リモートワークのセキュリティ対策とは?具体的な内容について解説

この記事は約9分で読めます。
2021.12.20

リモートワークにおいては、社外から社内のネットワークリソースにアクセスすることから、より強化されたセキュリティ対策が必要になります。

リモートワークにも技術的に方法がいくつかあるので、よりセキュアな方法を可能であれば使うことが必要であると同時に、リモートワーク特有のリスクに備えた体制作りが必要です。

この記事ではリモートワークにおけるセキュリティ対策のポイント・準備しておきたい対策についてお伝えします。チェックリスト的に活用いただけると幸いです。

また、弊社では、テレワークを始める際に対応必須の基本的なセキュリティ対策9選をご用意しております。無料でダウンロードしていただけますので、本記事と併せてご活用ください。

無料!今すぐに実施できる!
テレワークの基本的なセキュリティ対策9選
テレワーク時にマストなセキュリティ設定をまとめた教材をみる

リモートワークの方式についておさらい

リモートワークを実現するには、総務省が2021年5月に発行した「テレワークセキュリティガイドライン」によると、下記のような6つの方式があります。

リモートデスクトップ方式
仮想ネットワークを使って、会社のネットワーク環境に接続、社内にいるのと同じように作業する。
仮想デスクトップ(VDI)方式
リモートワーク専用環境として、仮想デスクトップを作成、ここにアクセスすることにより業務を行う方式
セキュアコンテナ方式
ローカルの環境から独立した仮想的な環境(コンテナ)をつくり、その中でテレワーク業務用のアプリケーションを動作させる方式
クラウドサービス方式
業務をクラウドサービスを通じて行う方式。
セキュアブラウザ方式
クラウドサービス方式をさらにブラウザをセキュアなものにし、より安全にした方式。
スタンドアロン方式
PCを持ち帰り、ネットワークには接続せず作業を行う方式。

これらのうち、スタンドアロン方式を除くと、ローカルPCには会社のデータを保存せずに業務を行います。こうした方式をシンクライアント方式といいます。シンクライアント方式では、必ずしも会社のPCを使って業務を行うばかりでなく、一定の条件で私物のPCを利用することが許可されているケースもあります。

ローカルPCにデータを保存すると、PCが盗難されてデータを悪用される、あるいはPCの故障・破損によるデータの破壊のリスクがありますので、スタンドアロン方式は多用されていない傾向にあり、シンクライアント方式がより一般的です

リモートワークにおけるリスク

リモートワークにおけるセキュリティリスクとして、以下のような事象が挙げられます。

端末や記憶媒体の紛失・盗難

端末や記憶媒体は、紛失盗難にあうと、保存したデータを暴露されるなどのリスクがあります。極力シンクライアント方式を利用するなどして、端末・記憶媒体にそもそもデータを保存することを避けることが対策のポイントです。

マルウェア感染

外部からの接続機会が圧倒的に増加しますので、マルウェアの感染リスクが生じる機会が多くなります。そこで、マルウェアの検知・除去のツールを導入しておく、あるいは通信の遮断を早急に行えるようなツールを導入しておくなどの対策が必要になります。

通信の盗聴

盗聴も通信の機会が増加することにより、より手厚い対策が必要になります。盗聴に関しては、外部からの侵入を防ぐマルウェア対策と同様の対策を施すと同時に、暗号化の導入・強化が対策として必要です。

フィッシング

フィッシングのリスクも増加します。リモートワークは対面のコミュニケーションがなくなるため、不審なメールなどを確認する手段が減ること、また、メールやチャットでのコミュニケーションが増えるためです。何をフィッシングというのか、周知徹底すると同時に、訓練等も含めた教育研修が対策のポイントです。

不正アクセス

不正アクセスのリスクも増大します。外部からの社内ネットワークへの接続が増えるため、何が不審な接続か、あるいは業務上必要な接続か、見分けがつきにくくなるためです。そこで、不正アクセス対策としては、アクセスをすべて「信用できないもの」と扱い、各ノードでの認証を要求する「ゼロトラスト」に移行することが上げられます。

テレワークの対策にも有効!ゼロトラストの概要とメリットとは
近年のセキュリティ脅威に対抗する新たな考え方「ゼロトラスト」について、注目を集めている理由、導入するメリット、一体どのような攻撃に対処できるのかを解説します。DX時代の高度で複雑なサイバー攻撃に備えましょう。
www.lrm.jp

内部不正

シャドーITデータの盗用・窃取などのリスクも増加します。シャドーITを検出するツール・ログの取得および管理の徹底と強化を行い、内部不正は生じうることを前提に体制を強化するべきです。

ここに挙げたリスクは、いずれもリモートワークなしでも考えられるものですが、外部からの通信量の増大・リスクにさらされるデータ量の増大・アクセス管理の困難性が増すことから、より手厚く対策しなければならないこととなります。

シャドーITとは?抱えるリスクとうまく付き合っていく方法を解説
様々な業務にITが導入され、仕事の効率化やスピードアップが可能になりました。 しかし従業員がプラ...
www.lrm.jp

リモートワークのセキュリティで考慮すべき内容とは

リスクの増大をうけて、リモートワークのセキュリティにおいて考慮すべき内容は次の通りです。経営者・管理者・勤務者、それぞれの行動を起こすことが求められます。

ガバナンス・リスク管理

経営者は情報管理者の最上位に位置する責任者です。責任者が旗振り役となり、リモートワークのリスクマネジメントを強化すべきことを宣言、ルールの整備を指示する必要があります。関連部署の勤務者も、これに応じてリスクアセスメントと、アセスメント結果を踏まえたルールの整備を行います。全勤務者が、整備されたルールを順守することが必要です。

資産・構成管理

テレワークで利用するハードウェアやソフトウェアの資産・構成の特定や、管理を管理者が行います。業務上利用しているハードウェア・ソフトウェアの棚卸に加え、リモートワークで加わるもの、使わなくなるものを把握することがポイントです。

脆弱性管理

ソフトウェアのアップデート・追加のソフトウェアインストールによる十分な脆弱性の管理が必要です。ネットワーク管理者が実行します。

特権管理

管理者は、不正アクセス等にそなえ、システム管理者の権限の保護を行う必要があります。不正アクセス対策には、必要のないアクセス権は排除するのと同時に、管理者の管理権が悪意の侵入者によりはく奪された場合のバックアップアクセスや、通信経路・サーバの切り替え等の対策も考えておくべきです。

データ保護

データそのものの保護については、管理者と、勤務者が協力して保護すべき情報(データ)の特定や保存されているデータの機密性・可用性の確保に関する対策を施します。技術的な手段を管理者が講じ、強化された運用ルールを勤務者は遵守すべきです。運用ルールの周知徹底を経営者と管理者が協力して行います。

マルウェア対策

マルウェアの感染防止・検出・排除・ネットワークの遮断について、管理者が必要なツールの導入などの技術的施策の実行を行います。エンドポイントにある端末がネットワークの外部にあることにかんがみ、経営者は、これらの対策についての必要性をまず理解し、費用について予算・支出の承認を行います。

通信の保護

通信を暗号化で保護することも必要な対策です。技術的な施策は管理者が中心になって行い、勤務者は暗号化に伴うルール(ファイルのパスワードに関するルールを順守、各システム・端末の設定を行うなど)を遵守、求められる措置を実行します。

アカウント・認証管理

アカウント・認証管理については、情報システムにアクセスするためのアカウント管理や認証手法に関する対策を行います。リモートワークではゼロトラストの考え方に従った認証・シングルサインオンの活用を行う必要があります。管理者が実行しますが、アカウント・認証管理に関するルールを全勤務者が遵守する必要もあります。

アクセス制御・認可

セキュリティのリスクの増大には、アクセス権を付与するのは最小限とすることが基本対策になります。データやサービスへのアクセスを、必要最小限かつ正当な権限を有する者のみに制限することに関する対策をルールの見直しや設定の変更などにより管理者と関係部署が協力して行います。ルール順守が全勤務者に要求されます。

インシデント対応・ログ管理

セキュリティインシデントに対しては迅速に対応することが必要です。ログを取得したり、事故原因を調査するのは管理者が所属する専門部署・リスクマネジメント担当部署などが行うことが多いです。

インシデントが発生していること、再発防止策等は、経営者に報告すべき事項とされています。報告が適時・迅速にできるか、また対策をとるだけに十分な技術的施策が打てているかなどを含めて管理者から経営者と情報を共有すべきです。

こちらは、弊社で作成いたしました、インシデント発生時の情報共有や記録にお役立ていただける「インシデント管理台帳」です。無料でダウンロードしていただけますので、ぜひご活用ください!

「インシデント管理台帳」を今すぐダウンロードする (無料)

物理的セキュリティ

端末・記憶保存メディアの管理など、物理的な手段による情報漏えいについての保護も管理者により行われるべきものです。通常の場合よりもリモートワークの場合、データが物理的に移動することが多いことに鑑み、より管理がしやすい方法に変更をすることも管理者が検討したほうがよいでしょう。

脅威インテリジェンス

最新の脅威・攻撃手法に対する動向調査・脆弱性情報を管理者は収集する必要があります。これも経営者に対して報告が必要であるのと同時に、勤務者の正常な業務に必要な情報のみに絞って警戒を呼び掛け、情報を提供することが必要です。勤務者1人1人がどんな脅威があるのか、意識を高めることも重要です。

教育

テレワーク勤務者のためのセキュリティの理解はリスクの予防に非常に重要なものです。

例えば、シャドーITなどは無意識の間に使っていた、などということがあるくらいですが、勤務者が自分の行動から生じるリスクを理解していないような状況を教育によって低減します。管理者が企画はしますが、例えば教育教材の中に経営者名義で方針を説明するなど、トップのコミットがあるとより浸透度が挙がることが知られています。

まとめ

以上の通り、リモートワークで大きくなるリスクをコントロールするため、セキュリティ体制・施策もリモートワークに合わせて見直すことが必要です。施策の実行には、経営者・管理者・勤務者それぞれの役割での行動が必要とされます。

今後リモートワークは拡大傾向が続くと思われますが、セキュリティ対策は一度対策すればよい、ということではないので、新しい手口への対応・最新技術の導入など、継続的に組織全体での取り組みを行うことにより定着・セキュリティレベルの向上をはかりましょう。

また、弊社LRMでは、企業のテレワークにおけるセキュリティルール構築コンサルティングを行っております。テレワークセキュリティに纏わるあらゆるお悩みに対応いたします。まずは無料でご相談ください。

法人向けテレワークの
セキュリティルール構築コンサルティング
まずはお気軽に無料相談・資料請求

テレワークを実施するにあたってマストのセキュリティ対策をまとめた資料もぜひ無料でダウンロードして、本記事と併せてご活用いただけますと幸いです。

情報セキュリティ対策認証取得を目指す組織体制・ルールの構築リスクマネジメント
テレワーク
タイトルとURLをコピーしました