働き方の変化と働く場所の多様化は、波及的にさまざまな変化をもたらしている。企業のITセキュリティもそのひとつだ。従来型の対策では、新しいリスクに対処しきれない。情報という資産を守るため”どこに着目し、何をすればいいのか”、レノボ・ジャパンで、ワークスタイル・エバンジェリストとして、働き方の市場調査やハイブリッドワーク・スタートガイドなどの発行を行いながら、製品企画の立場からクライアントパソコンのセキュリティを担当している、元嶋亮太氏が解説する。
高まるセキュリティリスクの要因は無意識にあり
新幹線の座席でノートパソコンを広げ、メールをチェックする。フリーWi-Fiのあるカフェでオンラインミーティングに参加する。今の日本では、こうしたシーンは珍しくない。
「新型コロナウイルスの流行により、テレワークが普及しました。仕事がオフィスから自宅へと持ち出されたのです。そしてこの1年ほどで、オフィスでも自宅でも仕事をするというハイブリッドな働き方、さらに、コワーキングスペースや電話ブース型のスペースの活用も増えています」
レノボ・ジャパンで法人向けThinkPadの企画を担当し、ビジネスパーソンの働き方を調査・分析する元嶋亮太氏は働く場所の自由度が上がった結果、新たに注意しなければならないことも出てきていると指摘する。
「仕事に使われるパソコンがオフィスの外にも存在するようになり、Windows Updateはされているか、ブラウザは最新バージョンになっているかといった管理が以前よりも難しくなりました」
社内ネットワークにつながるパソコンは一様に最新に保たれているだろうか。不正アクセスによる情報漏えいというと、高度な技術で未知の脆弱(ぜいじゃく)性を突かれるといった印象があるが、「実際は、既知の脆弱(ぜいじゃく)性を悪用されるケースが多い印象です。セキュリティホールがあることがわかっているのに、穴をふさいでいないがゆえに、そこから攻撃されています」と元嶋氏は指摘する。また、パソコンが使われる場所の多様化は、使われるネットワークの多様化を意味する。
「社内ネットワークという概念でゾーン分けをするセキュリティ対策の有効性がなくなりつつあります。かつては、社内ネットワークとインターネットはファイアウォールやゲートウェイで隔てられており、データは社内からしかアクセスできない社内のファイルサーバーに置いておけば“安全”と言われてきました。しかし今は、自宅や公衆回線など社外からもファイルサーバーにアクセスできるように設定されていますし、データそのものが社外のクラウドに置かれていることもあります」
それでも、従業員の振る舞いはなかなか変わらない。コワーキングスペースでも、まるでオフィスに居るかのように画面をロックせずにトイレに行ってしまう、誰にのぞき見られても不思議ではない新幹線の中でも、プライバシーフィルターを使わないといったケースは珍しくない。
「プライバシーフィルターの利用などは、コロナ禍を経てハイブリッドワークが一般化しつつある今日でもあまり増えていません。おそらく、のぞき見されることで起こりうるリスクを想像できないのでしょう。それが、IT部門など一部のリテラシーの高い方を除いた一般的な感覚だと思います」と元嶋氏は言う。
リスクは増えているのに、ガードは下がってしまっている。こうした状況を受けて、企業はどのような対策を採ればいいのだろうか。
運用ルールの強化よりも情報資産を守るための‘‘仕組み’‘で回避
すぐに思い浮かぶのは、カフェでの仕事や公衆ネットワークの利用禁止、プライバシーフィルターの義務化といった運用ルールの強化だ。しかし元嶋氏は「厳しい運用ルールを徹底させるのは難しい」と指摘する。自由度の高い働き方を保つためにも、何を禁じるかよりも前に、“一番したいことは何か”を明確にした上で対策を採るべきだ。
「ほとんどのパソコンにはウイルス対策ソフトがインストールされているはずです。ではなぜ、ウイルス対策ソフトをインストールしているのでしょうか?最もしたいことは、ウイルス感染を避けることではなく、仮に感染してしまっても情報資産を守ることにあるはずです。新たな対策も、この目的のために講じるべきです」
働き方の自由度をできるだけ損なわずに情報資産をしっかりと守るには、それに適したテクノロジーの活用が有効だ。ウイルス対策ソフトもテクノロジーのひとつだが、外出先でのパソコン利用が増えた今日、物理的な情報漏えいや改ざんへの対策が必要となる。
「ウイルス対策ソフトは、WindowsなどのOSの上で動いています。したがって、OSより上の層の攻撃には有効です。しかし、ファームウェアなどOSより下の層の攻撃は気づくことが難しく、防御は簡単ではありません」
したがって、ファームウェアレベルで情報資産を守る仕組みが必要だ。たとえばレノボのThinkPadでは、Chain of Trust(信頼の鎖)の考え方でパソコンを起動するたびにファームウェアが改ざんされていないかをチェックし、改ざんされていた場合には改ざん前の状態に回復できる『自己回復ファームウェア』が備わっている。
また、攻撃はネットワーク経由で襲いかかってくるとは限らない。使用者に気づかれないようにパソコン本体を開けて部品の入れ替えや改ざんが行われることも考えられる。パソコンの裏蓋などを開けて内部に物理的なアクセスがあった場合に、管理者に対してアラートを発する仕組みが整っているパソコンであればそうした事態を防げる。
「『Tamper Detection(タンパーディテクション)』機能を備えたThinkPadはその一例です。具体的には、物理的なアクセスがあった後は起動時に管理者パスワードを入力するまで起動できません。こうなると、使用者は管理者に連絡を入れるはずです」
その連絡を受けて、管理者はログを解析することで、どんな改ざんが行われたかを確認できる。仕組みによって回避できるリスクはもうひとつある。カフェや新幹線の中など不特定多数の人がいる場所で、画面をロックせずに離席してしまい、気づかないうちにのぞき見されて情報が流出してしまうといった、毎日の使い方に付随するものだ。
「モデルによって仕組みは異なりますが、ThinkPadであれば、多くのモデルでカメラやマイクで使用者がパソコンの目の前にいるかを検知することが可能なため、離席したら自動的にロックをかけられます」
ThinkPad X1 Carbonなどの一部モデルの高性能カメラ搭載モデルでは、カメラ機能との連携により、離席時には自動的にロックを行い、使用者が戻ってきたタイミングで自動的に顔認証とロック解除までをゼロタッチで実現するテクノロジーも備わっているという。
後付けできないからこそ、初期設定での仕組み化が重要なハードウェア
離席したらロックし戻ってきたら解除するというこの仕組みの裏側として、実はIT部門のお客さまからも似たような課題の相談を受けていたという。
「IT部門の皆さまは、ロックせずに離席することのリスクをよくご存じです。だから使用者にもそれを徹底してほしいと考えるのですが、使用者はなかなかリスクを実感できませんし、手動でのロックは利便性を低下させます。であれば、仕組みで解決するのが一番だと考えました」
企業が使用者任せにせず、仕組みで解決するというのは『自己回復ファームウェア』『Tamper Detection(タンパーディテクション)』とも共通したレノボならではポリシーだ。
「ビルトイン・セキュリティというコンセプトのもと、できるだけパソコンの使用者の手を煩わせないよう、仕組みとしてハードウェアに組み込んでいます」
実は今回紹介したような、OSよりも下の階層で力を発揮する『自己回復ファームウェア』『Tamper Detection(タンパーディテクション)』そして『人物挙動検知』のような機能は、ウイルス対策ソフトとは違い、パソコン購入後に追加はできない。より下の階層やハードウェアと切っても切り離せないからだ。
「パソコンの購入・リプレイス時にはさまざまな条件を比較し、検討されると思います。そのときに、ハードウェアとソフトウェアの組み合わせでしかとれないセキュリティ対策もあることを思い出していただければと思います」
働き方が多様化する今、仕事に使うパソコンにも進化が求められている。
<PR>
問い合わせはこちら