コピー完了

記事TOP

テレワークのセキュリティ対策、おすすめツール - 総務省示すルール・人・技術どう実現?

最終更新日:
在宅勤務・リモートワークではサイバー攻撃にあうリスクが高まる。テレワークが広まるなか、セキュリティ問題が顕在化してきた。テレワーク環境でのセキュリティ対策として、総務省は「ルール」「人」「技術」の3要素からまとめたガイドラインを提示している。同資料より課題や事故事例を示し、テレワーク向けのおすすめセキュリティ対策ツールを紹介する。

在宅勤務のセキュリティ問題がZoomで顕在化

新型コロナウイルス感染症(COVID-19)対策で在宅勤務を始めた人は、そろそろテレワークに慣れただろうか。実際に体験して、メリットを実感した人もいるだろう。

しかし、家庭のPCやネットワークをICT管理者なしで流用する状態は、リスクが高く、サイバー攻撃に対する防御力が不安だ。サイバー犯罪者たちは、新型コロナウイルス(SARS-CoV-2)のように注目される時事問題や、テレワーク流行でユーザーの増えた「Zoom」などのサービスを、攻撃の材料や標的として多用する。

事実、不正サイトへの悪用が予想される新型コロナウイルス関連ドメインZoom関連ドメインの急増が報告された。Zoom会議に第三者が乱入する“Zoom爆弾”も問題に。家庭のICT環境は、絶好のターゲットなのだ。

テレワークの長期化、あるいは定着が見込まれる中、在宅勤務のセキュリティ確保が絶対に必要だ。とはいえ、急に多くの従業員が自宅からテレワークを実施するようになると、環境整備だけで大仕事になりセキュリティまで手が回らない。未経験の作業で、どこから取り組むべきか分からないことも多い。

そのような場合は、総務省の「テレワークセキュリティガイドライン 第4版」に目を通そう。テレワーク導入へと向かう企業を対象とした資料で、セキュリティ対策のポイントが分かりやすくまとめられている。セキュリティを確保する際の課題、事故事例とその対策などが示され、テレワーク実施時のセキュリティをどうすべきかについての基礎が学べる。

同ガイドラインは、実施すべき対策を「経営者」「システム管理者」「テレワーク勤務者」それぞれの立場に分けて説明している。ここでは、企業や組織でテレワークを担当するICT管理者に向けてガイドラインの概要を整理する。

テレワークで生じるセキュリティ課題とは

テレワークでは自宅や公共の場所でPCを広げて使うため、オフィス作業だと想定されていなかった課題が浮かび上がる。そうした課題を事故事例とともにいくつかピックアップしよう。

PCが覗き見られる

鉄道やカフェ、ワーキングスペースなどで作業していると、PCの画面を他人に見られる可能性がある。自宅では家族の目が心配だ。たとえ悪意がなくても他人に話すなどすると漏えい事故につながる。

事故事例

新幹線で移動中、発表前の新製品に関するプレゼンテーション資料を作成していた。それを見られ、SNSに製品情報が投稿された。

対策

覗き見による情報漏えいを防ぐには、プライバシーフィルターを画面に装着したり、自分の背中が壁になる席を選んだり、といった対策が有効だ。

それでも、プレゼン用スライドなどは文字サイズが大きく、対策しても見られるかもしれない。覗き見られる可能性が少しでもある環境なら、見られて困る情報の閲覧や編集を避けるべきだという。

PCの紛失、盗難

PCやUSBメモリーなどを持ち歩くと、紛失や盗難のリスクにさらされる。他人の手に渡ってしまうと情報漏えいに直結する。

事故事例

HDDに得意先リストが入っていたPCを、移動中にバッグごと置き忘れ紛失してしまった。その後、得意先から「御社にしか知らせていない電話番号にセールスの電話が来る」と苦情が寄せられた。

対策

盗まれたりしないよう用心するだけでなく、盗難防止ワイヤーの利用も検討しよう。そのうえで、デバイスが盗まれた場合に備えてデータを暗号化しておけば情報漏えいを防げる。

情報が漏えいしなくても、重要なデータを失うと取り返しのつかない事態に陥りかねない。そこで、データは随時バックアップして安全な別の場所に保管しておこう。バックアップがあれば、ある程度データを復旧できる。バックアップは、紛失や盗難に限らず、人為的なミスやPCのトラブル、ランサムウェア被害などでデータを失ったときにも役立つ。

Wi-Fiやメールの盗聴

駅や空港、カフェなどで提供されている無料の無線LAN(Wi-Fi)は便利だが、誰でも接続でき、常に盗聴の危険がつきまとう。

暗号化されていない、パスワードで保護されていないWi-Fiアクセスポイントに接続することは論外。しかし暗号化やパスワード保護も過信できない。偽の盗聴用アクセスポイントが設置されていることもあれば、アクセスポイントのセキュリティホールを悪用されることもある。その点では、自宅のWi-Fiルーターも適切な管理をしていないと危険だ。

事故事例

公衆Wi-Fiに接続してメールの添付ファイルを送受信していたところ、ファイルに書かれていた機密情報が漏えいしてしまった。

対策

重要なデータを送受信する際は暗号化を心がけよう。とりわけメールは基本的に暗号化されないので、暗号化した添付ファイルをやり取りするとよい。ただ、暗号化した圧縮ファイルをメールで送り、別のメールで復号用パスワードを送るという暗号化プロトコル、いわゆる「PPAP」は、セキュリティ対策として意味がないから避けよう。パスワードは、メール以外の通信手段で伝えなければならない。

ファイルそのものを暗号化するには、専用のソフトを使用するとよい。そのほか、クラウドサーバー上へファイルを保管しダウンロードURLを共有する「ファイル転送サービス」や「オンラインストレージ」も有用だ。無料サービスが広く使われているものの、セキュリティが懸念されるため、法人向け有料サービスの利用を推奨する。

ファイル転送サービスの一覧はこちら
法人向けオンラインストレージの一覧はこちら

「宅ふぁいる便」情報流出事件
無料で人気を集めていたファイル転送サービス「宅ふぁいる便」が、不正アクセスによる情報流出事件を受け、20年3月にサービスを終了した。無料サービスの利用に注意を促しつつ、セキュリティの堅牢な法人向けサービスを検討したい。

管理者が行うべき3つのセキュリティ対策

管理者はどんな対策を実施したらよいのだろうか。総務省のガイドラインでは、「ルール」「人」「技術」のバランスがとれた対策を重視した。

判断に迷わないよう「ルール」を策定

ICTセキュリティは複雑で、技術の進歩などによっても以前の常識が通用しなくなることも多い。たとえば、かつてパスワード定期変更が推奨されていたものの、今では逆に危険性を高めるとの理由で否定されている。

テレワークにかかわる作業一つひとつが安全かどうか判断するのは、専門家でないと困難だ。そのため、あらかじめルールを定めておくのがよいという。そうすれば、テレワークを実行する従業員がルールを守ることを意識するだけで、安全に仕事を進められる。なお、オフィス業務とテレワークでは環境が異なり、新たなルールが必要だ。

ルールを守ってもらうため「人」へ教育

ルールが存在しても、守られなければ意味がない。テレワークだと監視の目が届きにくいこともあり、ルール遵守の確認も難しい。まずは、教育でルールへの理解を深めてもらい、ルール定着を目指す。ルール学習の効果でICTセキュリティの知識を習得してもらえれば、フィッシング攻撃などによる被害も受けにくくなる。

また、テレワーク用セキュリティ対策に必要なハードウェアやソフトウェア、人材を確保する予算が割り当てられるよう、経営者にルールや方針などを説明することも管理者の役目である。

ルールと人を補完する「技術」

セキュリティ確保では一番に注目されがちな技術的対策だが、あくまでも「ルール」や「人」で対応できない部分を補完するものだという。管理者としては、リスクとコストの両面から検討し、システムの構築と設定、運用に取り組むことになる。当然、ルール作りや教育とも密接に関係していく。

テレワークで採用する技術は作業の内容や予算に応じて異なる。総務省のガイドラインでは、「テレワーク端末に電子データを保存するか?」「オフィスの端末と同じ環境を利用するか?」「クラウドサービスを利用するか?」「私用端末の利用(BYOD)との親和性」「高速インターネット回線の必要性」といった条件に当てはめ、テレワーク方式を6種類に分類した。そして、それぞれの特徴を説明している。

(1)リモートデスクトップ方式
(2)仮想デスクトップ方式
(3)クラウド型アプリ方式
(4)セキュアブラウザ方式
(5)アプリケーションラッピング方式
(6)会社PCの持ち帰り方式

テレワークの6種類のパターン 出典:総務省 / テレワークセキュリティガイドライン 第4版

テレワーク向け、おすすめセキュリティツール

セキュリティ確保用の具体的なツールやサービスは、多数存在する。目的に適したものを選ぶ助けとなるよう、概要を解説する。

リモートアクセスツール

リモートアクセスツールは、外部から社内ネットワークへアクセスするときに利用するツール。総務省のガイドラインでは以下の4方式に分類されている。

(1)リモートデスクトップ方式

オフィスに設置されているPCの画面(デスクトップ)を、自宅などのPCに表示して、操作できるようにするもの。テレワーク端末となるPCにアプリケーションなどをインストールすることなく、オフィスで行っていた作業を継続できる。

(2)仮想デスクトップ方式

オフィスなどのサーバーに仮想デスクトップ基盤(VDI)を構築し、自宅などのPCから遠隔ログインして利用する。オフィスからの作業でもVDIを使うようにしていれば、リモートデスクトップ方式と同様、自然な移行が可能だ。VDIはシステム管理者が管理しているため、セキュリティ対策の集中管理もしやすい。

(3)クラウドアプリ方式

さまざまな作業をPCやサーバー上のアプリケーションでなく、インターネット環境にあるクラウドサーバー上のアプリケーションで処理する。これらはSaaS(サース)と呼ばれ、経理や総務、人事、経営企画などあらゆる業務をカバーするサービスが普及している。

(4)セキュアブラウザ方式

一般的なウェブブラウザでアプリケーションにアクセスするクラウドアプリ方式では、データをローカル環境に保存されたり、印刷されたりして、セキュリティが低下することもある。これに対し、ダウンロードや印刷といった機能を制限した特別なブラウザで安全性を高めたのが、セキュアブラウザ方式だ。

>>リモートアクセスツールの一覧はこちら

統合脅威管理ツール

統合脅威管理(UTM)ツールは、ファイアウォールやアンチウイルスなど複数のセキュリティ機能を統合したもの。ただ組み合わせただけでなく、各セキュリティ機能を一元的に管理することが可能だ。

>>統合脅威管理ツールの一覧はこちら

IT資産管理ツールとMDMツール

IT資産管理ツールは、PCや周辺機器のようなハードウェアに加え、業務に使うアプリケーションやセキュリティツールそのものと各ライセンスなどを集中管理するためのもの。在庫管理だけでなく、アップデート実施、使用状況の検査、不正使用された場合の使用停止といった操作も行える。

>>IT資産管理ツールの一覧はこちら

モバイルデバイス管理(MDM)ツールは、IT資産管理ツールのモバイル機器向けツール。端末紛失時などは、端末内のデータを遠隔消去できるリモートワイプ機能も備えている。

>>モバイルデバイス管理ツールの一覧はこちら

遠隔セキュリティ対策にSaaS導入を

総務省のガイドラインで6種類のテレワーク方式が挙げられたように、どの方式を採用するかは普段使っている業務システムに左右される。適している方式も状況によって変わり、単純に優劣は付けられない。

ただし、SaaSを利用するクラウドアプリ方式やセキュアブラウザ方式なら、社内環境とテレワーク環境を統一できるメリットは大きい。在宅勤務する場合も、エンドポイントセキュリティやゼロトラストネットワークという概念に従えば、セキュリティを確保しやすい。

将来テレワーク利用が広まることを見越して、SaaSやエンドポイントセキュリティへの移行を準備するとよいだろう。

この記事が良かったら、いいね!をしてください!最新情報をお届けします!
御社のサービスを
ボクシルに掲載しませんか?
掲載社数3,000
月間発生リード数30,000件以上
編集部のおすすめ記事
リモートアクセスの最近更新された記事