コロナ禍以降一般的となったリモートワーク。出社を重視するように戻りつつある流れもありますが、まだまだ制度としてリモートワークを実施している組織は多いと思います。
本記事では、リモートワークのセキュリティ対策について改めて論じます。参考にしてみてください。
また、企業のセキュリティご担当者様へ、DX(デジタルトランスフォーメーション)とセキュリティの良好な関係の作り方がわかる資料を無料で配布しています。ぜひご活用ください。
リモートワークの方式についておさらい
リモートワークを実現するにあたっては、総務省の「テレワークセキュリティガイドライン」によると、下記7つの方式があります。
- VPN方式
- VPN接続によってテレワーク端末からオフィスネットワーク内のファイルサーバやクラウドサービスに接続する方式
- リモートデスクトップ方式
- テレワーク端末からオフィスネットワーク内のPCの環境に接続し、遠隔操作でデータを処理する方式
- 仮想デスクトップ(VDI)方式
- テレワーク端末からオフィスネットワーク内の仮想デスクトップに接続する方式。
リモートデスクトップ方式では特定の端末を遠隔操作するが、こちらではあくまで仮想のデスクトップ環境を操作することになる - セキュアコンテナ方式
- テレワーク端末内に、ローカル環境(通常の環境)とは別の仮想的な環境(セキュアコンテナ)を設け、その中でデータ処理を実行する方式
- クラウドサービス方式
- テレワーク端末から、オフィスネットワークではなくインターネットに接続し、クラウドサービスを活用して業務を実施する方式
- セキュアブラウザ方式
- セキュアブラウザと呼ばれる安全なインターネットブラウザを利用し、そのブラウザ上のみで業務を実施する方式
- スタンドアロン方式
- ネットワークに接続せず、テレワーク端末内に保存されているデータのみを使って業務にあたる方式
これらのうち、スタンドアロン方式を除くと、ローカルPCには会社のデータを保存せずに業務を行います。こうした方式をシンクライアント方式といいます。
シンクライアント方式では、企業・組織で用意された端末のみならず、一定の条件のもとで私物端末を利用するケースもあります。
スタンドアロン方式は遂行できる業務に限界があり、また、端末の破損・紛失時のリスクも大きいことからあまり一般的ではありません。シンクライアント方式でのテレワーク実施が無難かと思われます。
リモートワークにおけるリスク
リモートワークにおけるセキュリティリスクとして、以下のようなものが挙げられます。
端末や記憶媒体の紛失・盗難
業務で利用しているPCやスマートフォン、USBメモリなどは、紛失・盗難によって情報が漏えい・紛失するリスクがあります。
なるべく端末や記憶媒体上にデータを残さないようにする、というのは初歩的なポイントです。
マルウェア感染
外部サービス利用やインターネット接続、不特定多数のWi-Fi利用など、不正アクセスや情報傍受の機会が格段に増加するため、マルウェア感染のリスクも増加します。
マルウェアの検知・除去ツールの導入や、感染端末の通信遮断が迅速にできるルール整備などが必要です。
通信の傍受
オフィスネットワーク外とのやりとりが増えるため、その間の通信を傍受されるリスクに備えなければなりません。
マルウェア対策と同様の対策を取ることになりますが、それ以外にも、通信の暗号化が不可欠です。
フィッシング
少し意外かもしれませんが、リモートワークでは、フィッシングのリスクも増加します。テキストベースであるチャットやメールでのやりとりが増えるため、その分、メールを通じたなりすまし等のリスクも増加し、また、不審なメールを着信した際に周囲に相談する機会も減ります。
メール等を通じたサイバー攻撃については、従業員への周知徹底や訓練も含めた教育の実施が最適です。
不正アクセス
社内のデータへの従業員の自宅をはじめとした社外からのアクセスが増えます。その分、乗っ取りやなりすましによる不正アクセスのリスクも大きくなります。
不正アクセス対策としては、まずは、セキュリティ対策の方針をゼロトラストに基づいたものにすることです。「ゼロトラスト」では、社内・社外の区別なくすべてのアクセスを「信用できないもの」として、ノードごとの認証を要求します。
内部不正
情報の不正持ち出しやシャドーITのリスクも増加します。検出ツールやログ取得、従業員のリテラシー向上を通じて内部不正を防止しましょう。
ここに挙げたリスクは、いずれもリモートワークなしでも考えられるものですが、外部からの通信量の増大・リスクにさらされるデータ量の増大・アクセス管理の困難性が増すことから、より手厚く対策しなければならないこととなります。
リモートワークのセキュリティで考慮すべき内容とは
リスクの増大をうけて、リモートワークのセキュリティにおいて考慮すべき内容は次の通りです。経営者層から従業員一人一人にいたるまで、しっかり心がけて業務にあたる必要があります。
ガバナンス・リスク管理
情報セキュリティ対策はいまや経営課題の一つと言われています。組織の構成にもよるかもしれませんが、経営者が情報セキュリティ対策においても責任をもって社内をリードし、リスクマネジメント、ルールの整備を推進する必要があります。
従業員一人一人もしっかりリスクマネジメント体制にもとづき、ルールを遵守しなければなりません。
資産・構成管理
テレワークで利用するハードウェア・ソフトウェアの管理は徹底しましょう。
もともと利用しているハードウェア・ソフトウェアの棚卸に加え、リモートワークで新たに必要になるもの、使わなくなるものを把握することがポイントです。
脆弱性管理
ソフトウェアのアップデート・追加のソフトウェアインストールによる十分な脆弱性の管理が必要です。ネットワーク管理者が実行します。
権限管理
不正アクセス対策として、まずやっておかなければならないのが、権限管理です。社内のメンバーからのアクセスでさえ信用できないのがテレワークですので、情報へのアクセス権限は最小限必要なメンバーにのみ許可しましょう。
また、悪意ある第三者が認証情報窃取などでアクセス権限を手にしてしまった場合にどうするか、ということもしっかり備えておきましょう。
データ保護
データそのものの保護については、管理者と、従業員が協力し、保護すべき情報(データ)の特定や保存されているデータの機密性・可用性の確保に関する対策を施します。技術的な手段を管理者が講じ、強化された運用ルールを従業員は遵守すべきです。運用ルールの周知徹底を経営者と管理者が協力して行います。
マルウェア対策
マルウェアの検出・除去・感染防止等について、必要なツールの導入をはじめとした技術的対策を実施します。業務端末がリモートに存在していることを必ず踏まえつつ、予算を確保します。
通信の保護
通信の暗号化による保護も必要です。システムの整備は情報セキュリティ担当者が行いますが、従業員としてもパスワードや設定のルールを遵守しなければなりません。
アカウント・認証管理
ツールやネットワーク等にアクセスするためのアカウント管理や認証手法に関する対策を行います。リモートワークではゼロトラストの考え方に従った認証・シングルサインオンの活用をしましょう。
インシデント対応・ログ管理
セキュリティインシデントが発生したとしても、早期発見早期対応をすれば、被害を最小限にとどめることができます。
ログ取得や原因究明をして、迅速な対応と再発防止に努めましょう。
インシデント発生時の情報共有や記録にお役立ていただけるインシデント管理台帳を無料で配布しています。ぜひご活用ください。
物理的セキュリティ
端末や記憶媒体の管理、セキュリティチェーンや施錠といった物理的な手段によるセキュリティ対策も実施しましょう。
オフィス外での業務ということで、リモートワーク特有のリスクがかなりある分野かと思われますので、しっかり押さえておきましょう。
教育
従業員のセキュリティ教育は、リモートワークのセキュリティ対策において最も重要と言っても過言ではありません。
不正アクセスやサイバー攻撃の多くは、従業員の見落としやうっかり、リテラシー不足がトリガーとなって発生します。また、シャドーITは、それが悪いことであると知らずにやってしまっている従業員もいます。
まずは従業員に適切なセキュリティ知識・リテラシーをつけてもらいましょう。
LRMのセキュリティ教育クラウド「セキュリオ」は、セキュリティコンサルタント監修の高品質な教材が豊富。さらに、標的型攻撃メール訓練、毎週配信のミニテストが送信し放題なので、効率的・効果的に従業員のセキュリティ意識・リテラシーを向上することができます。
まとめ
リモートワークにおいては、オフィスワークと同じく基本的なセキュリティ対策も必要なほかに、ゼロトラストの概念も踏まえつつ独自の対策も必要になります。
社内外のすべてのアクセスを信用せず、また、経営層から従業員一人ひとりまで巻き込んでしっかり対策をすすめていっていただけますと幸いです。
また、企業のセキュリティご担当者様へ、DX(デジタルトランスフォーメーション)とセキュリティの良好な関係の作り方がわかる資料を無料で配布しています。ぜひご活用ください。