CLOUD NAVIクラウドとは?からクラウドを支える技術や関連用語まで解説

技術解説

どう備える?テレワークでのセキュリティリスク

2020年08月20日

新型コロナウイルスによる感染症の影響により、多くの企業がテレワークを導入しつつあります。しかし、急遽導入した暫定的なテレワーク環境は、セキュリティ面で潜在的なリスクを抱えているケースが少なくありません。新型コロナウイルスによる影響は長引くことが予想されるため、長期的に利用するという前提のもと、あらためてテレワーク環境におけるセキュリティ対策をしっかりと見直しておくことをお薦めします。

総務省ではテレワークのパターンとして「リモートデスクトップ方式」「仮想デスクトップ方式」「クラウド型アプリ方式」「セキュアブラウザ方式」「アプリケーションラッピング方式」「会社PCの持ち帰り方式」の6つを紹介しています。本記事では、このうちよく利用される「リモートデスクトップ方式」「仮想デスクトップ方式」「会社PCの持ち帰り方式」の3つのパターンのリスクと対策を紹介します。

リモートデスクトップ方式のリスクと対策

リモートデスクトップ方式とは、インターネットを経由してPCを遠隔操作する方式です。オフィス内で普段利用しているPCを自宅から遠隔操作して業務を行います。

この方式では、自宅のクライアントPCからインターネット経由で社内システムに接続してPCを遠隔操作するため、第三者による不正ログインというセキュリティリスクが存在します。PCへのログインはユーザー名とパスワードによって保護されていますが、システムの脆弱性を狙ったサイバー攻撃、クライアントPCの盗難・紛失、パスワードメモの紛失や盗み見(ショルダーハック)といった原因により、認証情報が漏えいしてしまうことも考えられます。また、単純なパスワードはパスワード辞書や総当たり攻撃によって突破されてしまうこともあります。

そのため、不正ログインへの対策としては、会社のPCにインターネットから直接接続できない(公開しない)ようにすることが有効です。具体的には
VPNなどのセキュアな経路を経由しないと接続できないようにする。
ファイアウォールによって接続可能なIPアドレスを制限する。

といった対策があります。また、VPNの利用やIPアドレスの制限を行ったとしても、自宅の(個人所有の)クライアントPCのログイン権限を乗っ取られてしまっては意味がありません。パスワードの管理に注意するのはもちろんウイルス対策ソフトなどの利用も必要です。

システムの脆弱性を攻撃されないためにも、OSやアプリのセキュリティアップデートは必ず実施しましょう。マルウェアによる情報流出への対策としては、アンチウイルスソフトの導入も効果的です。また、認証システムのセキュリティレベルを上げるためには「多要素認証」を導入するのがお薦めです。

仮想デスクトップ方式のリスクと対策

仮想デスクトップ」方式とは、オンプレミスやクラウド上のサーバー内に仮想マシンを作成し、インターネットを経由して仮想マシンのデスクトップを遠隔操作する方式です。PCと仮想マシンという違いこそあれ、前述のリモートデスクトップと基本的には同じ技術を用いているシステムのため、同様のリスクが存在します。

それに加えて、同一のサーバー内に複数の仮想マシンを作成する仕組み上、一旦攻撃者にシステム内部へ侵入されてしまうと、同一システム内の横移動(ラテラルムーブメント)が行われてしまう可能性があります。これにより、同一ネットワーク上に設置されたサーバーへのさらなる侵入や破壊活動を許してしまうリスクが存在します。

横移動による被害の拡大を防ぐためには、ネットワークの「マイクロセグメンテーション化」が有効です。FJcloud-V(旧ニフクラ)では、「デスクトップサービス(専有型)」に標準でトレンドマイクロ社のサーバー向けセキュリティ「Workload Security」とVMware NSXの技術を使ったマイクロセグメンテーションが実装されており、万が一攻撃者に侵入されてしまったとしても、横移動による被害の拡大を防げるようになっています。

会社のPC持ち帰り方式のリスクと対策

持ち帰り方式とはその名の通り、オフィスで普段利用しているPCをそのまま自宅へ持ち帰り、テレワーク用PCとして使用する方式です。

境界型のセキュリティモデル」を採用している場合、インターネットからオフィス内への侵入に対しては防御策が講じられているものの境界の内側(オフィス内)に脅威は存在しないという前提でシステムが構築されています。そのため、オフィス内でしか使用しないことが前提のPCは、不正アクセスなどへの対策が十分に行われていないケースも少なくありません。また情報を外部に持ち出す心配がないため、機密データを特別のケアなしにPC内に保存してしまっているケースも多いでしょう。

こうした無防備なPCをそのままオフィス外へ持ち出すと、情報漏えいのリスクが非常に高くなります。情報漏えいの主な原因には、ウイルスやマルウェアへの感染、データを保存したPC本体の盗難・紛失、セキュアではない通信経路上での盗聴などが考えられます。VPNを利用してセキュアに通信する、多要素認証を導入して不正なログインを防ぐ、アンチウイルスを導入してウイルスへの感染を防ぐなど、さまざまな対策が必要となるでしょう。また、このケースではPCを持ち出す本人が情報漏えいの原因となってしまうことがあるため、技術的な対策を導入するだけでなく「セキュリティポリシー」の策定やISMS(情報セキュリティマネジメントシステム)の構築を行い、ポリシーに基づいた運用・管理が重要となります。

まとめ

冒頭で述べたように、緊急事態宣言の中で業務の継続を優先するため、暫定的にテレワーク環境を導入した企業では、残念ながらセキュリティ面が不十分なケースが少なくありません。しかし、コロナ禍は一過性のものではなく、さまざまな行動に制限が課される現在の状況は、長期にわたって続くことが予想されます。そのため、テレワークも一時しのぎではなく、年単位で環境を利用し続けることも考えなければならないでしょう。もし、上記のようなテレワーク環境を利用しているのであれば、この機会にしっかりとセキュリティ面を見直しておくべきです。

セキュリティ面で安全を確保するには「技術」「ルール」「人」の3つが揃わなければなりません。まずは、テレワークで起こりうるセキュリティリスクをきちんと理解し、今一度、稼働中のシステムのセキュリティ対策を確認しましょう。そして、潜在的なリスクを抱えているのであれば、必要な対策を導入しましょう。

業務上で何らかのアクションを起こす際、「この行為は安全か」という判断を都度行うのは非効率です。安全に効率よく業務を進めるためにも、テレワークにおける仕事のやり方のルールをあらかじめ決めておきましょう。

ルールを策定しても、実際に業務を行う人が意識してルールを尊守しなければ、その効果は発揮されません。そのため、ルールを策定するだけでなく、従業員への教育や啓発も非常に大切です。

PageTop