「情シスもテレワークしたい！」 リモート環境で仮想セキュアルームをつくるには

多くの企業にテレワークが浸透したが、高権限アカウントである特権IDを扱う情報システム部門は出社を求められることが多い。情報システム部がテレワークするとどのようなリスクがあるのか。対応策と合わせて解説する。

[大島広嵩，キーマンズネット]

　コロナ禍の影響で多くの企業にテレワークが浸透した。しかし、高権限アカウントである特権IDの操作など、セキュリティリスクの高い作業を実施する情報システム部門は、セキュアルームなどの安全な場所での作業が求められることから、いまだに出社しなければならないケースも多い。

　情報システム部がテレワークで業務することで生まれるリスクとその対応策にはどのようなものがあるのか。2023年2月14日のエンカレッジ・テクノロジの記者発表を基に紹介する。

情報システム部がテレワークするとどんなリスクがある？

　まず、エンカレッジ・テクノロジの石井進也氏（代表取締役）は以下のように語った。

　「データセンターなどのセキュアな場所には監視カメラが設置され、常に作業者は監視されます。しかし、在宅勤務は誰の監視状態にもないため、本番サーバを扱ったり、メンテナンスしたりする方たちは（セキュリティを理由に）出社して業務に携わっています」

　そういった企業でシステムにトラブルが起きると、悪天候でも鉄道が通っていなくても情報システム部は会社に駆けつけることが求められる。無理な運用を続けざるを得ないため、情報システム部の負荷は高いままになる。

　石井氏は、情報システム部が在宅からリモートで業務を滞りなく行うため「システムの中の状態だけではなくて、どういった環境で仕事をしているのか、誰が仕事をしているのかといったことをリアルタイムで監視して管理できる仕組みをつくっていきたい」と述べた。

　それでは、情報システム部がテレワークでシステム運用するとどのようなリスクが生じるのだろうか。

セキュアルームなどの物理的な囲いがなくなるリスク

　3年以上に及んだコロナ禍の他にも、地震や温暖化などによる災害リスクは増大し、業務を継続するのが難しい場面が増えた。

　同社取締役の上田 浩氏は「交通機関が利用できないような事態に重要業務を継続するには、出社を前提としたリモート保守が鍵になる」と語る。

　同氏はテレワークにはセキュリティの課題があると続ける。「オフィスでは気にしなくてもよかったことがテレワークでは課題となるため、“不適切な状態”を検出する必要がある」と語り3つの例を挙げた。

　「1つ目は、プライバシーが保てない公共の場で業務を行っていないかどうかということです。喫茶店でノートPCを開いているビジネスマンも多く見かけます。2つ目は、第三者の覗き込みがないかどうかということです。セキュアルームであれば、部外者の侵入は困難でしたが、テレワークでは、第三者の覗き込みがないということを証明することは難しいです。3つ目は、操作者に不信な行動はないかどうかという点です。セキュアルームであれば、電子機器の持ち込みなどができず、他のメンバーの目や監視カメラがあるため、不審な行動を取りにくいです」

　不特定多数が存在する状況ではPCの覗き見などが発生し、企業活動を継続する上で重要な情報を盗まれるリスクがある。

特権IDを正しく管理できないことによるリスク

　研究開発部長の山﨑正雄氏は「企業の特権ID管理の重要性に対する認識が高まっている」と語る。近年サイバー攻撃が激化しており、対策をしている企業ほど、特権ID管理の重要性に対する理解を深めているという。

　特権IDは、システムの設定変更やバックアップ、重要なファイルの削除などの特殊な操作ができるため、悪用されることでシステムの動作が阻害されて業務停止になるといった、重大な事態を起こすリスクがある。クラウドの普及も特権ID管理の重要性に対する認識を高めている。

　「以前であれば、公共や金融業界のシステムをクラウドに構築するのは『ありえない』といった風潮がありました。しかしここ数年は、クラウドを前提としたシステム構築がほとんどです。クラウドが前提になると、物理的な境界型対策は通用しません。アクセス単位の対策が重要になります」（山﨑氏）

　テレワークの利便性が浸透し、従来の物理的な囲いを基にしたセキュリティを前提とした時代に戻ることは考えにくい。「本番システムへのアクセスは出社を前提とするという固定概念を崩したい企業は多く存在している」と山﨑氏は言う。

物理的な囲いなしでシステムを安全に運用するには

　エンカレッジ・テクノロジの上田氏と山﨑氏は、セキュアルームなど物理的な囲いに頼らずテレワークのセキュリティを高める2つの方法を紹介した。

周囲の安全性を確保しながら働くには

　上田氏は、テレワークで安全にシステム操作する手段として、同社のシステム操作証跡管理ツール「ESS REC」を紹介した。

　「ESS RECは、PC操作の内容を動画とテキスト情報で取得して、証跡として保存するツールです。操作内容を克明に記録し、高いトレーサビリティーを提供する他、操作記録の検索や閲覧、監査レポートの出力で不正を防止できます」（上田氏）

　一般的なシステムから標準出力されるログに比べて多くのログを取得できる他、不正操作があった際のリアルタイム検知やアラート送信も可能だ。

　ESS RECは、2023年3月に11年ぶりにメジャーバージョンアップが実施される。特に、システム操作者の周辺情報を収集するカメラ機能が強化される。

メジャーバージョンアップにより増える機能（出典：エンカレッジ・テクノロジの提供資料）

　「カメラデバイスを使用して、作業者の顔及び周辺環境の撮影と記憶を行います。それをAI（人工知能）で顔認証することでユーザーを識別して、判定結果を送信します。管理者はなりすましや覗き込みなどの異常の判定やアラートを受けることができ、リアルタイムのサーチや記録の事後確認などに利用できます」

　事前にユーザーの顔情報とログインIDをひも付いておくことで、ユーザーとは異なる人物がカメラに映った際に検知して画面ロックするといった動作を実行できる。

画面ロックするデモンストレーションの様子（出典：筆者撮影画像）

特権ID操作の安全性を確保するには

　山﨑氏は、安全な特権ID管理を実現するツールとして「ESS AdminONE」を紹介した。

　「ESS AdminONEは、オンプレミスやクラウド上のOSやミドルウェア、ネットワーク機器、SaaSといったあらゆるシステムの特権IDを管理できます」（山﨑氏）

　一般的な特権ID管理製品は、セキュリティ強化のために導入したものはいいものの、運用業務が煩雑になったり、利便性が低下したりするといった事態を招くことがあった。そのことがツール定着の阻害要因となり、結果として、特権ID管理が果たせない事態となりがちだった。その点について山﨑氏は以下のように語る。

　「他社製品を使いこなせないため、なんとか改善してほしいといったご相談を受ける機会が増えているのを実感しております。新バージョンでは、さらにセキュリティの強化と利便性のバランスを取り、運用部門の要件に柔軟な対応していける設計としております」

　従来のESS AdminONEは、使用者が特権IDを利用する際に承認者に申請作業をし、承認されることによって対象システムへのアクセスが可能となった。2023年3月にリリースされる新バージョンは、ポリシーベースのアクセス許可が可能になるため、ポリシー設定済みの作業に対する承認作業が必要ない。

メジャーバージョンアップにより増えるアクセスのイメージ（出典：エンカレッジ・テクノロジの提供資料）

　ESS RECやESS AdminONEのようなツールは、セキュアルームで実施されていたセキュリティ対策を部分的に代替できる。企業のセキュリティ方針に沿った適切な対策をできれば、情報システム部は安全にテレワークできるようになるかもしれない。