アフター・コロナのIT利活用のあり方　セミナーレポート

新型コロナウイルス禍により、これまでの生活様式が一変し、ワークスタイルも大きく変貌しています。
リモートワーク（テレワーク）やWeb会議、オンライン営業などを、新型コロナウイルスの影響で導入した企業は多いですが、これらは新型コロナウイルス収束後も「ニューノーマル」として定着するだろうという見方が強いです。

こうした背景を受け、アイネスでは2020年7月16日（木）にウェビナー「アフター・コロナのIT利活用のあり方」を開催しました。

本記事では、当日の講演内容についてポイントを絞ってご紹介します。

1.【セッション1】アフター・コロナのIT利活用～ゼロトラストネットワークの視点から～

2.【セッション2】ゼロトラストネットワークのアイデンティティ管理

【セッション1】アフター・コロナのIT利活用～ゼロトラストネットワークの視点から～

【講師・学校紹介】
情報セキュリティ大学院大学　情報セキュリティ研究科　大久保隆夫教授。
脅威分析研究会SIGSTA幹事。前職では、株式会社富士通研究所で主にセキュリティに関する研究に取り組む。「イラスト図解式この一冊で全部わかるセキュリティの基本」（SBクリエイティブ）共著。

情報セキュリティ大学院大学は、2004年に開学して以来、産業界・官公庁へ多くのセキュリティ人材を輩出してきました。アイネスでは、2015年から社員を派遣し、高度な人材育成・体制強化に取り組んできました。また、アイネス総合研究所では産学連携を積極的に推進し、より安心・安全な社会を実現するための共同研究を行っています。

コロナにより急増したテレワークやオンライン会議の課題と今後

冒頭で大久保氏は、新型コロナウイルス感染の影響で、世の中全体の動きはオンライン化の流れになっていると述べました。実際に、同校の授業も4月から遠隔にて実施しており、教員も在宅勤務に切り替わっているといいます。
ただ、「セキュリティの観点から問題はないのか」という観点があり、「信頼できない（ゼロトラスト）ネットワーク」という概念が出てきたといいます。

内閣府が6月21日公表した新型コロナウイルスの感染拡大に伴う生活意識や行動の変化に関する調査結果によれば、全国で34.6％が、東京23区では55.5％がテレワークを経験したといいます。別の調査では9割以上がテレワークを導入したともいわれており、多くの企業が新型コロナウイルスの影響でテレワークを実施した実態が浮かび上がっています。

Web会議に関しては、J.D.POWERの調査結果が引用され、日本では2020年2月以降によくWeb会議を行うようになったと回答した企業が61％おり、十分な準備ができないままテレワークに踏み切ったのではないかと推察しました。

準備が不十分で導入されたテレワークで想定される問題点

準備が不十分な状態でのテレワーク導入において想定される問題点として、次のようなものが挙げられました。

■社内システムへの接続
・認証：個人所有のPCは信頼できるか？
・検疫：マルウェアに感染の危険
・機密情報へのアクセス：持ち出しによる情報漏えい、不正アクセス

■オンライン会議
・認証
・暗号化
・サービス妨害攻撃　など

また、Web会議でよく利用される「Zoom」においても次のような問題があるといいます。

・Zoom bombing
・暗号化が脆弱
・当初はパスワードなしでもアクセス可能→後に変更
・脆弱性→アップデート
・アクセス集中による性能障害

「Zoom bombing」とは、Zoomの画面共有機能やチャットを使い、不適切な画像を送りつける攻撃のことです。
同校でも、オンライン授業の実施方法としてZoomを採用したそうでが、上記のような問題を抱えており、学生にプロフィール欄への氏名と顔写真の掲載を義務付けるなどで対応していたそうです。

信頼できない（ゼロトラスト）ネットワークの前提に基づいた、新しい企業のIT利活用の今後

新型コロナウイルスが収束した後もテレワークやWeb会議は残るであろうことを考えると、従来のイントラネットとインターネットの境界設定（ファイアウォール、IDS/IPS等による防護）は、境界の消失により意味をなさなくなるため、新しい概念に基づく体制・システムの再構築が必要になると大久保氏は主張しました。

そこで、最近、注目されているのが「ゼロトラストネットワーク」だといいます。
ゼロトラストネットワークとは、世の中に「信頼できるネットワークがある」という前提を置かないセキュリティモデルで、2010年頃に社内ネットワークを起点とした重大なセキュリティ侵害や情報漏えいが多発したこと受けて出てきた概念だといいます。
その後、Googleがゼロトラストモデルによるサービス「BeyondCorp」をリリースし、2020年2月には米国の標準化機構であるNISTが「SP800-207 Zoro Trust Architecture ドラフト2nd edition」をリリースしたそうです。

つづいて、従来モデルとゼロトラストモデルの違いについて紹介があり、BeyondCorpの特徴の紹介や、ゼロトラストモデルの効用、ゼロトラストモデルの課題と展望について解説され、セッション1は終了しました。

【セッション2】ゼロトラストネットワークのアイデンティティ管理

つづいて、セッション2では、当社ITソリューション本部　運用サービス第一部　小阪聡平による「ゼロトラストネットワークのアイデンティティ管理」の講演を行いました。

冒頭で、アイネスが考える「昨今のIT環境の急激な変化」として、以下の3点が紹介されました。

■昨今のIT環境の急激な変化
・テレワークの導入
・利用デバイスの増加
・クラウドサービスの増加

テレワークの導入

新型コロナウイルス感染拡大前の集計だと断った上で、総務省の「通信利用動向調査（令和元年）」のデータを引用し、テレワークの導入効果についての解答が「非常に効果があった（25.9％）」「ある程度効果があった（61.3％）」を合わせて87％以上が高価を実感していると紹介し、コロナ収束後もニューノーマルとしてテレワークが定着するだろうと推測しました。

■テレワークの導入
・VPNをフル活用
・情報やアプリケーションにさまざまなロケーションからアクセス
※新型コロナウイルス禍の影響で準備不足のままで見切り発車も…社内ルールやセキュリティポリシーの更新をしていない。
※VPN接続環境のスペック不足、維持管理コストの増大が顕在化…もともと、VPNはオフィスで仕事をすることが前提で一部のテレワーク勤務者を想定して準備した環境。8割方の従業員がテレワークを行うことは想定されていなかった。

利用デバイスの増加

「利用デバイスの増加」については、IPAの「2016年度中小企業における情報セキュリティ対策の実態調査‐調査報告書‐」のデータを引用し、私有端末の業務理用について39.0％が利用を認めている実態が紹介されました。

■利用デバイスの増加
・スマートデバイスの活用
・BYOD（Bring your own device）の利用
※統一されたセキュリティポリシーがないまま業務利用も。
→会社のPCでは「パスワード認証」「多要素認証」「マルウェア対策」がなされていたが、PC以外の端末のセキュリティが利用者に依存してしまう。

クラウドサービスの増加

「クラウドサービスの増加」については、先述の「通信利用動向調査（令和元年）」のデータを引用し、クラウドサービスの利用効果についての解答が「非常に効果があった（33.6％）」「ある程度効果があった（51.9％）」を合わせて85％以上が高価を実感していると紹介し、テレワーク同様、コロナ収束後も利用が拡大していくのではないかと述べました。

■クラウドサービスの増加
・サービス導入が容易
・初期投資もメンテナンスコストも削減
※すべてのアクセスはVPNで社内を一度経由する必要が。
※ID/PWの管理対象が増加、ユーザーにもIT部門にも負担に。

これら3つの影響により「アクセス元」と「アクセス先」の双方が増え、関係性が劇的に複雑化したと推察しました。この結果、ゼロトラストネットワークが求められるようになったといいます。

そして、ゼロトラストネットワークをどのようにして社内に組み込むかは、ベンダーによるが、ポイントになるのは「“信頼できる領域”と“信頼できない領域”の境界線」を「認証情報（アイデンティティ）」へシフトさせることにあるとの解説がありました。

具体的に利用できるサービスとしてIDaaS：Okta（オクタ）が紹介され、主要機能、導入メリットなどが解説されセッション2は終了しました。

今回、ご紹介しましたセミナー内容や各製品について、より詳しい内容をお知りになりたい方は、ぜひ下記からお問い合わせください。

※ 本文に掲載されている会社名・団体名および製品名は各社または団体等の商標または登録商標です。