IIJの現場エンジニアが議論！テレワークのセキュリティで気を付けることは？

　株式会社インターネットイニシアティブ（IIJ）は、ITエンジニアを対象とした年次の技術イベント「IIJ Technical WEEK 2020」を開催した。会期は12月14日から17日の計4日間で、今回はオンライン開催となった。

　4日間それぞれにテーマが設定され、DAY1は「セキュリティ」、DAY2は「インターネット・バックボーン」、DAY3が「アプリケーション」、DAY4が「データセンター」となっている。

　本稿では、DAY1（14日）のセキュリティに関するセッションのうち、同社のエンジニアによる座談会『セキュリティエンジニアの「以上、現場からでした！」』の模様をレポートする。なお、セッション内容は後日、動画でも公開されている。記事の最後に紹介しているので、詳しく見たい方はそちらも見てほしい。

現場のエンジニアが議論！テレワークのセキュリティで気を付けることは？

　座談会で登壇したのは、IIJの九州・中四国事業部 九州支社 技術部 サイバーセキュリティサービス課の下村良氏および與語（よご）一史氏と、セキュリティ本部 セキュリティビジネス推進部 インテグレーション課の加賀康之氏。モデレーターは、セキュリティ本部 セキュリティビジネス推進部長の山口将則氏が務めた。

左から、モデレーターの山口将則氏（セキュリティ本部 セキュリティビジネス推進部長）、加賀康之氏（セキュリティ本部 セキュリティビジネス推進部 インテグレーション課）、與語一史氏（九州・中四国事業部 九州支社 技術部 サイバーセキュリティサービス課）、下村良氏（九州・中四国事業部 九州支社 技術部 サイバーセキュリティサービス課）。右端に総合司会の堂前清隆氏（広報部）のバーチャルアバターdoumae-chanも

　冒頭でまず自己紹介。東京側の加賀氏は、主にセキュリティのコンサルティング領域を担当していると自己紹介。一方、九州支社のサイバーセキュリティサービス課はIIJの地方支社で唯一のセキュリティ部隊とのことで、與語氏はセキュリティアドバイザリとして顧客のセキュリティの相談ごとに乘ってアドバイスしていることを、下村氏はサイバーセキュリティに関するソリューションの相談、構築、運用支援まで担当していることを語った。

　さて、今回のテーマは「今、現場に必要なもの」と「テレワーク 本当に気を付けるポイント」だ。

お題その1：現場に必要なもの「防御だけでなく、事後対策や、その後の予防が重要に」

今回のテーマは「今、現場に必要なもの」と「テレワーク 本当に気を付けるポイント」

　1つめは「今、現場に必要なもの」について。

　まず最近の状況を、與語氏は「嬉しい悲鳴」と表現した。攻撃の高度化やリモートワークなどによりセキュリティのニュースが増え、顧客からの問い合わせが増えているという。また「お客様が気にされているところが、防御だけでなく、事後対策や、その後の予防などの対策が増えている」と語った。

　下村氏も、最近は事後対策を提案していることが多く、EDR（Endpoint Detection and Response）やNDR（Network Detection and Response）といったセキュリティ対策や、SIEM（Security Information and Event Management）などのログ分析基盤を提案していると説明。そのほかフィッシングサイトの早期検知、脆弱性管理ツールなどの相談も多いと語った。

　ここから脆弱性管理ツールの話題が掘り下げられた。ニーズの背景としては、VPN機器などの脆弱性をつく攻撃が増えており、企業が昨今のこういったニュースに対して「この脆弱性が自社に関係あるのか」が気になっていることが挙げられた。

　また、ツールにより運用負荷を下げられることもある。大規模な顧客の場合、セキュリティ専門家による診断レポートを受け取って情シスが中心に対応を進めることが多いが、脆弱性管理ツールを用いると同様の情報をクラウド上で確認できるため、特にグローバルに拠点があるときに効果的であることも紹介された。

　ただし、脆弱性管理ツールはあくまでツールであり、リスクをどう解釈してどこまで脆弱性に対応するかは、セキュリティの知識を持った人材による判断が求められるということが語られた。

お題その2：テレワーク 本当に気を付けるポイント「使えること優先で、セキュリティは二の次になっている会社が多い」

　2つめは「テレワーク 本当に気を付けるポイント」について。

　これについては、個々の技術より、テレワークのリスクの理解や、何がが起きたときにどう対応するかの検討など、体制づくりが重要ということが語られた。

　加賀氏は、緊急事態になって突貫的にテレワーク環境を作ったことにより、使えること優先で、セキュリティは二の次になっている会社が多いことを指摘。

　「会社で使っていたパソコンをそのまま家に持ってきて使っているところが大部分で、そこに機微情報が入っているところが多いのではないか。リスクや内部不正を危惧しなくてはならないのではないかと感じている」と語った。また軽微なものでは、「画面共有したときに他社の資料がちらっと見える、というごく小さい事故がた
くさん起きているのではないか」とも指摘した。

　内部不正の防止について、加賀氏は「不正のトライアングル」理論を紹介した。会社への不満などの「動機（きっかけ）」、実行する「機会（チャンス）」、皆がやっているなどの「正当化（いいわけ）」の3つの要素が揃ったときに内部不正が発生するというものだ。

不正のトライアングル

　これを防ぐ基本原則として「犯行を難しくする（やりにくくする）」「捕まるリスクを高める（やると見つかる）」「犯行の見返りを減らす（割に合わない）」「犯行の誘因を減らす（その気にさせない）」「犯罪の弁明をさせない（言い訳させない）」の5つが紹介された。

不正防止の基本原則

　そして、オフィスでは周囲の人目があるがテレワークにはないとして、ログを取ってそのことを周知しておく抑止効果や、アラートが出たらその人にすぐ電話するという運用をしている事例などが紹介された。

　また、内部不正以外でも、会社から持ってきたパソコンを使っていることで、会社内と違ってWindows Updateの管理なども行き届かないことから、「危ない状態という意識を持ってもらうという教育が大事なのではないか」と加賀氏は語った。

　最後に山口氏は、「監視社会は息苦しいが、悪いことだけでなく、潔白の証明にもなる」とし、仕組みだけでなく、顧客の業務に合わせたルール作りの重要性を語った。

（協力：株式会社インターネットイニシアティブ）