ハイブリッドワーク時代のセキュリティ対策！ゼロトラストの考え方とは？

ハイブリッドワークによるセキュリティ上のリスク

ハイブリッドワークには、次のようなリスクがあります。

• 社内データを持ち出す場合、媒体の紛失や盗難などのリスク
  社内のデータをPCごと、またはUSBメモリなどで持ち出すことも多いものです。その場合、紛失したり盗難に遭ったりするリスクがあります。
• インターネットを経由した情報漏洩のリスク
  リモートアクセスにより自宅の端末から社内ネットワークにアクセスするためには、インターネットを経由しなければなりません。そこから情報漏洩が発生するリスクがあります。
• フリーWi-Fiを利用する場合の情報漏洩、盗聴などのリスク
  自宅ではなく、コワーキングスペース、カフェなどで業務を行うこともあります。その場合、それぞれの場所で提供されているフリーWi-Fiを利用することになるでしょう。そこから情報漏洩や認証情報の詐取、盗聴の被害に遭うリスクがあります。また、認証情報の詐取からフィッシングサイトに誘導されてマルウェアに感染したり、マルウェア配布の踏み台にされたりすることもあります。
• 自宅のWi-Fiからの情報漏洩や盗聴などのセキュリティリスク
  自宅のWi-Fi環境でもセキュリティ対策が甘ければ、情報漏洩や盗聴の被害に遭うリスクがあります。

ハイブリッドワークについては以下の記事をご参照ください。

関連記事

ハイブリッドワークとは？導入のメリットや課題、事例も含めて紹介

ハイブリッドワークの導入によるセキュリティ対策の変化

ハイブリッドワークやテレワークを導入することによって、企業のセキュリティ対策が大きく変化してきました。

企業のセキュリティ対策が変化している理由

これまでは、業務は基本的にオフィス内で行われていました。そのため、社内ネットワークとインターネットの間に境界線を引き、その境界線で対策を行い、内側を守っていればよかったのです。

しかし、コロナ禍によってテレワークやハイブリッドワークが急激に増加し、クラウドサービスやSaaSを積極的に活用する方向へ変化しました。その結果、これまでとは異なり、社外からのアクセスが爆発的に増えました。つまり、従来型の「境界線を守る」セキュリティ対策（ペリメタセキュリティ）では十分な安全性を確保できなくなったといえます。

ハイブリッドワークで増えたセキュリティリスクの種類

独立行政法人情報処理推進機構（IPA）が発表した「情報セキュリティ10大脅威 2022」から、テレワークの増加が原因と考えられるセキュリティリスクを以下に紹介します（IPAの統計では、ハイブリッドワークは「テレワーク」に含まれています）。

• 標的型攻撃による機密情報の窃取
  特定の企業や組織をターゲットとして、機密情報を窃取します。また、権限を乗っ取ったり、ランサムウェアをはじめとするマルウェアに感染させたりもします。コロナ禍やテレワークという社会の変化を利用した手口が多く、テレワークの浸透により増加しています。
• テレワーク等のニューノーマルな働き方を狙った攻撃
  「ニューノーマルな働き方」はテレワークやハイブリッドワークのことを指します。テレワークの普及によりオンライン会議やリモートアクセスの利用が増え、VPNの脆弱性を狙った攻撃など、業務を行う環境の変化を利用した攻撃が増えています。

上に挙げた以外のセキュリティリスクついても、適切なセキュリティ対策が施されていない端末で作業をしていると、より被害が大きくなる傾向にあります。

^{参考：情報セキュリティ10大脅威 2022｜IPA 独立行政法人 情報処理推進機構}

ハイブリッドワーク時代における「ゼロトラスト」という考え方

リモートワークやハイブリッドワークが普及し、これまでのセキュリティ対策では不十分だということで生まれたのが「ゼロトラストセキュリティ」です。

ゼロトラストセキュリティでは、社内・社外、既存・新規を問わず、すべての端末やアクセスを疑い、必ず厳重な認証を行い、信用できるものだけを許可します。適切な認証情報を持たないユーザーやデバイスを信用することはありません。また、ユーザーの操作や端末の動作を監視し、ログを保存します。

それによって、社外のサービスへアクセスする場合や、ハイブリッドワークで社外からアクセスする場合も、社内ネットワークと同様に安心して使うことができます。

ゼロトラストセキュリティについては、以下の記事をご参照ください。

関連記事

ゼロトラストとは？メリットやデメリット、実現するためのポイントを紹介

ハイブリッドワークで安全なセキュリティ対策を行うには？

ハイブリッドワークの場合、社外で業務を行う際は、リモートアクセスを使って行います。リモートアクセスとは、手元の端末から遠隔地（オフィス）のネットワークや端末へアクセスすることであり、ハイブリッドワークやテレワークには必須の技術です。

しかし、インターネット経由でリモートアクセスを行う際には、冒頭に挙げたようなリスクが伴います。そこで、リモートアクセスを安全に行うために、以下のようなセキュリティ対策を実施します。

• モニタリング
  常に、ネットワークや端末の状態、ユーザーの操作などを監視
• 暗号化
  データ転送やデータ保管を行うときには必ず暗号化を実施
• 必要最低限のアクセス許可
  アクセス権限の付与を最小限にとどめ、機密情報に触れるユーザーを減らすことで、情報漏洩のリスクを低減
• ユーザー認証の厳格化
  2段階認証や多要素認証を導入し、認証を複雑化。それによって不正ログインやなりすましのリスクを低減
• エンドポイントセキュリティの確保
  社内・社外にかかわらず、マルウェアや不正アクセスが侵入してくるのはエンドポイント。エンドポイントの安全性を確保することがネットワーク全体のセキュリティに

しかし、これらの対策を実施していくためには、作業時間やコストがかかるだけではなく、ノウハウも必要です。

セキュリティ対策のとれたリモートアクセスを行う方法

より効率的に上述の対策を実現し、安全性を確保するためには、次のような方法があります。

• より安全な接続ができるツールを導入する
  安全な接続を容易に実現するために、リモートアクセスツールを導入します。ツールを使えば接続が簡単になるだけでなく、データを端末に残さずに作業できる場合もあるため、高いセキュリティを確保できます。
  また、リモートアクセスの1種であるリモートデスクトップは、手元の端末から遠隔地のPCを操作する技術です。これを利用することで、社内と同様の作業を行うことができます。リモートデスクトップとリモートアクセスツールについては、以下の記事をご参照ください。

関連記事

リモートデスクトップとは？種類やメリット・デメリットなどを紹介

関連記事

リモートアクセスツールにはどんな種類がある？選び方やおすすめ製品も紹介

• 従業員へのセキュリティ教育を徹底する
  ハイブリッドワークを行う従業員へのセキュリティ教育は欠かせません。私物の端末を使うとどのようなリスクがあるか、リモートアクセスにはどのようなリスクがあるか、それらのリスクへの対策についてなど、具体的な内容で行うとよいでしょう。BYODを利用したテレワークやセキュリティ対策については、以下の記事をご参照ください。

関連記事

テレワークで安全にBYODを導入するには？セキュリティ対策や注意点を解説

関連記事

BYODを導入する際のセキュリティ対策とは？運用面でのポイントを紹介

• 端末やWi-Fiの設定を見直す
  ハイブリッドワークで利用する端末（多くはBYOD端末）やWi-Fiの設定を確認し、安全性を確保します。また、従業員へのセキュリティ教育には、フリーWi-Fiで業務を行わないことや自宅Wi-Fiの設定なども含めましょう。

ハイブリッドワークを安全に実現する方法を確立しよう

コロナ禍がおさまっても、テレワークやハイブリッドワークはなくならないでしょう。そのため、セキュリティリスクが高いことを承知のうえで、安全に利用する方法を考えなくてはなりません。その基本は「ゼロトラストセキュリティ」です。ゼロトラストセキュリティを確立することで、ハイブリッドワークやクラウドサービスも安心して使うことができます。

VPNやクローズドネットワークの構築には大きなコストと手間がかかり、専門のスタッフも必要なため導入が難しいという企業も多いでしょう。その場合は、安全性の高いリモートアクセスツールやサービスを利用する方法をおすすめします。高いセキュリティを確保しながら、容易に安全なリモートアクセス環境を用意することができます。

これらを可能にするサービスが「CACHATTO」で、手元の端末から社内のさまざまな業務リソースへ安全にリモートアクセスすることができます。リモートデスクトップ、セキュアブラウザ、セキュアコンテナなどのさまざまな製品を用意しており、自社に合わせた方法を選ぶことができます。11年連続国内シェアNo.1、累計導入数1,500社以上（※2022年2月時点）という高い実績をもち、幅広い業種で使われています。詳しくは以下をご参照ください。

なお、「セキュリティ」「労務管理」「コミュニケーション」「私物PCの活用」の4つのテーマを軸にした、在宅勤務の課題解決セミナー動画も以下より無料で視聴できます。ぜひ、あわせてご覧ください。