リモートアクセス環境でのセキュリティリスクとは？対策や接続方法を紹介

リモートアクセス下に潜むセキュリティリスク

最近は、働き方改革や感染症予防のため、テレワークを実施している企業が増えてきました。そのため、リモートアクセスで業務を行う場面も増えています。

なお、リモートアクセスについては以下をご参照ください。

関連記事

リモートアクセスとは？テレワークに必須の技術について知っておきたいこと

リモートアクセスでは、インターネットを経由して手元の端末（私物、または会社支給の端末）から社内ネットワークに接続します。そのため、セキュリティ上のリスクは避けられません。

例えば、次のようなリスクがあります。

• 不正アクセス
  IDやパスワードなどの認証情報を詐取し、他人のアカウントに不正にアクセスすること。他のサイバー攻撃の基本
• 通信の盗聴
  他者の送受信しているデータを取得し、その内容をのぞき見ること
• データやWebサイトの改ざん
  他者のデータやWebサイトを消去・改ざんすること
• なりすまし
  詐取したアカウント情報や管理者情報で他人になりすまし、データの消去・改ざんなどを行う
• ウイルス感染
  メールやWebサイトから、他者にウイルス（マルウェア）を配布する

このようなリスクを避けるためにも、セキュリティ対策を講じる必要があります。

セキュリティ対策を講じることで企業が得られる効果

リモートアクセスにはセキュリティ対策の強化が必須です。そこには、次のような効果もあります。

• 従業員のセキュリティ意識の向上
  ネットワーク担当者やシステム管理者がセキュリティの強化を社内に周知することで、従業員のセキュリティ意識が向上し、ITリテラシーの向上にもつながります。
• 情報資産の把握
  テレワークで利用している私物の端末（BYOD）を管理しやすくなります。

関連記事

テレワークで安全にBYODを導入するには？セキュリティ対策や注意点を解説

• 企業価値の向上
  セキュリティ対策を強化することは、システム投資の見直しにつながります。また、取引先や金融機関からの評価が向上し、企業の社会的信用の向上につながります。

リモートアクセス導入時に必要なセキュリティ対策

リモートアクセスで必要なセキュリティ対策とはどのようなものでしょうか。総務省がガイドラインを提示しているので、参考にして自社のガイドラインを設定し活用しましょう。

リモートアクセスのセキュリティガイドライン

総務省の「テレワークセキュリティガイドライン第５版」によると、情報システム部門が対策すべき項目には、次のようなものがあります。

• ガバナンス・リスク管理
  経営者と協力してセキュリティポリシーを策定し、ルールを確認する。ルールにない項目の対応を検討する、など
• 資産・構成管理
  テレワークで使用されている端末のハードウェアやソフトウェアの情報やセキュリティ対策の現状を把握する。テレワーク端末の運用に関するルールを策定し、周知する
• 脆弱性管理
  ユーザーである従業員に、OSやアプリケーション、ファームウェアのアップデートを促す。メーカーサポートの終了について周知する
• 特権管理
  テレワーク端末や、業務で取り扱うデータについて必要なアクセス権限を設定し管理する
• データ保護
  テレワークでの機密情報の取り扱いに関するルールを策定する。テレワーク端末を含めたデータのバックアップを準備する
• マルウェア対策
  マルウェアの侵入を防ぐため、アンチウイルスソフトなどをテレワーク端末に用意する
• 通信の保護・暗号化
  通信は暗号化して盗聴を防ぐ
• アカウント・認証管理
  テレワーク端末での本人認証について基本方針を策定する
• アクセス制御・認可
  テレワーク端末のアクセス制限について基本方針を策定する
• インシデント対応・ログ管理
  セキュリティインシデントの発生に備えて準備する。セキュリティインシデントが発生したら対応する
• 脅威インテリジェンス
  セキュリティに関する最新情報を収集する
• 教育
  テレワークを行う従業員向けの教育を行う

同ガイドラインにはこのほかに、経営者向けやテレワークを行う一般従業員向けの対策もあります。経営者や従業員にガイドラインの内容を周知し、何をすればよいのかを教育するのも情報システム部門の仕事です。

日常におけるセキュリティ対策

IPA（情報処理推進機構）では、「日常における情報セキュリティ対策」を提示しています。リモートアクセスのセキュリティ対策としてもこれらの対策が有効です。

• 修正プログラムの適用
  OSやアプリケーション、ファームウェアは常に修正プログラムを適用して最新の状態にしておく
• セキュリティソフトの導入および定義ファイルの最新化
  セキュリティソフトを導入して有効化し、定義ファイル（パターンファイル、ライブラリ）は常に最新の状態にしておく
• 定期的なバックアップの実施
  トラブルがあっても速やかに復旧できるよう、定期的にシステム全体のバックアップを取っておく
• パスワードの適切な設定と管理
  複雑で長い文字列のパスワードを設定し、ほかのサービスと使い回さない
• 不要なサービスやアカウントの停止または削除
  退職者や異動などで不要になったアカウントがあれば、なりすましに利用されないよう速やかに削除する
• 情報持ち出しルールの徹底
  業務に使う端末やデータを持ち出す場合のルールを作成し、確認する
• 社内ネットワークへの機器接続ルールの徹底
  通常時に社内ネットワークに接続していない機器を接続するときのルールを策定する

詳細は以下ををご覧ください。
日常における情報セキュリティ対策｜IPA 独立行政法人 情報処理推進機構

リモートアクセス環境でセキュリティ対策を強化する接続方式は？

リモートアクセスを実現するためには、VPN構築やリモートアクセスサービスなど、いくつかの接続方式があります。セキュリティに強い接続方式としては、次の2つがよく使われています。

VPN構築

VPN（Virtual Private Network）とは、インターネット上に仮想の専用線を実現する方法です。閉じられた環境で接続し、本人認証やデータの暗号化も行うので、安全性は高いといえます。

ただし、VPNを構築する必要があるので手間もコストもかかり、導入しにくい企業も多い接続方式です。

関連記事

リモートアクセスとVPNの違いとは？VPNの種類や構築する際の流れを解説

リモートアクセスサービス

リモートアクセスサービスとは、インターネット回線を使って安全に社内ネットワークに接続するためのサービスの総称です。リモートデスクトップ、セキュアブラウザ、VDI（仮想デスクトップ）方式など、さまざまな接続方式で提供されています。

利用するサービスによって、手間やコスト、安全性が異なりますが、VPNよりも低コストで導入が容易なものが多いです。選択するリモートアクセスサービス次第で、コストや手間を抑えてセキュリティを確保したリモートアクセスを実現できます。

関連記事

リモートアクセスとは？テレワークに必須の技術について知っておきたいこと

リモートアクセスの導入には、セキュリティに強く自社に合った方法を選ぼう

リモートアクセスを利用すれば、テレワークでもオフィスと同様に業務を行うことができ、非常に便利です。しかし、リモートアクセスには、社内ネットワークにはないセキュリティ上のリスクがあります。そのため、接続方法にかかわらずセキュリティ対策が必要です。効果的なセキュリティ対策については、総務省やIPAがガイドラインを提示しています。

リモートアクセスのセキュリティを強化するためには、より安全性の高い接続方式を利用しましょう。「CACHATTO」は、PCやスマートフォン、タブレットなどの端末から、さまざまな業務リソースや社内のPCへ安全にリモートアクセスできるサービスです。社内ネットワーク、またはクラウドサービス上にCACHATTOサーバーを設置するだけで、簡単に安全性の高い接続を実現できます。CACHATTO のアプリケーションを利用することで、閲覧情報を端末内に保持させず、万が一、端末が盗難・紛失にあっても安心です。

また、リモートアクセスの際、アクセスポイントを中継点とした独自通信をするため、端末のセキュリティリスクが社内に及ぶ可能性を極小化させます。他にも、指紋認証や顔認証、ワンタイムパスワード認証などさまざまな認証やセキュリティチェックを組み合わせて運用できます。会社の規模や用途に合わせた製品を選ぶことができる点も魅力です。詳しくは以下をご覧ください。