リモートアクセスとは？ 仕組みや導入のポイントを解説

多くの企業で採用され、今や当たり前のようになったテレワークですが、テレワークならではのセキュリティリスクが存在することを忘れてはいけません。これからテレワークを導入する企業や、必要に迫られて急いで環境を整えたという企業は、いま一度「テレワークにおけるセキュリティ対策」の基本を押さえておくとよいでしょう。

企業がテレワーク（リモートアクセス）環境を導入する際、セキュリティ対策を最も重視していることが「企業ネットワーク及び関連システムに関する調査」からも確認できます。

この記事では、テレワーク導入にともなうセキュリティリスクの代表例を整理したうえで、それらを軽減するための基本的な対策（ルール・人・技術）を解説します。読み終える頃には、「自社に必要な対策の優先順位」と「最低限そろえるべき運用の型」が判断できる状態を目指します。

テレワーク導入にともなうセキュリティリスク

この章では、テレワークで何が危険になりやすいのか（端末・通信・認証・運用）を整理できます。

テレワークはオフィスから離れて仕事をする働き方です。端末をオフィス外に持ち出し、外部から社内ネットワークや業務システムに接続するため、セキュリティ対策が欠かせません。

テレワークにおけるセキュリティリスクとしては、次のようなものが挙げられます。

• 端末の紛失・盗難
• 情報漏えい
• 不正アクセス（なりすまし）
• マルウェア感染

端末の紛失・盗難は「端末の中身」だけが問題ではない

端末を社外に持ち出すため、データを保存した端末の紛失・盗難がそのまま情報漏えいにつながるリスクがあります。また、端末上に認証情報（IDやパスワード、ログイン状態など）が残っていると、社内ネットワークやクラウドサービスへ不正アクセスされる恐れもあります。

加えて、紛失・盗難時に問題になりやすいのは「端末内のファイル」だけではありません。ブラウザの保存情報、メール・チャットの履歴、業務アプリのログイン状態、VPNクライアントの設定など、攻撃者にとって価値のある情報が端末には集まりがちです。端末を守る施策は、情報漏えいだけでなく不正アクセスの入口を塞ぐ意味でも重要になります。

通信経路と“接続先”の広がりが、攻撃面（アタックサーフェス）を増やす

ただし、情報漏えい・不正アクセスは端末を紛失・盗難したときだけに起こるものではありません。たとえば、セキュリティ対策が十分ではないネットワーク（公衆Wi-Fiや家庭内ネットワークなど）でテレワークを行うと、通信内容の盗聴や、フィッシング等による認証情報の窃取をきっかけに、不正アクセスへつながる可能性があります。

テレワークでは「社内ネットワークに入る」だけでなく、「クラウドサービスに直接アクセスする」「業務委託先のシステムに接続する」など、接続先が広がる傾向があります。接続先が増えるほど、認証・権限・端末状態のばらつきが事故につながりやすくなるため、入口の統制（認証）と出口の統制（持ち出し・共有）をセットで考える必要があります。

管理が行き届かない端末が増えると、更新漏れ・設定ミスが起点になる

さらに、テレワークで管理すべき端末が増えると、更新漏れや設定ミスなど「管理が行き届かない端末」が出やすくなります。結果として、脆弱性が放置され、マルウェア感染などのリスクが高まります。

このとき厄介なのは、端末側の問題が「個人のPCの問題」に見えてしまい、組織としての対処が遅れやすい点です。実際には、更新の仕組み、端末の棚卸し、設定の標準化、未適用端末の検知と是正といった“運用の仕組み”がないと、テレワークの拡大に運用が追いつきません。

安全なテレワークを実現するためには、次に紹介するようなセキュリティ対策が欠かせません。

テレワークのセキュリティ対策

この章では、ルール・人・技術を分断せずに、実務として回る対策の型（優先順位と最低限のセット）を整理できます。

テレワークのセキュリティ対策では「ルール」「人」「技術」のバランスが重要です。ここでは、基本として押さえたい7つの対策を紹介します。

ルール作り

テレワークを利用する際のルールは、事前に策定しておくことが重要です。業務の都度「これは安全か」を判断して対策を講じるのは効率的ではありません。

また、従業員に判断を任せきりにしてしまうと、人によってセキュリティの強弱が生まれてしまいます。そうならないためにも、事前に「安全に仕事をするためのルール」を策定し、従業員に周知徹底したうえで、守ってもらえる状態を作りましょう。

たとえば、利用可能な端末の範囲、データの持ち出し可否、画面ののぞき見対策、公衆Wi-Fi利用の扱い、クラウドサービス利用のルール、インシデント時の連絡手順などを明確にしておくと運用が安定します。

ルールは「禁止事項の羅列」より、判断基準を先に置く

ルールは細かく書くほど安心に見えますが、現場では例外が必ず発生します。禁止事項だけを増やすのではなく、「守りたい対象（顧客情報、設計情報、認証情報など）」「許容できない事態（第三者閲覧、外部共有、なりすましなど）」を先に定義すると、例外判断の軸が揺れにくくなります。

社員教育

テレワークのセキュリティ対策の「ルール」「人」「技術」のなかでは、「人」の部分が最も難しいといわれています。ルールを定めても守らなければ意味がありません。

テレワークでは離れて仕事をしているため、ルールが守られているかを常に確認することは難しいでしょう。ルールを習慣として定着させ、自然と守ってもらうためには、繰り返しの社員教育が重要です。

社員教育を通して、ルールの背景（なぜ必要か）まで理解してもらうことで、フィッシングや標的型メールなど、判断が求められる脅威への耐性も高められます。

教育は「知識」より、具体的な行動に落とす

テレワークで事故につながりやすいのは、曖昧な理解のままの“行動”です。例えば「怪しいメールに注意」だけでは不十分で、「迷ったら開かずに報告」「添付は保存せず隔離」「パスワード入力は公式ブックマークから」など、迷いどころを行動に落とすと定着しやすくなります。

クラウド利用の管理

テレワークとあわせてクラウドサービスの業務利用も増えました。クラウドサービスはインターネットにつながっていればどこからでもアクセスできる一方、管理が不十分だと情報漏えいなどにつながりかねません。

業務で利用できるクラウドサービスは限定し、従業員に周知徹底することが重要です。また、社内ネットワークからは許可されたクラウドサービスにしかアクセスできないように制限をかけることも有効です。

見落としやすいのは「共有設定」と「権限の棚卸し」

クラウド起点の事故は、サービスそのものの安全性よりも、共有範囲の誤りや権限の過大付与が原因になることが少なくありません。利用サービスの限定に加え、共有設定の標準化、権限の定期棚卸し、退職・異動時の権限剥奪といった運用が必要です。

ログの収集・管理

テレワークでは従業員が離れた場所で仕事をしているため、業務状況を直接確認できません。「誰が」「いつ」「どこから」「どのような」アクセスをしているのかを把握するためにも、ログの収集・管理を行いましょう。

ログを管理しておくことで、不正アクセスなどが発生した際に通常とは異なる挙動を検知しやすくなり、早期発見につながります。

ログは「取る」だけでは意味がなく、見る仕組みが必要

ログは保管しているだけでは事故を防げません。最低限として、確認すべき対象（認証、VPN、主要クラウド、端末の更新状態など）と、見る頻度、異常時のエスカレーション先を決めておくと運用が回りやすくなります。監視や通知を自動化できる範囲は自動化し、担当者の負担が過大にならない設計が重要です。

データの暗号化

端末を社外に持ち出すことから、社外秘のデータなどを保存した端末の紛失・盗難は情報漏えいにつながります。これらを軽減するためには、端末に保存するデータ自体を暗号化することが有効です。

データが暗号化されていれば、仮に端末を紛失・盗難されたとしても情報漏えいのリスクを下げられます。また、社外に持ち出す端末はデータを保存できなくし、リモートアクセス中心で利用する「シンクライアント端末」の活用も選択肢のひとつです。

暗号化とあわせて、画面ロックと遠隔対処まで整える

暗号化は重要ですが、実務では画面ロック（短時間で自動ロック）、端末の遠隔ロック・遠隔初期化、紛失時の連絡手順がセットになって初めて効果を発揮しやすくなります。端末を守る対策は、技術だけでなく運用（いつ誰が何をするか）を決めておくことが前提です。

VPN利用

VPN（Virtual Private Network）は、仮想的な専用線を構築する技術です。通信内容は暗号化されるため、インターネットを介して社内ネットワークに接続する場合でも盗聴リスクを軽減できます。

自宅などから社内のパソコンにリモートデスクトップ接続する際にも利用され、安全な通信経路を確保する手段として広く採用されています。

VPNは有効だが「VPNだけで安全」とは言い切れない

VPNは通信経路の保護には有効ですが、認証情報が盗まれた場合や、端末が侵害されている場合には被害を防げないことがあります。VPNの導入に加え、強固な認証、端末保護、アクセス範囲の制御、ログ監視を組み合わせて、全体としての強度を上げることが重要です。

セキュリティ製品の導入による環境整備

テレワーク（リモートアクセス）におけるセキュリティ対策には、さまざまな手法が採用されています。

技術的なセキュリティ対策は、専用のセキュリティ製品を導入することをおすすめします。セキュリティ対策は包括的な対策が必要ですが、個別の施策を寄せ集めると抜け漏れが発生する可能性があります。

また、運用には高度な知識やスキルが求められる場面も多く、十分な対策が実施できていないケースもあるでしょう。不正アクセス対策ひとつとっても、強固な認証の導入やデバイス制御など、対策方法は多岐にわたります。

こうした課題を軽減するために導入するのが各種のセキュリティ製品です。NetAttest EPSは、安心・安全・快適なネットワーク環境を構築するためのネットワーク認証サーバーです。

確かな認証によって不正アクセス対策を強化し、パソコンだけでなくスマートフォンも含めて、許可された端末だけが社内ネットワークに接続できる環境を、VPNゲートウェイ機器と連携して構築できます。

テレワークのセキュリティ対策における「ルール」「人」「技術」のうち、技術はセキュリティ製品を活用して対策するとよいでしょう。

テレワーク対策を“継続運用”に乗せるためのポイント

この章では、導入して終わりにしないための運用の型（抜け漏れを減らす回し方）が分かります。

テレワークが普及する昨今、関連するセキュリティ事故も増えています。セキュリティ事故は企業活動に大きな影響を及ぼす可能性があるため、セキュリティ対策は十分に行いましょう。

対策を「やったつもり」で終わらせないためには、最低限、次のような運用観点を押さえておくと効果が持続しやすくなります。

• 端末の棚卸し（管理対象から漏れている端末を作らない）
• 更新状況の確認（OS・ブラウザ・業務アプリの更新漏れを検知する）
• 認証の見直し（使い回しや弱いパスワード前提になっていないかを点検する）
• 権限の定期棚卸し（クラウドの共有範囲・権限過大付与を是正する）
• インシデント連絡の訓練（迷ったときに即連絡できる状態にする）

テレワークのセキュリティ対策では、セキュリティ製品の導入も有効です。NetAttest EPSは社内ネットワークにより安全に接続できる環境を実現するための機能が充実しています。

ご参考

【ウェビナー】リモートアクセスの必須要件 ～ガイドラインが求める認証でセキュリティを強化する方法～ | ネットアテスト

netattest.com

関連サービスはこちら

働き方を可視化し、セキュリティ対策・業務改善を支援するレポートサービス