テレワーク環境を迅速にセキュアに

Apr 23, 2020
1 minutes
... views

昨今のビジネス需要として在宅勤務などテレワークの必要性が急速に高まっています。テレワーク環境を整備することは事業継続性(BCP)や働き方改革の観点からも重要な取り組みです。

一方でリモート環境から社内システム(データセンターやパブリッククラウドなど)やインターネット(SaaSを含む)へアクセスさせる際、必ず検討したいのは「セキュリティ対策」です。例えば、企業のSaaS(Office365等)へアクセスさせるという場合、モバイル端末からインターネット経由で直接利用できますが、すべてのインターネットアクセスを許可することになるため、業務内/業務外利用の判別や制限ができなかったり、サイバー攻撃による直接的なマルウェア感染のリスクも高まります。また、社内システムへのアクセスには一般的にリモートVPN接続が利用されますが、リスクの高いモバイル端末が社内ネットワークに接続されると、マルウェアの拡散や情報漏洩などのリスクも高くなります。

本記事ではテレワーク環境を迅速にセキュアに整備するためのポイントやその方法について解説します。

テレワーク環境の整備における課題

    1. 迅速に柔軟なテレワーク環境を整備
      急きょ必要となるケースが多いため、新たに機器を手配して導入していたのでは時間がかかる。迅速に柔軟なテレワーク環境を整備する必要がある。
    2. セキュリティリスクの排除
      社内業務から社外業務に切り替えた場合、リモート環境のアクセスコントロールやセキュリティ保護が難しくなる。また、業務外利用の判別/制限やマルウェア感染等のリスクにも備える必要がある。
    3. リモートユーザーのサポート態勢
      多くのリモートユーザーに対するサポート業務が中心になる。リモートメンテナンスが可能なサポート態勢の整備が必要になる。

テレワーク環境整備のポイント

1 既設資産とサービスの活用

    1. 既設資産の活用
      テレワークに必要となる以下の要素を既設資産で活用可能かどうかを確認する。
      ・モバイル端末
      ・WiFi/テザリングなどのインターネット接続環境
      ・リモートVPN機能(リモートVPN機器、ファイアウォールなど)
      ・セキュリティ機能(ゲートウェイ、エンドポイント、BYOD対応など)
      ・リモートメンテナンス機能(リモートサポート、社内ネットワーク接続など)
    2. サービスの活用
      既設資産で足りないものは、すぐに利用可能で必要に応じた拡張も柔軟な「サービス型のソリューション」を検討する。

2 セキュリティ機能の配備

    1. 業務アプリケーションの利用状況の把握と制御
      企業としてテレワークを効果的に実施するため、SaaSを含む業務アプリケーションやインターネットアクセスの利用状況の把握と適切な制御(業務外アプリケーションの利用制限等)ができる仕組みを配備する。
      ・次世代ファイアウォール機能の利用(アプリケーションの識別、利用状況の可視化と制御)
    2. 外部の脅威への対応
      リモート環境では直接インターネットへ接続可能なため、サイバー攻撃などの外部の脅威に対応できる基盤を配備する。
      ・セキュリティゲートウェイ経由の安全な接続
      (次世代ファイアウォール+VPN接続、クラウドサービス型ゲートウェイによるセキュリティ対応)
      ・高度なエンドポイントセキュリティ機能(脅威防御、継続的なインシデント検知と対応)

 

3 リモートサポート環境の整備

    1. モバイル端末との接続性の確保
      リモートサポートのためにモバイル端末をメンテナンスできる環境を整備する。
      ・リモートVPN接続による社内ネットワークへの接続環境
      ・レスポンス機能(隔離や復旧など)を持つクラウド管理型のソフトウェアの導入
    2. (一時的な)BYOD環境の整備
      会社資産のモバイル端末の障害時や会社端末が割り当て不可なケースでは、部分的なBYOD接続環境を確保する。
      ・エージェント型VPN機能の導入(制限を設けた社内ネットワークへの接続)
      ・エージェントレス型VPN機能の導入(一部の社内アプリケーションへのアクセス)    

弊社ソリューションによるテレワーク環境の構成例

弊社ソリューションによるテレワーク環境の構成例(図1)を示します。

次世代ファイアウォールのプラットフォームを利用したネットワークレイヤーのテレワーク構成例です。社内環境に既に次世代ファイアウォール(PAシリーズ)がある場合、GlobalProtect(以降「GP」と称す)機能を利用することで、リモートVPN接続を収容して次世代ファイアウォールの高度なセキュリティ機能とともに安全にアクセスさせることができます。テレワーク用のモバイル端末にGP App(エージェント)をインストールして初期セットアップをすれば、毎回ID/Passwordを入力しなくても自動的にリモートVPNを確立することができます。社内ネットワークに自動接続させることで、ユーザーへのリモートサポートも実現しやすくなります。また、BYODなどのエージェントがインストールできない環境では、GPのClientless VPN機能を利用して、エージェントレスで特定の社内アプリケーションに接続させることもできます。

もし、次世代ファイアウォールが無い場合やリソースが不足している場合などは、サービス型の次世代ファイアウォール「Prisma Access」を利用することで迅速に同様のVPN機能(GP)やセキュリティ機能を利用することができます。また、データセンター(社内サーバー群)ともネットワーク的に接続させることができますので、モバイル端末がPrisma Access経由で社内システムへセキュアにアクセスすることもできます。Prisma Accessの詳細については、こちらのホワイトペーパーでご紹介していますので、ご参照ください。

図1. 次世代ファイアウォール(PAシリーズ)とPrisma Accessによるテレワーク環境の整備
図1. 次世代ファイアウォール(PAシリーズ)とPrisma Accessによるテレワーク環境の整備

Cortex XDR Pro(以降「XDR」と称す)は、モバイル端末に対して高度な保護とインシデントの検知/対応までを統合的に提供するクラウド管理型のエンドポイント保護ソリューションです。(図2)

XDRには従来のウイルス対策ソフトには提供されていない、エクスプロイト防御や機械学習、脅威インテリジェンス(WildFire)との連携によるリアルタイム解析、振る舞い検知などの機能をフル活用することで、サイバー攻撃に対する高度な保護を提供します。これにより、そもそも脅威が侵入しにくい環境をモバイル端末に提供できます。またクラウドによりエンドポイントの脅威アクティビティと次世代ファイアウォールやPrisma Accessから得られるネットワークアクティビティをリアルタイムに相関的に調査できるため、万が一のインシデント発生時も即座にこれを検知し対応(レスポンス)可能な基盤を提供します。レスポンスの機能として、モバイル端末のネットワーク隔離やファイルの調査や削除、不審なプロセスの停止などを行うことができ、これを遠隔(クラウド管理コンソール)から実施できます。

これらの機能は、クラウド管理コンソールから生成したインストーラをモバイル端末にインストールするだけで、すぐに提供することができます。

図2. Cortex XDRによるモバイル端末の保護とインシデントの検知/対応
図2. Cortex XDRによるモバイル端末の保護とインシデントの検知/対応

万全なテレワーク環境を整備するために

      • テレワーク環境を迅速に
        既設の次世代ファイアウォールやPrisma Access、XDRを利用すると、迅速にテレワーク環境を展開できます。テレワーク環境の保護を開始するまでの時間が短縮されることで、組織は事業継続性を維持しつつ、どこにいても社内と同等のテレワーク環境を従業員に提供することができます。
      • テレワーク環境をセキュアに
        次世代ファイアウォールやPrisma Accessを利用することで、あらゆる場所で一貫したネットワーク保護を提供します。また、XDRによりサイバー攻撃に対する妥協のない防御を実現します。 広範囲にわたる自動化された保護が、既知および未知のマルウェア、エクスプロイト、認証情報の盗難、コマンド アンド コントロールなどのさまざまな攻撃を阻止し、万が一のインシデントも未然に検知し対応できます。
      • テレワーク環境をサポーティブに
        自動的なリモートVPN接続による社内ネットワークとの接続性やクラウド管理のレスポンス機能を利用することによって、テレワークを実施する従業員への適切なリモートサポートを提供することができます。柔軟性、俊敏性、拡張性のあるプラットフォームによって、テレワーク環境を協力に支援します。

Subscribe to the Blog!

Sign up to receive must-read articles, Playbooks of the Week, new feature announcements, and more.