一声は、

『社内ネットワークに繋がらない』

社員は…、

「つながらない」、「遅い」、「切れる」の三重苦…

• 許容数以上の接続

• 許容量オーバーによるダウンなど

• 不慣れな操作によるミス

• パスワード期限切れ など

接続の許容量オーバー

利用者の操作ミス

原因は？

事業を継続させるために一心不乱！

◼

繋がらない会社ネットワークに嫌気･･･、

結果、

セキュリティ面ではどうなった

か？

• 機密情報を端末に残したまま、

インターネットに直接接続 など

１）VPN接続を迂回

３）様々なクラウドを利用

２）私物パソコン等を利用

• 私用のタブレット、スマホ、

USBメモリ、Wi-Fiの利用 など

• 会社の許可のないストレージ、SNS、

コミュニケーションツールの活用 など

つながらない、

遅い、切れる

の三重苦

多くの社員が、

自己判断で

多様な働き方へ！

インシデント事例-1

～ルール違反による、マルウェア感染～

◼

テレワークにおけるVPN接続があまりに悪く、インターネットに直接接

続し、なんとか業務を継続した。その際、ダウンロードしたファイルに

よってマルウェア感染し、ローカルの特権IDが奪われた。当該社員が、

出社時に社内ネットワークに接続した際、拡散し、業務が停止した。

VPNを使わずインターネットに直接接続したことで、マルウェア感染！

【問題の考察】

① ルールは存在していた

※VPNで社内アクセス後、インターネットへ

② しかし、社内ネットワークに繋がらず、

ルールを守れない

③ ルール違反が横行した

ルール

違反

経営へ影響：業務の停止、競争力の低下 など

懲戒処分

インシデント事例-2

～フリーメールへの自動転送、漏えい～

◼

会社のパソコンを持ち出せないため、業務メールを個人のフリーメール

に自動転送設定をした。転送先のアカウントが乗っ取られ、大量の機密

情報・個人情報が流出した。

フリーメールへの自動転送、アカウントの窃取により漏えい！

【問題の考察】

① ルールは存在していた

※自動転送禁止、メールは仮想環境で送受信

② しかし、社内ネットワークに繋がらず、

ルールを守れない

③ メールを転送し、私物のパソコンで編集した

ルール

違反

free

経営へ影響：訴訟問題、イメージダウン など

インシデント事例-3

～検証不足のクラウドサービスで、漏えい～

◼

緊急的にテレビ会議サービスを採用した。後日、不十分な検証および利

用者への通知不足により、大量のアカウント流出や不正侵入による犯罪

行為が横行していることがわかった。しかも、流出したアカウントは、

1アカウント約0.2円で売買された。

流出したアカウントがダークウェブで売買

Zoom accounts sold on hacker forums

【問題点と考察】

① クラウドサービスへの対応不備

※ルールがなかった。または徹底されていなかった

② 自身の裁量でアカウントを取得／パスワード設定

③ 脆弱な設定が破られた or 利用者のミスで情報流出

ルール不足

検証不足

経営へ影響：訴訟問題、ビジネスチャンスの喪失 など

事態はもっと深刻に…

潜在的なリスクがまだまだ・・・

信用失墜

ビジネス機会

の喪失

訴訟問題

影響

組織内の

機密情報

金銭に係る

情報

取引内容

個人情報

取引の停止

内部／外部からの攻撃

業務システム

の停止

不正アクセス

営業機会の損失

イメージダウン

ウェブサイト改ざん

悪意サイトへの誘導、

金銭的被害

影響

情報漏えい

秘

影響

インシデント対応工数の増大

ウイルス感染

競争力の

低下

SNS

「もう以前のようには戻れない」のならば、

「さらに何を変えなければならないのか？」

提言

◼

リモートワークは定着し始め、これまで先延ばしにされていた

『業務のデジタル化』が加速するなか、企業のセキュリティは

どう変わらなければいけないのか？

ゼロトラスト

ネットワークへ

“社内は安全”という考え方は捨てる！

モニタリング

の強化

“企業データが社外サービスに点在している”

ことを前提に情報管理を考える！

１）ゼロトラストネットワークへ

ゼロトラストとは？

◼

場所・時間・立場など、すべてを信用しないという考え方

◼

社内・社外を区別しない！

◼

どこからのアクセスであっても、認証・認可を要求

◼

ユーザ・デバイスに応じたアプリ、データを最小権限で許可

◼

振る舞いやログを常時モニタリング・対策

✓

社内ネットワークは安全

✓

クラウドやインターネットは危険

✓

データをクラウドに置くのは怖い

✓

社内のゲートウェイを経由させる

ことでアクセス制限がかけられる

「トラストゾーン」の安全神話

１）ゼロトラストネットワークへ

なぜ、今、ゼロトラストなのか？

◼

受け入れるしかない現実…

従来の安全の拠り所であった

社内や社給デバイスといった

「トラストゾーン」の概念が崩壊！

インターネットに直接アクセスし、

クラウドSaaSを利用･･･

（社内ネットワークに接続しないで仕事）

情報システム部門も管理しきれない…

（私物やネットカフェ端末の利用や

クラウドの利用）

オフィスの集約・削減

（オフィスで仕事する前提はもうない）

安定性・安全性の高い

新しいネットワーク構成へ

社内よりも

社外

でやりとりされる

通信の方が多い状態！

SaaSとの通信量が増加

し社内基幹NWに負荷が

かかるようになったため、

SaaSへの通信を迂回さ

せるローカルブレイクア

ウトといわれる技術が使

われるようになった。

その結果、業務通信の

ほとんどが社外トラ

フィックとなっている。

１）ゼロトラストネットワークへ

まず、ネットワークセキュリティを刷新！

IP

se

c-V

P

N

SaaS

本社

Data Center

SaaS

インターネット

本社を外部とのアクセスポイント

とするNW構成は限界

最新のZTNサービスを利用し

効率的に企業NWを刷新！

◼

ID認証基盤が設けられ、ID運用が適切に行われているか？

１）ゼロトラストネットワークへ

ID認証とアクセス管理が最重要

信用のベースとなるIDの信頼性確保！

全てのIT資産を可視化し、リスク診断！

◼

IT資産（AWSやAzureなども含む）の自動収集・可視化

◼

柔軟かつ強力なスキャナによる完全な可視化

◼

脆弱性の影響を自動で予測、優先順位付けを実施 など

◼

統合ID認証基盤を設け、「誰からのアクセスなのか」

を継続的に特定し、ポリシーごとに認証・認可

◼

特権IDの不適切な利用がないかを監査

など

◼

アクセス先となるIT資産とそのリスクが把握できているか？

２）モニタリング強化

モニタリングとは？

◼

ゼロトラスト環境では、誰が何をしたかを記録・分析

（モニタリング）し、直ちに改善することが重要！

セキュリティ対策はバランス！

_しかし、

よくある、ルールを改定した後で、

人・技術の強化するステップ対策は、

実はバランスが悪い！

技術を使ってモニタリングし、

潜在的なリスクの発見と迅速に対処。

さらにルール改定も同時に行うこと

（技術に合わせたルール改定）が

必要！

出典：テレワークセキュリティガイドライン第４版（総務省）

<https://www.soumu.go.jp/main_content/000545372.pdf>

◼

データの持ち出し、認められた場所に置かれているか？

２）モニタリング強化

データは社外にある！求められる対策は？

CASB

（Cloud Access Security Broker：キャスビー）

で実現！

◼

IT管理者が把握していないクラウドのデータの利用実態を

可視化・制御することで重要データに対する統制を実現。

◼

誰が、いつ、どのデータを、どのように利用したかを報告。

CSPM

（Cloud Security Posture Management）

で実現！！

◼

AWS、Azureなどに移行したシステムのセキュリティ設定を可視化。

◼

パブリッククラウドのセキュリティ設定についての

ベストプラクティスとの比較を自動で実施し、監査レポートを出力。

◼

情報漏えいしていないか？

２）モニタリング強化

多様な角度からの企業リスクの評価・改善支援

月替わりで様々な観点を手ごろにリスク評価！

自組織のセキュリティレベルを様々な視点から継続的に把握することが必要。

リスク評価の視点は、社内だけではなく、社外へ！

◼

IaaS環境のセキュリティリスクの評価

◼

特権IDの状態の評価

◼

SaaSの利用通信の評価

◼

OSINT技術で企業リスクの評価

◼

ダークウェブへの情報漏洩の調査

◼

公開サーバの脆弱性評価

◼

テレワーク環境のセキュリティリスクの評価 など

参考：OSINT技術を使った

専任コンサルタントが

結果分析＆改善提案

リバウンドしがちなテレワーク、

「もう、もとには戻さない！」

◼

組織は、オフィスの集約・削減、通勤定期や転勤の廃止、

さらにクラウドの利活用など、大きな変革が進められており、

今さら、テレワーク前提の環境をもとに戻すことができない！

そうだとすれば･･･、

Mind

姿勢・価値観

“社内は安全“は捨てる！

⇒ ネットワーク構成を変えるとともに、

本人確認（ID）を厳密にしなければならない！

“データは社外におかれることを前提“に！

⇒ データ管理や企業リスクをこまめにチェックし、

直ぐに改善していかなければならない！

私たちはお客様を全力でご支援します！

◼

今回のセミナーの内容を実現するために当社がお手伝いできるこ

との詳細は、展示ブースやウェビナーをご覧ください。

“社内安全“は捨てる！

“データは社外におかれることを前提“に！

◼

Akamai

◼

CyberArk

◼

Tenable

◼

McAfee MVISON UCE

◼

月替わりサイバーリスク評価サービス