Identity and Access Management(IAM)ソリューションは、従業員がオフィスに出社しなくても、会社のデータを保護します。
この記事を読み終えると、以下のことができるようになります。
関連コンテンツ
是非、Cloudflareが毎月お届けする「theNET」を購読して、インターネットで最も人気のある洞察をまとめた情報を入手してください!
記事のリンクをコピーする
オンプレミス環境にて従業員がオフィスで仕事をする場合、通常、社内のITチームがネットワークセキュリティおよびネットワークにアクセスするのに使用されるデバイスを管理しています。また、物理的なセキュリティを確保するチームが、オフィスに出入りできる人と内部インフラストラクチャにアクセスできる人を管理しています。
しかし、クラウドコンピューティングの普及に伴い、分散型労働力はますます一般的になっています。クラウドは、内部ネットワークではなくインターネットを介したアクセスであるため、場所に依存しません。会社がクラウドを使用する場合、チームはどこにいても仕事ができます。「リモートワーク」は、クラウドに移行していない企業にとっても1つの選択肢になってきています。多くの企業は、インターネット経由またはVPN経由で、リモートでデスクトップにアクセスすることを許可しています。
多くの場合、リモートワークは企業が効率性と俊敏性を維持するのに役立ちますが、社内の機密情報を保護するにあたって多くの課題をもたらす場合もあります。次のようないくつかの深刻な課題があります:
従業員のエンドポイントデバイスが脆弱である可能性があります。ITチームは、リモート従業員が使用するノートパソコン、デスクトップPC、その他のエンドポイントデバイスを直接管理できません。多くの場合、これらは従業員が所有する個人用デバイスです。
データへのアクセスはID確認に依存するため、攻撃者はさまざまなアカウント乗っ取り攻撃を使用してなりすますことができます。フィッシング攻撃、クレデンシャルスタッフィング攻撃、総当たりパスワード攻撃は、どれもよく知られているものであり、従業員のアカウントを侵害する可能性があります。
データが安全でないネットワークを通過する可能があります。インターネットを使用するので、さまざまなネットワーク接続をデータが通過する際に、攻撃者が転送中のデータを傍受する危険性があります。この危険性が増すのは、リモート従業員が安全でない脆弱なWi-Fiネットワークを使用するときです。たとえば、リモート従業員が無料Wi-Fiを提供する喫茶店でノートパソコンを使って仕事をする場合や自宅のWi-Fiネットワークのパスワードが脆弱である場合です。
多くのIdentity and Access Management(IAM)技術は、企業の機密情報を保護しながら、こうしたリスクを軽減して、リモート従業員を保護するのに役立ちます。
セキュアWebゲートウェイ:セキュアWebゲートウェイは、従業員と安全でないインターネットの間にあります。Webトラフィックからのリスクの高いコンテンツをフィルター処理することで、サイバー攻撃を阻止してデータ損失を防止します。たとえば、Web経由でデータを平文で送信する暗号化されていないHTTP Webサイトを従業員が訪問するのを阻止することができます。また、リスクの高い行為や不正なユーザーの行為をブロックすることもできます。セキュアWebゲートウェイは、オンプレミス環境とリモート環境の両方で仕事をする従業員を保護できます。
セキュアWebゲートウェイは、悪意のあるWebサイトをブロックするDNS フィルタリングまたはURLフィルタリング、エンドポイントの侵害を防止するマルウェア対策、データ漏洩を検出するデータ損失防止、およびその他の形態の脅威防止を使用します。たとえば、Cloudflare Gatewayは社員のエンドポイントを悪意のあるJavaScriptから保護するためにブラウザー分離を使用しています。
アクセス制御:アクセス制御ソリューションは、システムやデータへのユーザーのアクセスを追跡および管理することで、データ漏えいを防止します。アクセス制御ソリューションを実装することにより、従業員が会社のシステムに過剰にアクセスしないようにし、不正なユーザーがシステムにアクセスできないようにします。
シングルサインオン(SSO):リモート従業員は、デバイスにローカルインストールされているアプリケーションではなくSaaSアプリケーションに依存することが多く、ブラウザーを介してそうしたアプリケーションにアクセスします。しかし、そうした各アプリケーションに個別にログインすることは、従業員に弱いパスワードを使用させる誘因になり、ITチームがユーザーアクセスを管理するのを困難にします。SSOにより、従業員は1つのログイン画面にてすべてのSaaSアプリケーションに一度でサインインすることができます。これにより、サインインが1箇所でのみ行われるため、パスワードルールの適用が容易になり、必要に応じて、ITチームは1つの地点からアプリケーションのアクセスを追加または削除することができるようになります。
多要素認証(MFA):リモートワークの場合は、従業員の身元をオフィスでの物理的な入退室管理にて確認できないため、リモートワークセキュリティポリシーにとって強力なユーザーの認証は不可欠です。最強のパスワードでさえ侵害される可能性がありますが、MFAを使用することにより、攻撃者が従業員のパスワードを不正に入手した場合でも、アカウント侵害の脅威を軽減することができます。パスワードに加えて少なくとももう1つの形態の認証を要求することで、MFAは、攻撃者がアカウントを制御下に置くために、1つの方法ではなく2つ以上の異なる方法を使用しないとユーザーを侵害できないようにします。この追加の手順により、攻撃が発生する可能性がはるかに低くなります。
たとえば、ボブが会社のメールアカウントにログインするのに、パスワードと電子キーフォブからのコードの両方を入力する必要がある場合、攻撃者は、ボブのアカウントを侵害するには、ボブのパスワードを電子的に盗み、物理的にキーフォブを盗まなければなりません。そうした攻撃が成功する可能性は低いです。
Cloudflare Zero Trustは、リモートチームの保護を支援するために構築されたプラットフォームです。Cloudflare Zero Trustは、オンプレミス型アプリケーションの場合でも、Cloudflareのグローバルエッジネットワークを内部アプリケーションの前に配置します。Cloudflare Zero Trustにより、会社はZero Trustセキュリティを実装して、データを保護してユーザーが不正アクセスできないようにすることができます。
Cloudflare Gatewayは、Cloudflare Zero Trustプロダクトスイートの一部でもあります。Cloudflare Gatewayは、インターネットトラフィックの可視性を確保して、DNSフィルタリングを使用してリスクの高いWebサイトや禁止されているWebサイトをフィルター処理し、リモートブラウザ分離を使用してブラウザ内で悪意のあるコードが実行されるのを防止します。Cloudflare GatewayとCloudflare Zero Trustはどちらも、これらすべてのことをパフォーマンスに影響を与えることなく行えるように構築されたネットワークセキュリティソリューションです。