こんにちは。スプラッシュトップ編集部です。
テレワークの実施において、セキュリティに課題を抱える企業は少なくありません。
そこで今回は、テレワークでのセキュリティの現状や検討するべきセキュリティ対策の種類などを解説します。
リモートアクセス環境を構築する手段の一つに、リモートデスクトップがあります。セキュリティ面に配慮したリモートデスクトップ環境を構築するための基礎知識や注意点なども解説するので、リモート環境を見直したい方やリモートワークの再導入を検討している方は、ぜひ参考にしてください。
目次
テレワークでのセキュリティの現状
テレワークが一般的なものとなり、導入する企業が増えた今、セキュリティ課題に直面している企業も少なくありません。
まずは、テレワークでのセキュリティの現状について見ていきましょう。
テレワーク導入企業のセキュリティ問題
テレワークの急速な普及により、多様な働き方が実現し、利便性も向上しました。しかしその一方で、セキュリティ対策は追いついていないのが現状です。
テレワークでは、自宅やカフェ、公共のコワーキングスペースなど、オフィス以外の場所で勤務することになります。こうした環境では、情報漏えいやコンピューターウイルスへの感染リスクが高まるため、オフィス勤務時以上に強固なセキュリティ対策が求められます。
総務省が公表した「テレワークセキュリティに関する実態調査(R5年度)」によると、テレワークを導入している企業のうち、39.5%の企業が「テレワークの導⼊にあたり課題となった点」として、「セキュリティの確保」を挙げました(※)。これは、テレワークにおける課題のなかで、最も多くを占めています。
また、同調査では、セキュリティ対策としてマルウェア対策を実施している企業は66.7%でしたが、教育や脅威インテリジェンスを実施している企業は30%程度という結果になりました(※)。この結果を見ると、十分なセキュリティ対策が行なえているとはいえません。
こうした状況を受け、総務省は「テレワークセキュリティガイドライン」を公表しています。2021年に公表された「テレワークセキュリティガイドライン 第5版」では、ルール・人・技術の3つにおいて、バランス良く対策を講じることで、高度なセキュリティレベルを維持できるとされています。
総務省が実施しているテレワークにおけるセキュリティ確保の取り組みについては、こちらのページもご覧ください。
※出典:総務省「テレワークセキュリティに関する実態調査(R5年度)」https://www.soumu.go.jp/main_content/000957253.pdf
テレワーク時に起こりやすいセキュリティトラブル
テレワーク時に起こりやすい代表的なセキュリティトラブルの一つが、情報漏えいです。
テレワークでは、社外にデバイスやUSBメモリ、紙媒体などを持ち出す必要があるため、盗難や紛失によって情報が漏えいするリスクが高まります。公共の場でののぞき見や、フリーWi-Fi利用による不正アクセスなどによって、情報が流出してしまう可能性も高いでしょう。悪意ある従業員によって情報が持ち出され、流出するトラブルも起こりかねません。
また、テレワークの普及にともない、サイバー攻撃の件数も増加しています。特に、テレワークの利便性を支えるクラウドサービスは、インターネット経由で利用されるため、攻撃の標的となりやすいのが問題です。あるいは、企業が管理していない私物端末やソフトウェアが使われてコンピューターウイルスに感染し、不正アクセスの原因となることもあります。その結果、情報の流出にとどまらず、重要なデータが改ざんや破壊の被害を受けるリスクも生じます。
情報漏えいを起こすと、サイバー犯罪に巻き込まれるリスクが高まるうえ、クライアントや従業員に被害がおよぶ可能性も否定できません。社会的な責任を問われ、企業としての信頼が失墜してしまうリスクもあります。
テレワークを実施するうえで、検討すべきセキュリティ対策の種類には、以下の3つがあります。
- 人的セキュリティ対策
- 物理的セキュリティ対策
- 技術的セキュリティ対策
それぞれ具体的にどのような対策が求められるのかを見ていきましょう。
人的セキュリティ対策
人的セキュリティ対策とは、人=従業員に起因するセキュリティリスクを低減するための対策です。
テレワークは従業員がそれぞれオフィス外の自由な場所で業務を行なうため、個々のセキュリティ意識を向上させる取り組みの実施が欠かせません。具体的には、従業員に対して、定期的にセキュリティ研修などの教育を実施するのが効果的です。また、セキュリティガイドラインや社内ルールを策定し、社員に周知徹底するとともに、いつでも誰もが閲覧できる状態にしておきましょう。
物理的セキュリティ対策
物理的セキュリティ対策とは、建物や機器などの物理的資産に対するセキュリティ対策を指します。テレワークにおいては、おもにパソコンやタブレットといった端末への対策が中心です。
セキュリティリスクを低減するには、社外に持ち出す端末をどのように保管・管理するのか、明確な運用方法を決めることが重要です。作業スペースから端末が盗まれるといった物理的なリスクもあるため、必要に応じて作業場所に制限を設けることも検討しましょう。紙媒体の紛失による情報漏えいを避けるために、データ暗号化した記憶媒体での資料持ち出しに限定することも効果的です。
オフィス外であっても、オフィスと同等レベルのセキュリティ対策を講じる必要があります。
技術的セキュリティ対策
技術的セキュリティ対策とは、システムやアプリケーションなど、文字どおり技術面でのセキュリティリスクを低減するための対策です。
テレワークでは、オンライン環境での作業が基本であり、外部記録媒体の使用機会も多くなるため、ウイルス感染のリスクが高まる傾向にあります。そこで、ウイルス対策ソフトの導入と、定期的なアップデートの実施が欠かせません。
また、万が一端末が紛失・盗難に遭った場合に備え、データの暗号化も有効な対策です。データを暗号化しておけば、もし端末が第三者の手に渡っても、情報漏えいするリスクを抑えられます。
加えて、従業員には安全なネットワーク環境の使用を徹底させましょう。特に公衆Wi-Fiの使用はリスクが高いので、通信会社が提供するモバイルルーターの使用を義務化するなどのルール整備が求められます。オフィス内ネットワークとの安全な接続が可能なVPN(Virtual Private Network)環境を整備することも効果的です。
セキュリティの不安からリモートワークを中止した企業が、再導入を検討する際には、「スプラッシュトップ」の活用もおすすめです。スプラッシュトップは世界基準のセキュリティ技術を採用しており、特別な機器やVPNを使わずに、安全なリモートアクセス環境を構築できます。
>【無料トライアル実施中】Splashtopについて詳しく知りたい方はこちら
テレワーク環境で便利なリモートデスクトップの基礎知識
多くの企業で、テレワーク環境を構築する手段として「リモートデスクトップ」が導入されています。
ここからは、リモートデスクトップの仕組みを解説します。
リモートデスクトップの仕組み・製品
リモートデスクトップ(RDP)は、遠隔地から特定のパソコンにリモートアクセスし、操作する技術です。持ち出し用端末や自宅パソコンを使って遠隔で社内パソコンに接続し、操作します。
リモートデスクトップには、Windowsの標準機能として搭載されている「Microsoft リモート デスクトップ」やGoogle Chromeを活用したリモートデスクトップ「Chrome リモート デスクトップ」など無料で利用できるリモートデスクトップサービスも登場しています。
こうした無料のリモートデスクトップ以外に、高いセキュリティや高速の接続を実現した有料のリモートデスクトップのサービスもいくつか存在します。
“Splashtop”はSSL/AES256ビット暗号化通信、二段階認証やデバイス認証機能を採用し、高セキュリティ環境を実現したリモートデスクトップサービスです。
>【無料トライアル実施中】Splashtopについて詳しく知りたい方はこちら
VPNやVDIとの違いは?
リモートデスクトップと同じように、リモートアクセスの環境構築で検討される手段として、VPNやVDIがあります。
VPNはVirtual Private Networkの略称で、仮想の専用線を使って特定の人だけが通信できるようにする技術です。通信は暗号化できるため、安全な通信が可能なことからおもに社外から社内への通信経路を確保するために使われます。機密情報などの盗聴を防止する目的で導入されるケースが多く見られます。
VDIはVirtual Desktop Infrastructureの略称で、仮想デスクトップ基盤を意味する技術です。使い方はリモートデスクトップに似ていますが、接続先が物理的なパソコンではなく、VDIサーバー上に作られた仮想的なデスクトップになります。VDI基盤から一元的に状態を管理できるため、運用・管理を効率的に行ないたい場合に向いている手段です。
どちらにも共通していえることは、リモートデスクトップに比べ導入コストや工数がかかることです。より手軽にリモートアクセス環境を構築する手段として、リモートデスクトップが選ばれることが多いでしょう。
VDI、VPNについてもっと詳しく知りたい方はこちらの記事もチェック
VDIとは?仮想デスクトップとVPN、リモートデスクトップの違いなどを紹介
テレワーク環境におけるリモートデスクトップ利用時のセキュリティ上の注意点
便利なリモートデスクトップですが、利用する際には次に挙げるようなセキュリティ上のリスクに配慮する必要があります。おもに無料のサービスの場合は万全の対策が必要です。
不正アクセス・乗っ取り
リモートデスクトップを利用する際に対策するべきセキュリティ上のリスクは、不正アクセスや乗っ取りです。
リモートデスクトップは、アクセスができれば誰でも社内パソコンを自由に操作できてしまうため、あらゆる攻撃が可能となってしまいます。
テレワークが普及し始めている現在、リモートデスクトップの不正アクセスや乗っ取りを目的とした“RDP総当たり攻撃”が増加しています。この攻撃はリモートデスクトップに接続するためのログインID、パスワードを総当たりで試行する攻撃です。
実際に2019年に確認された「GoldBrute」と呼ばれるマルウェアでは、RDP総当たり攻撃を用いて大規模な攻撃の足がかりとした事例があります。
なお、リモートデスクトップで使用されるポート番号3389番は、サイバー犯罪のターゲットにされやすい傾向があります。無料のリモートデスクトップサービスの場合、この3389番をそのまま利用することが多いため、使う際は注意が必要です。
情報漏えい
リモートデスクトップを利用する際には、情報漏えいにも注意しなければなりません。リモートデスクトップは多くの場合、あらゆるデバイスから社内パソコンへの接続を可能とします。
リモートデスクトップの種類やその設定の仕方によっては、社内パソコンからのみアクセスできるような機密データでさえ、接続先のデバイスに保存できてしまいます。
社内の機密データを社外のデバイスに保存した場合、データの紛失や盗難、マルウェア感染による不正アクセスなどにより、取り返しの付かない事態も起こり得ます。
テレワーク環境でリモートデスクトップのセキュリティ対策
リモートデスクトップを安全に利用するためには、セキュリティ対策が欠かせません。ここでは、具体的なセキュリティ対策について紹介します。
通信を暗号化する
テレワークでリモートデスクトップを利用する場合、ほとんどはインターネットを経由して社内パソコンに接続することになります。暗号化されていない平文のリモートデスクトップ通信を行なっていると、盗聴やデータの改ざんの被害に遭う可能性が考えられるため、安全な通信経路を確保しましょう。
その際に利用すると有効な技術として、前述したVPNがあります。なかでもIPsec-VPNやSSL-VPNは、通信を暗号化するため、安全に接続できます。
しかし、リモートデスクトップと併せてVPN環境の構築を行なう場合、コストが大きくかかってしまう点がデメリットです。
リモートデスクトップ経由のコピーを禁止する
情報漏えいリスクを減らすためには、リモートデスクトップの接続もと端末にデータを保存できないようにするのが効果的です。リモートデスクトップの種類や設定によっては、コピーを禁止できます。
また、パソコンの必要最小限の構成だけを持つシンクライアントと呼ばれる端末を利用するのも有効です。シンクライアントは、そもそもHDDなどの外部記憶装置を持たないため、情報漏えいリスクをより低減できます。
多要素認証の導入
多要素認証は、通常のユーザーID/パスワードによる認証に加え、スマートフォンをはじめとした外部のデバイスでも認証を行なう認証方式です。
仮にユーザーID/パスワードによる認証を突破されたとしても、個人のスマートフォン宛に届いたコードを入力しなければ、ログインができない仕組みです。導入することで、不正アクセスや乗っ取りの被害を防ぐことができます。
多要素認証は、「二段階認証」や「二要素認証」などの名称で多くのサービス・製品で利用されており、指紋や静脈といった生体認証と組み合わせる例も多く見られます。また、個人の認証・認可をより強固なものにする手段として有効です。
リモートデスクトップサービス選定時には、これらの対策が可能なものを選ぶとよいでしょう。
>“Splashtop”なら二段階認証にも対応! 詳しく知りたい方はこちら多要素認証とは? 高セキュリティを実現する認証方式の基礎知識と二段階認証・二要素認証との違い
まとめ
テレワークを安全に実施するには、ルール・人・技術の3つの観点からバランス良くセキュリティ対策を行なうことが重要です。セキュリティに課題を感じているのなら、今回ご紹介した内容や、総務省が公表しているセキュリティガイドラインなどを参考に、セキュリティ強化に向けた取り組みを検討しましょう。
リモートデスクトップは遠隔地から特定のパソコンにアクセスして操作する技術です。テレワークの普及が進む昨今、ますます利用頻度が増えています。
リモートデスクトップのサービスは無料のものも多く存在しますが、不正アクセスや乗っ取り・情報漏えいなどのセキュリティリスクが懸念材料となりがちです。漏えいを防止するには、より強固なリモートアクセス環境を構築するVPNと組み合わせて利用するのが有効手段の一つです。
しかしVPN環境の構築には、手間とコストがかかります。VPNを利用せずに安全なリモートデスクトップ環境を構築したい方は、SSL/AES256ビット暗号化通信やデバイス認証や二段階認証などにも対応し、高いセキュリティ環境が実現できる “Splashtop”の導入を検討してみてはいかがでしょうか。
>【無料トライアル実施中】Splashtopについて詳しく知りたい方はこちら
