テレワークのセキュリティ対策について
企業の情報資産は、多くの場合、オフィスの中で管理され、外部の目に触れることはありません。
しかし、テレワークを行う場合、インターネット上を流れたり、持ち運びが容易なノートパソコン等の端末で利用されるため、セキュリティ対策がなされたオフィス環境とは異なり、マルウェアの感染、端末や記録媒体の紛失・盗難、通信内容の盗聴等といった「脅威」にさらされやすいといえます。
更に、端末やその設定や使い方において脅威に対する「脆弱性」が存在すると、情報漏えいや情報の消失などといった実際の事故の発生につながります。
このような事故の発生を防ぐためのテレワーク実施方法には、活用するシステム・環境などにより複数存在します。
テレワークで利用する端末種別(PC、タブレット、スマートフォン)やオフィスネットワークへの接続方式(VPN、リモートデスクトップ、セキュアブラウザ)、テレワーク端末(会社支給や従業者所有)へのデータ保存の有無などといった要素により、考慮すべきセキュリティ対策も変わってきます。
上図は、総務省が発行している「テレワークセキュリティガイドライン」および「中小企業等担当者向けテレワークセキュリティの手引き(チェックリスト)」を参考に、テレワークの全体像と取り巻く脅威、それらに対するセキュリティ対策方法を図示したものです。
なお、これに示したテレワーク方法以外にも、作業内容や費用等により様々な方法があります。本資料が、企業等がテレワークを実施するにあたり、どのような方法で、どのようなセキュリティ対策を講じるべきかを考える際のお役に立てば幸いです。
本資料に用いた、以下の資料も合わせてご参考ください。
テレワークの7つの方式
以下は、上図にも示した総務省「テレワークガイドライン」に示された6つのテレワーク方式を解説したものです。
パターン① VPN方式
テレワーク端末からオフィスネットワークにVPN接続を行い、オフィスネットワーク内のファイルサーバやクラウドサービス等に接続し業務を行う方法です。
テレワーク端末が物理的にオフィス内にある場合と同じように業務が可能です。
-
メリット
オフィスネットワーク内に設置されたセキュリティ機器を介して接続を行うこととなるため、オフィス内にいるときと同等のセキュリティレベルを確保することができ、テレワーク端末上にデータの保存が可能。
そのため、通信が不安定になった場合でも、テレワーク端末上に保存されたデータを用いて業務の継続が可能となります。 -
デメリット
情報の持ち出しのリスクや、端末の紛失や盗難による情報漏えいのリスクといったデメリットがあります。
パターン② リモートデスクトップ方式
「リモートデスクトップ」とは、ソフトウェアによってコンピュータのデスクトップ画面をネットワークを通じて外部の別コンピュータへ転送し、遠隔で操作する方法です。
実際にデータ処理を行うのは、遠隔操作されるオフィスネットワーク内に設置されている端末であるため、オフィス内にいる場合と同じように業務が可能です。
-
メリット
オフィスネットワーク内に設置されたセキュリティ機器を介して接続を行うこととなるため、オフィス内にいるときと同等のセキュリティレベルを確保することができ、テレワーク端末上へのデータ保存を制限することができるため、データ管理が容易です。
-
デメリット
テレワーク勤務者全員がオフィスネットワークに常時接続して通信を行うことになるため、通信回線の帯域が不足するなどの問題が発生する可能性があります。また、遠隔操作画面をテレワーク端末へ転送することになるため、頻繁にデータの送受信が発生し、通信遅延の影響を大きく受けるデメリットがあります。
パターン③ 仮想デスクトップ(VDI)方式
「仮想デスクトップ」とは、オフィスのサーバ上で提供される仮想デスクトップ基盤(VDI:Virtual Desktop Infrastructure)に、テレワーク端末から遠隔でログインして利用する方法です。
「リモートデスクトップ方式」がオフィスネットワーク内に設置されている端末に接続するのに対し、接続するデスクトップ環境を仮想デスクトップ(VDI)基盤(専用サーバ等)に集約させたものです。
-
メリット
オフィスネットワーク内に設置されたセキュリティ機器を介して接続を行うこととなる(ローカルブレイクアウト時は除く。)ため、オフィス内にいるときと同等のセキュリティレベルを確保することができ、しかもテレワーク端末上へのデータ保存を制限することができるため、データ管理が容易です。
また、仮想デスクトップ(VDI)環境は、システム・セキュリティ管理者が一括して管理できることから、セキュリティ統制の集中管理が可能となります。 -
デメリット
テレワーク勤務者全員がオフィスネットワークに常時接続して通信を行うことになるため、通信回線の帯域が不足するなどの問題が発生する可能性があります。また、遠隔操作画面をテレワーク端末へ転送することになるため、頻繁にデータの送受信が発生し、通信遅延の影響を大きく受けるデメリットがあります。
パターン④ セキュアコンテナ方式
テレワーク端末上に、ローカル環境(テレワーク端末を通常使っている環境)とは独立した「セキュアコンテナ」という仮想的な環境を設け、その仮想環境内でアプリケーションを動作させ業務を行う方法です。
-
メリット
セキュアコンテナ上で動作するアプリケーションはローカル環境に接続ができないことから、テレワーク端末上にデータを残さずに利用することが可能なため、データ管理が容易です。
また、データを処理するアプリケーションはテレワーク端末上(セキュアコンテナ上)で動作しており、その処理に必要なデータをオフィスネットワークとの間で送受信するだけでよいため、インターネットの通信回線の影響を受けにくいです。 -
デメリット
セキュアコンテナ上で動作するアプリケーションに業務が限定されるデメリットがあります。
パターン⑤ セキュアブラウザ方式
テレワーク端末上で、セキュアブラウザと呼ばれる特別なインターネットブラウザを利用し、オフィスネットワーク内で利用されるシステム(社内システム)やクラウドサービスで提供されるアプリケーションにアクセスし業務を行う方法です。
-
メリット
セキュアブラウザを利用することで、ファイルのダウンロードや印刷等の機能を制限することができます。また、テレワーク端末上へのデータ保存を制限することができるため、データ管理が容易です。
また、セキュアブラウザは、テレワーク端末上で動作しているため、ブラウザ表示に必要なデータをオフィスネットワークとの間で送受信するだけでよいため、常時接続が必要な「リモートデスクトップ方式」や「仮想デスクトップ(VDI)方式」に比べて、インターネットの通信回線の影響が小さいです。 -
デメリット
セキュアブラウザ上で動作するアプリケーションに業務が限定されるデメリットがあります。
パターン⑥ クラウドサービス方式
オフィスネットワークに接続せず、テレワーク端末からインターネット上のクラウドサービスに直接接続し業務を行う方法です。
-
メリット
テレワーク勤務者はオフィスネットワークを経由せず、クラウドサービスへ直接接続を行うため、オフィスネットワーク内等にあるテレワークシステムに通信が集中して混雑してしまうといった問題を回避可能です。
-
デメリット
企業等のクラウドサービス導入状況により業務の実現可能な範囲が異なるほか、そもそもクラウドサービスに対応している業務でなければテレワークが実施できないため、どのような業務が実施可能か確認する必要があります。また、クラウドサービスからテレワーク端末上にデータの保存が可能であるため、情報の持ち出しのリスクや、端末の紛失や盗難による情報漏えいのリスクがあります。加えて、オフィスネットワークを経由せず、直接クラウドサービスへ接続するため、利用状況等の把握が困難になるというデメリットがあります。
パターン⑦ スタンドアロン方式
テレワーク時にオフィスネットワークには接続せず、あらかじめテレワーク端末等へ保存していたデータの編集や閲覧をすることで業務を行う方法です。
-
メリット
支給端末や個人所有端末をそのまま利用するだけであるため、機器等を新設・増設せずに導入が可能です。また、テレワーク環境からオフィスネットワークへの通信もないため、テレワーク利用に伴う通信集中等の問題も生じません。
-
デメリット
事前に保存したデータを用いた業務に業務内容が限定され、処理したデータをオフィスネットワーク上に反映することもできないため、オフィスから長期間離れて作業するようなテレワーク形態には適合しません。また、テレワーク端末等へ直接データを保存するため、情報の持ち出しのリスクや、端末等の紛失や盗難による情報漏えいのリスクがあります。