リモート従業員に対してセキュリティポリシーを適用する方法

Identity and Access Management(IAM)ソリューションは、従業員がオフィスに出社しなくても、会社のデータを保護します。

Share facebook icon linkedin icon twitter icon email icon

リモート従業員のセキュリティ

学習目的

この記事を読み終えると、以下のことができます。

  • リモート従業員のセキュリティ上の課題を理解する
  • 従業員がリモートワークする際に強力なセキュリティ対策を維持する方法を学ぶ
  • Cloudflare for Teamsがどのようにリモート従業員を管理するのに役立つかを探る

リモート従業員のセキュリティ上の課題にはどのようなものがあるでしょうか?

オンプレミス環境にて従業員がオフィスで仕事をする場合、通常、社内のITチームがネットワークセキュリティおよびネットワークにアクセスするのに使用されるデバイスを管理しています。また、物理的なセキュリティを確保するチームが、オフィスに出入りできる人と内部インフラストラクチャにアクセスできる人を管理しています。

しかし、クラウドコンピューティングの普及に伴い、分散型労働力はますます一般的になっています。クラウドは、内部ネットワークではなくインターネットを介したアクセスであるため、場所に依存しません。会社がクラウドを使用する場合、チームはどこにいても仕事ができます。「リモートワーク」は、クラウドに移行していない企業にとっても1つの選択肢になってきています。多くの企業は、インターネット経由またはVPN経由で、リモートでデスクトップにアクセスすることを許可しています。

多くの場合、リモートワークは企業が効率性と俊敏性を維持するのに役立ちますが、社内の機密情報を保護するにあたって多くの課題をもたらす場合もあります。次のようないくつかの深刻な課題があります:

従業員のエンドポイントデバイスが脆弱である可能性があります。ITチームは、リモート従業員が使用するノートパソコン、デスクトップPC、ほかのデバイスを直接管理できません。多くの場合、これらは従業員が所有する個人用デバイスです。

データへのアクセスはID確認に依存するため、攻撃者はさまざまなアカウント乗っ取り攻撃を使用してなりすますことができます。フィッシング攻撃、認証情報スニッフィング攻撃、ブルートフォース攻撃は、どれもよく知られているものであり、従業員のアカウントを侵害する可能性があります。

データが安全でないネットワークを通過する可能があります。インターネットを使用するので、さまざまなネットワーク接続をデータが通過する際に、攻撃者が転送中のデータを傍受する危険性があります。この危険性が増すのは、リモート従業員が安全でない脆弱なWi-Fiネットワークを使用するときです。たとえば、リモート従業員が無料Wi-Fiを提供する喫茶店でノートパソコンを使って仕事をする場合や自宅のWi-Fiネットワークのパスワードが脆弱である場合です。

こうした課題にリモートワークセキュリティポリシーはどのように対処できるでしょうか?

多くのIdentity and Access Management(IAM)技術は、企業の機密情報を保護しながら、こうしたリスクを軽減して、リモート従業員を保護するのに役立ちます。

セキュアWebゲートウェイ:セキュアWebゲートウェイは、従業員と安全でないインターネットの間にあります。Webトラフィックからのリスクの高いコンテンツをフィルター処理することで、サイバー攻撃を阻止してデータ損失を防止します。たとえば、Web経由でデータを平文で送信する暗号化されていないHTTP Webサイトを従業員が訪問するのを阻止することができます。また、リスクの高い行為や不正なユーザーの行為をブロックすることもできます。セキュアWebゲートウェイは、オンプレミス環境とリモート環境の両方で仕事をする従業員を保護できます。

セキュアWebゲートウェイは、悪意のあるWebサイトをブロックするDNSフィルタリングまたはURLフィルタリング、エンドポイントの侵害を防止するマルウェア対策、およびほかの形態の脅威防御を使用します。たとえば、Cloudflare Gatewayは、ブラウザー分離を使用して、従業員のエンドポイントを悪意のある JavaScriptから保護します。

アクセス制御:アクセス制御ソリューションは、システムやデータへのユーザーのアクセスを追跡および管理することで、データ漏えいを防止します。アクセス制御ソリューションを実装することにより、従業員が会社のシステムに過剰にアクセスしないようにし、不正なユーザーがシステムにアクセスできないようにします。

シングルサインオン(SSO):リモート従業員は、デバイスにローカルインストールされているアプリケーションではなくSaaSアプリケーションに依存することが多く、ブラウザーを介してそうしたアプリケーションにアクセスします。しかし、そうした各アプリケーションに個別にログインすることは、従業員に弱いパスワードを使用させる誘因になり、ITチームがユーザーアクセスを管理するのを困難にします。SSOにより、従業員は1つのログイン画面にてすべてのSaaSアプリケーションに一度でサインインすることができます。これにより、サインインが1箇所でのみ行われるため、パスワードルールの適用が容易になり、必要に応じて、ITチームは1つの地点からアプリケーションのアクセスを追加または削除することができるようになります。

多要素認証(MFA):リモートワークの場合は、従業員の身元をオフィスでの物理的な入退室管理にて確認できないため、リモートワークセキュリティポリシーにとって強力なユーザーの認証は不可欠です。最強のパスワードでさえ侵害される可能性がありますが、MFAを使用することにより、攻撃者が従業員のパスワードを不正に入手した場合でも、アカウント侵害の脅威を軽減することができます。パスワードに加えて少なくとももう1つの形態の認証を要求することで、MFAは、攻撃者がアカウントを制御下に置くために、1つの方法ではなく2つ以上の異なる方法を使用しないとユーザーを侵害できないようにします。この追加の手順により、攻撃が発生する可能性がはるかに低くなります。

たとえば、ボブが会社のメールアカウントにログインするのに、パスワードと電子キーフォブからのコードの両方を入力する必要がある場合、攻撃者は、ボブのアカウントを侵害するには、ボブのパスワードを電子的に盗み、物理的にキーフォブを盗まなければなりません。そうした攻撃が成功する可能性は低いです。

Cloudflareはどのようにリモートチームを保護するのでしょうか?

Cloudflare for Teamsは、リモートチームの保護を支援するために構築されたプロダクトスイートです。Cloudflare Accessは、オンプレミス型アプリケーションの場合でも、Cloudflareのグローバルエッジネットワークを内部アプリケーションの前に配置します。Cloudflare Accessにより、会社はゼロトラストセキュリティを実装して、データを保護してユーザーが不正アクセスできないようにすることができます。

Cloudflare Gatewayは、Cloudflare for Teamsプロダクトスイートの一部でもあります。Cloudflare Gatewayは、インターネットトラフィックの可視性を確保して、DNSフィルタリングを使用してリスクの高いWebサイトや禁止されているWebサイトをフィルター処理し、ブラウザー分離を使用してブラウザー内で悪意のあるコードが実行されるのを防止します。Cloudflare GatewayとCloudflare Accessはどちらも、これらすべてのことをパフォーマンスに影響を与えることなく行えるように構築されています。