セキュリティー対策に苦慮する企業。アクセス制御における次のリスクとは?
近年、人々の働き方と働く場所が大きく変わるなか、その変化に情報セキュリティー対策が追いついていない。米メリーランドに本社を置くテック企業のBrivoが2023年に発表したセキュリティー動向レポートは、ハイブリッド勤務で企業が直面する新たなリスクとその緩和策を取り上げている。
Facility, Technology
ワークプレイスを取り巻く環境の激変を受けて、テクノロジーを利用したさまざまなソリューションが市場に出回るようになり、情報が氾濫している。どの技術に注目すべきか、何に投資すべきか、採用する側としては迷うところだろう。
就業環境の変化により、セキュリティー上のリスクも様相が変わってきた。アクセス制御の施策とセキュリティー対策に本腰を入れて取り組まなければ、組織は無防備な状態にさらされることになる。
BrivoはWORKTECH Academyとの協業により、社員がオフィス出社、在宅、あるいは社外の他の場所で日常的に仕事をするというハイブリッド勤務時代における新たなリスクと課題を洗い出し、最新レポート(‘Shifting Boundaries: Managing Security in the Age of Boundaryless Working’)にまとめた。以下、その抜粋をご紹介する。
セキュリティー対策でハイブリッド勤務はなぜ課題となるのか?
ハイブリッド勤務モデルの普及により働く人々の公私の境界線が曖昧になっている今、企業はこの勤務体制がセキュリティーにもたらす影響を評価し、想定外の事態が起きる可能性の分析を進めてきた。しかしここへきて、情報共有範囲の拡大によって数々のセキュリティー上の課題や複雑な問題を突きつけられ、認識を新たにし始めているようだ。
私生活と仕事
コロナ禍に入ると、企業各社は早急にリモートワークに切り替えるべく、セキュリティーのレベルを確かめもせず、ノートPCやIT機器などを大慌てで買い込んだ。多くの企業にとって、セキュリティーより事業継続の優先度の方がはるかに高かったのだろうが、こうした視野の狭さは危険を招く。
加えて、ハイブリッド勤務により生じる新たなセキュリティー上のリスクや問題への対策として「社員再教育」を怠る企業も多かった。つまり、スタッフが社外で仕事をする際、カフェでの公衆Wi-Fi接続や外出先でのモバイルデータ通信の利用が許可されているかどうか知らないケースや、同僚に代わって遠隔監視セキュリティーの新システムを介して会社のデータにアクセスする権限があるかどうか判断できないケースが出てくる恐れがある。
スタッフが自宅または第三の場所で(しばしば雇用者側が認識していないときに)働き、たまにオフィスに出社して仕事をする状況が続くと、会社の情報セキュリティーに対し、想定していなかったソースからの脅威が増大する。
セキュリティー専門家として米Credo Cyber Consultingを率いるアントワネット・キング氏が述べる通り、新しい働き方の世界では「個人の私生活と仕事の間に境界線がない」。そうした状況は、「以前のような管理がしっかりした環境に比べ、はるかに大きな危険をはらんでいる。今や、企業がさらされているリスクに、社員個々人のデジタル・フットプリント*¹も含まれるようになった」。
在宅勤務中の社員と同じネットワークに家族が接続すると、そのオンライン活動データが会社由来のデータと混在する。つまり、社員のオンライン活動において自宅とオフィスの境界線を引くのが難しくなり、これが新たなセキュリティー上のリスクを生む。結果として、組織を狙った巧妙なサイバー攻撃や個人を巻き込むテールゲーティング*²など、さまざまなセキュリティー侵害事案が急増しているのが現状だ。
かつて、テールゲーティングは、企業にとって重大な脅威ではなかった。オフィスビルへ来訪する人々については、ロビーに警備員が常駐していれば、社員か外部の人間かを見分けたり、顔を身分証の写真と照合して本人確認したりできるため、建物内への不正侵入が難しかった。しかし、コロナ禍でオフィス警備の大半が遠隔対応になり、パンデミック中に採用された新社員の顔を知らない警備員も出てきた。
その結果、身分証や入館証を忘れたからと人に同行を頼んで一緒に建物内に入るような不正行為が容易になり、警備チームが物理的にその場にいない場合は第2段階のチェックができない事態に陥る。
- *¹ インターネットを利用したときに残るデータ固有の痕跡。
- *² 尾行型攻撃。進入制限区域への立ち入り権限のある人の進入に乗じて当該区域に不正に立ち入る、または保安検査を通り抜ける行為など。
1日24時間アクセス可能
リモートワークの普及により、雇用市場も変化を遂げた。遠隔地からの採用が可能になり、人材プールが拡大した。多様性に富む人材、新たなスキルを持つ人材獲得の可能性が広がるメリットは大きかったものの、セキュリティー上の新たな問題が浮上した。以前のセキュリティーシステムは人間行動のパターンと規則性に依拠しており、標準モデルの確立によりシステムが異常を検知してフラグを立てるという対応ができた。
しかし、リモートワークを含むハイブリッド勤務体制では、新旧のスタッフが多拠点に散在し、不規則なスケジュールで働く。出社時間も日によって異なるから、どんな働き方を標準とするか、どんな行動をリスクと見なすかの判断が難しい。人々の行動パターンに基づく標準モデルが頼りの管理方法では対処できない予測不能の事態が発生するため、従来型のセキュリティーシステムはもはや機能しなくなった。
また、リモート/ハイブリッド勤務の導入初期には予期しえなかったセキュリティーへの波及的影響も表面化した。リモート面接を通じて、あるいは新しい働き方に完全に移行する前に採用活動を行った企業は、新たに雇った社員との間に、コロナ禍前のような対面による深い人間関係を形成できていない場合が多く、それが会社のセキュリティー体制にとってマイナスに働く可能性がある。
「今や、スタッフが『意図的な脅威』となりえる」
セキュリティーの専門家としてGlobal Insights in Professional Security(GIPS)のプリンシパルを務めるマイク・ジップス氏はこう説明する。「企業は最新のソフトウェアを導入してセキュリティーの脅威に備えているはずだ。しかし昨今、高インフレ、大量自主退職、テック企業による大規模レイオフといった現象が起きている。以前は、セキュリティーをリスクにさらすのは意図せぬ人的ミスや怠慢など偶発的な事象が主だったが、今はスタッフが『意図的な脅威』となりえる時代だ。中途採用者で会社とのつながりが希薄な場合、そこを突かれてランサムウェア、詐欺、データへの不正アクセスなどに利用される恐れがある」
「以前は、誰も企業のウェブサイトに詳細な組織図を載せたりはしなかった」と、アントワネット・キング氏。「しかし今や、社員の役職情報はLinkedInなどのプラットフォームを通じて容易に入手できるため、その情報をもとに組織図を完成させて特定の人物を標的とし、フィッシング詐欺サイトに誘い込むことも可能になった」
つまり、リモート/ハイブリッド勤務の拡大と最近の雇用不安定化を受けて、スタッフが考えるところの「行動の許容範囲」が変わり、組織内部に起因する新たな脅威が増加しているのだ。
従業員の経験──「自分は歓迎されていると社員に感じてもらうためには、スムーズな入館が非常に重要だ」
リモート/ハイブリッド勤務によるもうひとつの予期せぬ影響は、企業が「従業員の経験」を重視する傾向が強まったことだ。コロナ禍を経て、人々が自身の優先順位や会社への期待について認識を新たにするなか、企業はオフィス回帰を促し、人材の獲得力を強化し定着率を上げるべく、ワークプレイス・エクスペリエンスの向上に努めている。その一環として、建物へのスムーズなアクセス確保がある。容易かつ迅速な入館手続きにより、オフィスに復帰するスタッフや訪問者の満足度を高めようという試みだ。
入社以来、リモートワークばかりでオフィス出社の経験がない新入社員に「自分は歓迎されている」と感じてもらうためには、スムーズな入館が非常に重要だ。しかし入館手続きの迅速化、簡略化は新たな課題を生む。パスや証明書の発行をはじめとする認証プロセスは、オフィスビルの警備を危険にさらさない形で実施する必要がある。
企業にとって、入退室管理や情報漏洩防止を含むアクセス制御の対象範囲は従来と比べ拡大したが、その意義も「セキュリティーの技術的課題」から「従業員経験を向上させる鍵となる手段」へと変化し、今や組織の新たな優先事項と見なされている。アクセス制御には利便性向上という目的もあり、人事部、施設管理部、従業員体験担当のチームが合同で取り組む課題となっている。アクセス制御を専門とするベンダーは、これまで想定していなかった新しいニーズに応えていかなくてはならないだろう。
システム統合をめぐる混乱
コロナ禍でデジタルワークが推進された結果、クラウドサービスへの移行が加速し、多くの企業がセキュリティーとデータストレージ運用にクラウドベースのシステムを導入するという大きな一歩を踏み出した。企業はその結果、自社のデータに遠隔でアクセスし、セキュリティーとアクセス制御の状況を監視しながら社内の業務プロセスやセキュリティーの関連情報を容易に収集できるようになった。企業各社の動きは全体としては好ましい経過をたどっているが、SaaS(「サース」または「サーズ」:Software as a Service)モデルの採用に際し、クラウドに保存されたデータを保護する責任は誰が負うのか(サービスプロバイダーか、それとも利用者である企業か)が曖昧なまま進めてしまう場合がある。
アントワネット・キング氏はこう述べている。「クラウド環境におけるサービスプロバイダーと自社の責任範囲をそれぞれ確認し、十分に理解したうえで運用体制を整えることが肝要だ。サービスプロバイダーが、クラウド上に保存されたデータのセキュリティー対策まで引き受けてくれるとは限らない。法人向けOffice 365でも対象となるサービスは支払う料金によって異なるから、自社が使えるオプションは何か、どんな潜在リスクがあるかを意識して利用する必要がある」
それをせずに単に各種サービスをクラウドへ移行しただけでは、企業は自社の施設とオンラインプレゼンスを保護できる、完全に統合されたセキュリティーシステムの必要性を見過ごしてしまうかもしれない。
ハイブリッド勤務は、業務の時間的、地理的範囲(いつ、どこで働くか)だけでなく、従業員の行動の許容範囲までも変えてしまった。その状況に日々直面しているのが、相互接続された社内のネットワークと、セキュリティー/アクセス制御を担当する事業部門だ。地殻変動とでもいうべきこの環境の変化は、ITサービス業界のみならず、クライアント企業のセキュリティーおよびアクセス制御のニーズにも多大な影響を及ぼした。その対応策として今、新たな取り組みが始まっている。
前述のリスクの詳細情報とその緩和策については、Brivoによるレポートの完全版を参照。
- 元記事公開日:2023年12月5日。BrivoはWORKTECH Academyのコーポレート・メンバーである。
※本記事は、Worker’s Resortが提携しているWORKTECH Academyの記事「Security struggles: what are the next access control risks?」を翻訳したものです。