リモート ワークに必要なセキュリティとは? 課題と解決策を解説

まず、リモート ワークが広がっている背景、リモート ワーク導入の障壁となりがちなセキュリティの課題について解説します。

「リモート ワーク」は「テレワーク」とほぼ同じ意味で、オフィス以外の場所で働くことを指しています。本稿では明示的な場合を除いて「リモート ワーク」という呼び方に統一します。総務省が発行する「テレワーク セキュリティ ガイドライン」では、リモート ワークのセキュリティにおける注意点を挙げており、リモート ワークを以下の 3 つの形態に分けています。

(画像出典：PR TIMES)

株式会社パーソル総合研究所が継続的に行なっている全国 2 万人を対象とした調査によれば、正社員におけるリモート ワーク実施率は 2020 年 11 月時点で 24.7% となっています。この数字は 2020 年 3 月から 4 月にかけて一気に増えたものの、それ以後は微減しています。

また、従業員 1 万人以上の企業の実施率は約 45% である一方、従業員 100 人以下の企業では実施率約 13% と、企業の規模によってリモート ワークの導入率にばらつきが見えます。

リモート ワーク導入の課題として、総務省が 2017 年度に実施した「ICT 利活用と社会的課題解決に関する調査研究」では「情報セキュリティの確保」が挙げられています。セキュリティは企業の根幹に関わる重要事項であるため、リモート ワークに踏み切れないままでいる企業が少なくないのです。

ここでは上述のセキュリティの課題をさらに詳しく解説しながら、それぞれの解決策を提示します。

PC が不正かつ有害な動きをするように作成された悪意のあるソフトウェアのことを「マルウェア」と呼びます。「コンピュータ ウイルス」や「ワーム」「トロイの木馬」「スパイウェア」などはマルウェアの一種です。これらは有害なプログラムをコピーして他者のコンピュータに拡散したり、ごく普通のアプリケーションと見せかけてコンピュータの破壊活動を行なったり、個人情報を盗み出して拡散したりします。

マルウェアはユーザーの気付かないうちに PC に入り込んでいることが多く、USB メモリや Web サイト、メール、ファイル共有ソフトなどを主な感染経路としています。マルウェアの侵入を防ぐためには、常に OS やソフトウェアを最新バージョンにアップデートすること、セキュリティ対策ソフトを導入することが必要です。

また、社内でセキュリティに関するガイドラインを規定して運用することも重要です。たとえば、会社の PC には許可を受けたソフトウェアのみインストールすること、社外のメンバーと協業する場合には、安全性が確認されているソフトやツールを使用することなどを全社で徹底する必要があります。

PC を社外に持ち出してさまざまな場所で仕事に使うとなると、端末自体の紛失やデータの盗難もリスクとなります。会社の PC やスマートフォンなどの端末を台帳で管理する企業は多くありますが、最近では「MDM ソリューション」と呼ばれる端末の一括管理システムが普及しています。端末の位置情報を把握したり、盗難や紛失の際にリモート ロックをかけたりする機能があり、もしものことがあっても被害を最小限で済ませることができます。

また、持ち出し用 PC のデータは暗号化する、「シン クライアント」端末を使ってデータをサーバー側に残すといった解決策も考えられます。シン クライアントとは、サーバー側で処理を行い、結果となる画面を転送して端末上で表示する機能で、端末の機能を最小限に抑えることが可能です。シン クライアントにすると、オフライン状態で作業できないのが弱点でしたが、現在ではオフラインでも最低限のデータで作業できるものも存在します。

盗聴 (のぞき見) には物理的なものと、ネットワークを使ったものがあります。物理的な盗聴としては、オフィス以外の環境で作業しているときに社外の人に画面を見られることなどが挙げられます。プライバシー フィルターを使ってのぞき見を防ぐなどの対策が必要です。

一方、ネットワークを利用した盗聴は、安全でないネットワークを介して作業する際などに起きる可能性があります。カフェなどの不特定多数の人が利用する場所での無線 LAN は、セキュリティ レベルの設定がそれほど高くないこともあるので注意が必要です。社内にアクセスするときはデータを暗号化する、VPN (仮想プライベート ネットワーク) を利用して会社のネットワークにアクセスするなど、ネットワーク セキュリティ対策が必須となってきます。

さらなる課題として、マルウェアを使った不正侵入や、セキュリティの脆弱性を利用したシステムへの攻撃といった直接的なシステム攻撃もあれば、自社のシステムを踏み台にして他のシステムを攻撃する (自社が加害者のように扱われる) など間接的な攻撃もあります。また、ID やパスワードの持ち出しによる社内システムへの不正アクセスや、内部ユーザーによるデータ持ち出しなどの内部不正にも対策が必要です。

不正侵入や踏み台などを防ぐ対策としては、セキュリティ対策ソフトの導入、社内ネットワークにファイヤーウォールを適切に設けること、ワン タイム パスワードなどでパスワード管理を徹底することなどが有効でしょう。

予防だけでなく、ログインしているユーザーの行動を把握することや、不正侵入などがあった際に迅速に検知できるしくみを作ることも大切です。万が一のことが起こっても、被害が最小限に済むようにしておきましょう。

現在、多くの企業が Windows の PC や Microsoft Office のソフトを使用しています。そこで、ここでは Microsoft 社の製品がどのようにセキュリティ対策を講じているのかを紹介します。

(画像出典：Microsoft Defender for Office 365 Web サイト)

Windows 10 の PC には、標準的なセキュリティ ツールとして「Windows セキュリティ」が搭載されており、「Window Defender ウイルス対策」などのソフトが用意されています。標準的な機能として、メール、アプリ、クラウド、 Web 上のウイルス、マルウェア、スパイウェアなどの脅威から PC を保護します。

Office 365 ユーザーの企業向けには、「Microsoft Defender for Office 365」が用意されています。脅威に対する防止、検出から調査、応答と修復までのライフ サイクルをカバーしている上、セキュリティ意識向上のためのトレーニングも含まれているので、基本的なセキュリティ対策としてあらゆるフェーズをカバーできます。

(画像出典：Microsoft「さらに安全な Windows」Web サイト)

Windows Hello は、顔認証や指紋リーダーなどを活用した高度なログイン機能を特長としています。Windows 10 の PC やタブレットなどのデバイスでは、盗難や紛失の際にも Windows Hello によって安全性を保つことが可能です。

たとえば、デバイスを紛失した場合や盗難に遭った場合も、本人以外は端末を開くことができません。また、デジタル リストバンド、スマートウォッチなどのデバイスと連携させておけばパスワードを使用することなく認証することが可能で、利便性と安全性を兼ねることができます。

(画像出典：Microsoft「Microsoft Intune の概要」Web サイト)

Microsoft Intune は、端末類を一括管理する MDM ソリューションとアプリケーション管理を中心としたサービスです。会社所有と従業員所有の両方のデバイスをクラウドから管理できるほか、PC、タブレット、スマートフォンなどのさまざまなデバイスも一元的に管理ができます。

個人用の端末を仕事用に使用する場合も、個人用データと仕事用のデータを分けて管理でき、双方にとってより安全な業務環境を実現します。モバイル端末からのアクセスが当たり前になっている現代において、多様なデバイスを安全に使用できる環境を整えることは必須と言えるでしょう。

(画像出典：Azure Active Directory Web サイト)

システム認証基盤として広く使われている Active Directory のクラウド版が Azure Active Directory (Azure AD) です。Microsoft Azure のクラウド上でシングル サインオンの基盤を提供します。シングル サインオンとは、認証処理を一度行うことで複数のリソースを利用可能にする特性のことで、管理やパスワード入力などの手間を省略しつつ、セキュリティを強化することが可能です。

クラウド上にあるさまざまなアプリケーションへのアクセスを一元化することで、社内のアプリケーションに対する従業員のアクセスを安全に、かつ厳格に管理することができます。また、外注先や協力会社などの外部とプロジェクトを進める際、必要な人にリソースへの必要なアクセスを付与できるため、より円滑な協業が実現します。

(画像出典：Microsoft IT よろず相談センター Web サイト)