某弊社は、週2~3日程度の出社・テレワークのハイブリッドになっていますが、とある業務を社外の人にもPCを貸し出して業務を行ってもらっています。
社外の方なので、クライアントVPNで会社に接続して~というのは望ましくなく、フルリモートでのPC管理・業務システムへの接続を行う必要が出てきました。 流行りの言葉でゼロトラストモデルというのがありますが、よく内容がわかっていませんが、まぁおそらく近いところなのかなと思ってます。
フルリモートでのPC管理
そもそも何をもって、管理ができているか?というのは様々かと思いますが、おおまかには以下のように定義しました。
- Active Directoryと同様に、アカウント管理を行えること
- WindowsUpdateの強制など、グループポリシー的な管理を行えること
- 万が一のPC紛失時に対処(リモートロック、リモートワイプ等)が取れること
- マルウェア対策が取れること
- Webフィルタリングを行えること
まだ、検討段階なので最終的に採用されるかどうかわかりませんが、現時点では以下ソリューションの導入を想定しています。
Microsoft 365 Enterprise Mobility + Security
Microsoft 365 Enterprise Mobility + Security製品ページ
Microsoft Enterprise Mobility + Security (EMS) は、インテリジェント
なモバイル管理とセキュリティのためのプラットフォームです。
組織を保護してセキュリティを維持するのに役立ち、従業員が新しい柔軟な形で
働くための力となります。マイクロソフト社のMicrosoft 365 Enterprise(旧Office 365)のセキュリティ対策製品群と思っていますが、 Azure Active Directory(Azure AD)とMicrosoft Intuneが利用できます。 この製品で、「アカウント管理」「グループポリシー的な管理」「PC紛失時に対処」をカバーする想定です。
Cisco Umbrella
クラウドセキュリティ Cisco Umbrella は、DNS の名前解決を利用して
インターネット上の脅威からユーザを最前線で防御する、「セキュア
インターネットゲートウェイ:Secure Internet Gateway(SIG)」です。 現在使用しているマルウェア対策ソフトは、社内に管理サーバがあるため、フルリモートワークには適さないものと考えています。 そのため社内、自宅、外出先など場所を意識することなく、どこでも保護してくれる仕組みは、まさにベストマッチです。 この製品で、「マルウェア対策」「Webフィルタリング」をカバーする想定です。
業務システムへの接続
弊社は、業務システムへのアクセスを接続元のIPアドレスで限定しているものが多いです。
いくらゼロトラストを念頭に構築していたとしても、多重防御の観点からIPアドレスを限定することは外せないと思っています。
リモートワークの IP 固定用に Fargate + OneLogin でプロキシを作った話
こちらの記事にある方法を有力候補としています。 上記の記事では、ユーザ認証にOneLoginを用いていますが、上述のAzure ADで認証できればユーザーアカウントのプロビジョニングも減らせるかと思います。
とはいえ、これを全て導入するとそれなりに費用も発生するので、最終的にどうなるかわかりませんが、検証を進めていきたいと思います。
現場からは以上です。