IT用語集 2022/04/16

リモートアクセスとは？仕組みや導入のポイントを解説

テレワークでは、端末の持ち出し、外部ネットワークの利用、SaaSや業務システムへの直接接続が増えるため、端末、通信、認証、運用の弱い箇所が事故につながりやすくなります。先に優先したいのは、利用ルールの整備、端末保護、認証強化、ログ確認の四つです。急いで環境を整えた組織ほど、「使えているが管理し切れていない」状態が残りやすいため、導入後の見直しまで含めて整理したほうが安定します。

一例として、企業がリモートアクセス環境を整備する際にセキュリティを重視する傾向は、企業ネットワーク及び関連システムに関する調査でも確認できます。対策を考える際は、製品名から入るのではなく、「どの事故を減らしたいのか」「誰が何を守るのか」「例外をどう管理するのか」から決めたほうが、後からの手戻りを抑えやすくなります。

以下では、テレワークで起こりやすい事故の型を整理したうえで、ルール・人・技術を分けすぎずに運用へつなげるための対策を説明します。読み終えた段階で、自社で先に手を付けるべき項目と、最低限そろえたい運用の骨格が見える構成にしています。

テレワーク導入にともなうセキュリティリスク

テレワークでは、オフィス外から社内ネットワークやクラウドへ接続するため、事故の起点が社内LANだけに閉じません。代表的なリスクは、端末の紛失・盗難、情報漏えい、不正アクセス、マルウェア感染です。これらは別々に見えても、実際には相互に連動しやすく、端末保護の弱さが認証情報の流出につながり、その先で不正アクセスが起きることもあります。

端末の紛失・盗難：保存データやログイン状態の流出につながる
情報漏えい：誤共有、誤送信、持ち出し、保存先の不備が起点になる
不正アクセス：認証情報の窃取や使い回しが入口になる
マルウェア感染：更新漏れ、危険な添付ファイル、未管理端末が起点になる

端末の紛失・盗難は「端末内のファイル」だけで終わらない

社外へ持ち出した端末が紛失・盗難に遭うと、保存ファイルだけでなく、ブラウザの保存情報、メールやチャットの履歴、業務アプリのログイン状態、VPNクライアントの設定まで第三者に渡るおそれがあります。端末内のデータ保護は、情報漏えい対策であると同時に、社内システムやクラウドへの不正アクセスを防ぐ対策でもあります。

通信経路と接続先が増えると、事故の入口も増える

テレワークでは、公衆Wi-Fiや家庭内ネットワークを使う場面があり、通信の盗聴やフィッシングによる認証情報の窃取が不正アクセスへつながることがあります。加えて、社内システムだけでなく、クラウドサービスや委託先のシステムなど、接続先そのものが増えやすくなります。接続先が増えるほど、認証、権限、共有設定のばらつきが事故へつながりやすくなります。

未管理端末が増えると、更新漏れと設定差が起点になる

管理対象の端末が増えると、OSやブラウザ、業務アプリの更新漏れ、設定差、資産台帳との不一致が起こりやすくなります。問題は、これが「個人のPCの問題」に見えやすく、組織としての対処が遅れがちな点です。端末の棚卸し、設定の標準化、未更新端末の検知と是正まで含めて運用を作らないと、台数が増えるほど弱点が残りやすくなります。

テレワークのセキュリティ対策

テレワーク対策は、ルール、人、技術を分断せずに整えたほうが維持しやすくなります。技術だけを先に強化すると現場の回避行動を招きやすく、ルールだけを増やすと守られない項目が増えやすくなります。先に土台を決め、そのうえで技術対策を載せる順序のほうが崩れにくくなります。

1. ルール整備

テレワークを利用する際のルールは、事前に明文化しておくほうが安定します。利用できる端末の範囲、データの持ち出し可否、画面ののぞき見対策、公衆Wi-Fi利用の扱い、クラウドサービスの利用範囲、セキュリティインシデント時の連絡手順を先に決めておくと、現場ごとの差が広がりにくくなります。

禁止事項だけでなく、判断基準を置く

ルールは、禁止事項を並べるだけでは例外に弱くなります。先に「何を守るのか」「どんな状態は許容しないのか」を定義しておくと、現場で迷ったときの判断軸がぶれにくくなります。例えば、顧客情報や認証情報を扱う業務では、私物クラウドへの保存を認めない、第三者から画面が見える場所で作業しない、といった基準まで書いたほうが実務に使いやすくなります。

2. 社員教育

ルールを定めても、現場で守られなければ効果は出ません。テレワークでは管理者がその場で確認しにくいため、ルールを習慣として定着させる教育が要ります。フィッシング、標的型メール、誤共有、誤送信、公衆Wi-Fi利用時の注意点など、事故の起点になりやすい場面は繰り返し教育したほうが効果を出しやすくなります。

知識より行動を定着させる

「怪しいメールに注意する」だけでは曖昧です。迷ったら開かずに報告する、添付ファイルは保存前に確認する、パスワード入力は公式の導線から行う、といった行動単位まで落とし込むと、現場で迷いにくくなります。教育の内容は、理解確認と定期的な再周知まで含めて設計したほうが定着しやすくなります。

3. 認証の強化

テレワークでは、認証情報の窃取がそのまま不正アクセスにつながりやすくなります。IDとパスワードだけに頼る構成ではなく、多要素認証、パスワードポリシー、必要に応じた条件付きアクセスを組み合わせたほうが、認証情報の流出時にも被害を抑えやすくなります。

認証だけ強化しても足りない

認証が強くても、権限が広すぎれば到達範囲は減りません。認証強化とあわせて、退職・異動時の権限剥奪、共有アカウントの抑制、クラウド側の権限棚卸しも進めたほうが、不正アクセス後の被害拡大を抑えやすくなります。

4. クラウド利用の統制

テレワークとともにクラウドサービスの業務利用も増えます。便利な一方で、共有範囲の誤り、権限の過大付与、許可していないサービスの利用が事故の起点になりやすくなります。利用できるクラウドサービスを限定し、共有設定と権限管理の基準を決めておくと、事故の起点を減らしやすくなります。

見落としやすいのは共有設定と権限の棚卸し

クラウド事故では、サービス自体の脆弱性より、共有範囲の誤りや退職者の権限残りが問題になることが少なくありません。利用サービスの限定に加え、共有設定の標準化、権限の定期棚卸し、退職・異動時の権限剥奪まで含めて運用を作ると、継続的に管理しやすくなります。

5. ログの収集と確認体制

テレワークでは、業務状況や異常を目視で確認しにくいため、ログが状況把握の土台になります。誰が、いつ、どこから、どのサービスへアクセスしたのかを追えるようにしておくと、不審な挙動の早期発見や、事故発生後の調査を進めやすくなります。

ログは保管だけで終わらせない

ログは取るだけでは事故を減らせません。認証、VPN、主要クラウド、端末更新状態など、確認対象を絞り、誰がどの頻度で見るのか、異常時にどこへ連絡するのかまで決めておくと、保管だけの状態を避けやすくなります。通知を自動化できる範囲は自動化し、担当者の負担が過大にならない設計にしたほうが継続しやすくなります。

6. 端末保護（暗号化・画面ロック・遠隔対処）

端末の紛失・盗難に備えるには、保存データの暗号化が基本になります。暗号化されていれば、端末が第三者へ渡った場合でも、すぐに中身を読み取られるリスクを下げやすくなります。必要に応じて、データを端末へ残しにくい構成や、リモートアクセス中心の利用方式も検討対象になります。

暗号化と運用をセットで整える

暗号化だけでは不十分です。短時間での自動画面ロック、遠隔ロックや遠隔初期化、紛失時の連絡手順までそろえておくと、事故時の初動を早めやすくなります。技術だけでなく、いつ誰が何をするのかを決めておくことが前提になります。

7. VPNの利用

VPNは、通信内容を暗号化して社内ネットワークへ接続する技術です。自宅や外出先から社内のPCや業務システムへ接続する際、通信経路の保護に役立ちます。テレワークで広く採用されている理由はここにあります。

VPNは有効だが、それだけで十分とは言えない

VPNは通信経路の保護には役立ちますが、認証情報が盗まれている場合や、端末自体が侵害されている場合には、それだけでは被害を抑えきれません。認証強化、端末管理、アクセス範囲の制御、ログ確認と組み合わせて使ったほうが、全体としての強度を上げやすくなります。

8. セキュリティ製品による技術対策の補強

テレワークのセキュリティ対策は、個別の施策を寄せ集めるだけだと抜け漏れが出やすくなります。認証、端末管理、ログ、接続制御をどこまで自社で担うのかを見たうえで、必要な部分を製品やサービスで補うほうが整理しやすくなります。

例えば、NetAttest EPSはネットワーク認証を軸に接続制御を行う製品で、VPNゲートウェイと組み合わせることで、許可された端末だけが接続できる構成を取りやすくなります。自社だけで運用を組みにくい場合は、どの機能を製品で補い、どの運用を自社で持つのかを分けて考えたほうが、構成の整理がしやすくなります。