急増するVPN周りの診断ニーズに対応した
“速く”“安く”実施できるサービスを提供
このような状況を受け、セキュアワークスでは2020年4月、「リモートアクセス脆弱性アセスメント」という新たなサービスを発表した。
「2019年の終わりごろ、オリンピック・パラリンピック対策でテレワークを導入しようとしている企業から、急ぎセキュリティ診断をしてほしいという問い合わせが相次ぎました。その結果、当社ではすでに多くのナレッジを有しています。また、2019年に公表されたSSL VPNの脆弱性についても当社のインシデント対応チームが数多く対処しており、豊富な知見があります。それらを踏まえ、今回新たにこのサービスをご用意しました」と古川氏は説明する。
一般的に、セキュリティ診断サービスではユーザーの環境や使い方に合わせ診断対象や診断内容などを決定するため、綿密な打ち合わせが必須となる。そのため診断結果までの期間は比較的長くなり、相応の費用が発生する。それに対しこのサービスでは、急遽リモートアクセスを実施するユーザーを想定して対象や内容を絞り込むことで、費用や期間も通常より抑えたのが大きなポイントだ。
「『取り急ぎ診断したい』と考えている企業のために、“迅速”かつ“リーズナブル”に実施できることを目指しました。本サービスの主旨は、優先順位が特に高く重点的に守るべきところに診断対象を絞り、既知の脆弱性を見つけ出して取り除けるようにする、というものです。具体的には、多くのユーザーがリモートアクセスに使っているVPNにポイントを絞り、ツールによる自動スキャンなどの診断をリモートで実施します。これにより迅速な実施を実現し、費用も現場責任者レベルの決裁で採用できるよう安く抑えています」(古川氏)
図:リモートアクセス脆弱性アセスメント 基本サービス
図:リモートアクセス脆弱性アセスメント オプションサービス
コロナ終息後もテレワークは終わらない今後を見据えてセキュリティの確立を目指すべき
このアセスメントサービスは、重大な懸念を払拭するため迅速さを最優先しており、テレワークに伴うセキュリティ課題のすべてを解消できるわけではない。むしろ、きちんとしたセキュリティを確立させるための契機と考えるべきだろう。新型コロナウイルスは本格的な終息までに年単位の忍耐を迫られる可能性もある。長期戦になることも考慮して、テレワーク環境のさらなるセキュリティ向上を図ることが望ましい。
「本サービスは、緊急避難的なテレワーク導入の後に、その対症療法として診断を行うに過ぎません。そもそも本格的にテレワーク環境を導入するとなれば、全社的なセキュリティポリシーやインシデント対応プロセスの策定、従業員のトレーニングなど、様々なリスク対策が必要です。働き方改革やデジタルトランスフォーメーションを進める上でも、セキュリティを確立させつつテレワーク環境を整備することは重要です。この機会にぜひ、前向きな姿勢でセキュリティ取り組んでいただきたいと思います」(古川氏)
セキュアワークスは、テレワーク全体のセキュリティ対策を診断する「テレワークリスクアセスメント」も新たに発表した。テレワークリスクアセスメントは、情報セキュリティのベストプラクティスおよび総務省のテレワークセキュリティガイドライン、セキュアワークスにおける知見をもとにセキュリティ課題を短期間でアセスメントし、リスク深刻度に応じた暫定的および恒久的な対応策を提供する。テレワーク環境活用の長期化が予想される中、緊急事態対応として現状のテレワーク環境のリスクを今一度、見直してみてはどうだろうか。
