Identity and Access Management(IAM)ソリューションは、従業員がオフィスに出社しなくても、会社のデータを保護します。
この記事を読み終えると、以下のことができるようになります。
関連コンテンツ
是非、Cloudflareが毎月お届けする「theNET」を購読して、インターネットで最も人気のある洞察をまとめた情報を入手してください!
記事のリンクをコピーする
オンプレミス環境にて従業員がオフィスで仕事をする場合、通常、社内のITチームがネットワークセキュリティおよびネットワークにアクセスするのに使用されるデバイスを管理しています。また、物理的なセキュリティを確保するチームが、オフィスに出入りできる人と内部インフラストラクチャにアクセスできる人を管理しています。
しかし、クラウドコンピューティングの普及に伴い、分散型労働力はますます一般的になっています。クラウドは、内部ネットワークではなくインターネットを介したアクセスであるため、場所に依存しません。会社がクラウドを使用する場合、チームはどこにいても仕事ができます。「リモートワーク」は、クラウドに移行していない企業にとっても1つの選択肢になってきています。多くの企業は、インターネット経由またはVPN経由で、リモートでデスクトップにアクセスすることを許可しています。
多くの場合、リモートワークは企業が効率性と俊敏性を維持するのに役立ちますが、社内の機密情報を保護するにあたって多くの課題をもたらす場合もあります。次のようないくつかの深刻な課題があります:
従業員のエンドポイントデバイスが脆弱である可能性があります。ITチームは、リモート従業員が使用するノートパソコン、デスクトップPC、その他のエンドポイントデバイスを直接管理できません。多くの場合、これらは従業員が所有する個人用デバイスです。
データへのアクセスはID確認に依存するため、攻撃者はさまざまなアカウント乗っ取り攻撃を使用してなりすますことができます。フィッシング攻撃、クレデンシャルスタッフィング攻撃、総当たりパスワード攻撃は、どれもよく知られているものであり、従業員のアカウントを侵害する可能性があります。
データが安全でないネットワークを通過する可能性があります。インターネットを使用するので、さまざまなネットワーク接続をデータが通過する際に、攻撃者が転送中のデータを傍受する危険性があります。この危険性が増すのは、リモート従業員が安全でない脆弱なWi-Fiネットワークを使用するときです。たとえば、リモート従業員が無料Wi-Fiを提供する喫茶店でノートパソコンを使って仕事をする場合や自宅のWi-Fiネットワークのパスワードが脆弱である場合です。
| セキュリティ課題 | リスク記述 | 解決策/緩和策 |
| エンドポイントデバイスの脆弱性 | ITチームは、リモート従業員が使うノートパソコンやデバイスを直接管理できない | エンドポイント保護、マルウェア対策、リモートブラウザ分離(RBI) |
| 本人確認 | フィッシング、クレデンシャルスタッフィング、総当たりパスワード攻撃 | 多要素認証(MFA) |
| 保護されていないネットワーク | データは公共WiFiを通過するため、傍受される恐れがある | SWGによる悪性サイトのブロックとトラフィック暗号化 |
| アクセス管理 | 複数SaaSアプリケーションの使用で無秩序拡大が起こり、セキュリティポリシーに一貫性がなくなる | シングルサインオン(SSO) |
| VPNセキュリティの限界 | 「城と堀」のセキュリティモデルは脆弱 | ゼロトラストネットワークアクセス(ZTNA) |
多くのIdentity and Access Management(IAM)技術は、企業の機密情報を保護しながら、こうしたリスクを軽減して、リモート従業員を保護するのに役立ちます。
セキュアWebゲートウェイ:セキュアWebゲートウェイは、従業員と安全でないインターネットの間にあります。Webトラフィックからのリスクの高いコンテンツをフィルター処理することで、サイバー攻撃を阻止してデータ損失を防止します。たとえば、Web経由でデータを平文で送信する暗号化されていないHTTP Webサイトを従業員が訪問するのを阻止することができます。また、リスクの高い行為や不正なユーザーの行為をブロックすることもできます。セキュアWebゲートウェイは、オンプレミス環境とリモート環境の両方で仕事をする従業員を保護できます。
セキュアWebゲートウェイは、悪意のあるWebサイトをブロックするDNS フィルタリングまたはURLフィルタリング、エンドポイントの侵害を防止するマルウェア対策、データ漏洩を検出するデータ損失防止、およびその他の形態の脅威防止を使用します。たとえば、Cloudflare Gatewayは社員のエンドポイントを悪意のあるJavaScriptから保護するためにブラウザー分離を使用しています。
アクセス制御:アクセス制御ソリューションは、システムやデータへのユーザーのアクセスを追跡および管理することで、データ漏えいを防止します。アクセス制御ソリューションを実装することにより、従業員が会社のシステムに過剰にアクセスしないようにし、不正なユーザーがシステムにアクセスできないようにします。
シングルサインオン(SSO):リモート従業員は、デバイスにローカルインストールされているアプリケーションではなくSaaSアプリケーションに依存することが多く、ブラウザーを介してそうしたアプリケーションにアクセスします。しかし、そうした各アプリケーションに個別にログインすることは、従業員に弱いパスワードを使用させる誘因になり、ITチームがユーザーアクセスを管理するのを困難にします。SSOにより、従業員は1つのログイン画面にてすべてのSaaSアプリケーションに一度でサインインすることができます。これにより、サインインが1箇所でのみ行われるため、パスワードルールの適用が容易になり、必要に応じて、ITチームは1つの地点からアプリケーションのアクセスを追加または削除することができるようになります。
多要素認証(MFA):リモートワークの場合は、従業員の身元をオフィスでの物理的な入退室管理にて確認できないため、リモートワークセキュリティポリシーにとって強力なユーザーの認証は不可欠です。最強のパスワードでさえ侵害される可能性がありますが、MFAを使用することにより、攻撃者が従業員のパスワードを不正に入手した場合でも、アカウント侵害の脅威を軽減することができます。パスワードに加えて少なくとももう1つの形態の認証を要求することで、MFAは、攻撃者がアカウントを制御下に置くために、1つの方法ではなく2つ以上の異なる方法を使用しないとユーザーを侵害できないようにします。この追加の手順により、攻撃が発生する可能性がはるかに低くなります。
たとえば、ボブが会社のメールアカウントにログインするのに、パスワードと電子キーフォブからのコードの両方を入力する必要がある場合、攻撃者は、ボブのアカウントを侵害するには、ボブのパスワードを電子的に盗み、物理的にキーフォブを盗まなければなりません。そうした攻撃が成功する可能性は低いです。
Cloudflare Zero Trustは、リモートチームの保護を支援するために構築されたプラットフォームです。Cloudflare Zero Trustは、オンプレミス型アプリケーションの場合でも、Cloudflareのグローバルエッジネットワークを内部アプリケーションの前に配置します。Cloudflare Zero Trustにより、会社はZero Trustセキュリティを実装して、データを保護してユーザーが不正アクセスできないようにすることができます。
Cloudflare Gatewayは、Cloudflare Zero Trustプロダクトスイートの一部でもあります。Cloudflare Gatewayは、インターネットトラフィックの可視性を確保して、DNSフィルタリングを使用してリスクの高いWebサイトや禁止されているWebサイトをフィルター処理し、リモートブラウザ分離を使用してブラウザ内で悪意のあるコードが実行されるのを防止します。Cloudflare GatewayとCloudflare Zero Trustはどちらも、これらすべてのことをパフォーマンスに影響を与えることなく行えるように構築されたネットワークセキュリティソリューションです。
リモートワーク対応の従業員はITチームが直接管理できないため、デバイスが脆弱になる可能性があります。さらに、ユーザーの本人確認が難しくなり、フィッシングやクレデンシャルスタッフィングなどのさまざまなアカウント乗っ取り攻撃のリスクが高まります。特に、従業員が公衆のWi-Fiや脆弱なパスワードが設定されている家庭用ネットワークを使用している場合、安全でないネットワークを介したデータ送信もリスクとなります。
組織は、IDおよびアクセス管理(IAM)技術を導入することで、これらのリスクを軽減できます。この技術には、セキュアWebゲートウェイ、アクセス制御ソリューション、シングルサインオン(SSO)機能、および多要素認証(MFA)が含まれます。
セキュアWebゲートウェイは、従業員とインターネットの間に入ってWebトラフィックから有害なコンテンツをフィルタリングして、サイバー脅威やデータ漏洩を防ぐ役割を果たしますまた、従業員がリスクのあるオンライン行動を取ることを防ぐ役割も果たします。これらのゲートウェイは、ドメインネームシステム(DNS)フィルタリング、URLフィルタリング、マルウェア対策、データ損失防止などの技術を使用して、社内勤務およびリモート勤務の従業員を保護します。
リモートワークでは、従業員がオフィスにいないため、本人確認を物理的に行うことができず、強力なユーザー認証が不可欠です。多要素認証(MFA)を導入していれば、万が一攻撃者が従業員のパスワードを取得した場合でもアカウントの侵害リスクを大幅に軽減し、不正アクセスの成功率を大幅に下げることができます。
SSOは、さまざまなクラウドベースのアプリケーションを頻繁に使用するリモートワーカーのアクセスを効率化します。従業員は複数のパスワードを記憶する代わりに、1つの画面からすべてのアプリケーションにログインできます。これにより、IT部門はパスワード管理のルールを徹底しやすくなり、従業員のアプリへのアクセス権の管理も簡単になります。
Cloudflareのゼロトラストプラットフォームは、Cloudflareのグローバルエッジネットワークを社内アプリケーションに拡張し、オンプレミスでホストされているものも含めて、リモートで働く従業員を保護するように設計されています。これにより、企業はゼロトラストセキュリティモデルを採用し、場所に関係なく、いかなるユーザーも機密データに不正にアクセスできないようにすることができます。
Cloudflare Gatewayは、Cloudflare Zero Trust製品群の中核を成す存在です。インターネットトラフィックの可視性を提供し、DNSフィルタリングで危険または禁止されているWebサイトをブロックし、リモートブラウザ分離を用いて、Webブラウザ経由で侵入する悪意のあるコードから従業員のデバイスを保護します。これらの機能は、パフォーマンスを損なうことなく提供されます。
利用開始
アクセス管理について
ゼロトラストについて
VPNリソース
用語集