Special
掲載日:2022年1月31日
セキュアなテレワークを
実現するために
リモートアクセス時
注意すべき点とは
コロナ禍でテレワークが推進された結果、事務仕事ではリモートアクセスで業務を行うケースも増えてきました。
しかし社外からネットワーク経由で業務を行うことはセキュリティ上のリスクが出てきてしまう部分もあります。
今回はどんなリスクがあるのか、そしてリスクに対して情シス担当者がどう向き合うべきかをお伝えします。
リモートアクセスとは?
リモートアクセスとはネットワーク経由で異なる場所にある端末に対して接続することを指し、わかりやすくPCの遠隔操作とも呼ばれることも多いです。
リモートアクセスを行うことで、社外からでも社内に設置している端末に接続することで資料を確認したり、社内にいるのと同じ環境で業務を行ったりすることが可能です。
また、ヘルプデスク対応で遠隔地から端末を操作しトラブルシュートする場合に用いられるケースも、リモートアクセスといえます。
リモートアクセスと同じようにリモート”デスクトップ”と言う言葉もよく用いられますが、リモートアクセスは概念としての遠隔地からの接続と言う広い意味を持つのに対し、リモートデスクトップは遠隔地から端末に対して画面転送方式で接続をするという意味合いとなり、リモートアクセスの一部にリモートデスクトップが位置するといえます。
デスクトップで業務を行ってきた会社のテレワークでの課題
総務、経理部門などの基本的に社内で業務を行う部門であれば、据え置き型のデスクトップ端末を利用しているケースも多いのではないでしょうか?
コストの面では、同等スペックで検討した場合にノートPCよりも安価な場合が多く、セキュリティの面でも物理的に持ち出しが難しいことで紛失や盗難の危険性が下がったりするなど、様々な観点からデスクトップPCが選ばれているかと思います。
しかしこのコロナ禍においては、こうした部門においてもテレワークが推奨されることが多くなっています。
そうなると社内のPCを自宅でも利用できるようにするのが最も効率が良いのですが、状況に応じてテレワークと出社しての作業が切り替わる中、デスクトップPCを自宅と事業所間で何度も移動するのは非常に重労働、というよりも、あまり現実的ではありません。
かと言って同等スペックのノートPCを購入するとなると、前述の通りコストが非常に上がってしまうなど会社としての負担が大きくなってしまうのが課題となります。
この解決策として、安価なノートPCを購入したり自宅の私用端末を使ってもらったりして、リモートデスクトップで会社に置いてあるデスクトップにアクセスするケースが多いようです。
リモートデスクトップ利用時のセキュリティ上の課題
リモートアクセスツールさえ入られれば手軽にテレワークができるリモートデスクトップですが、利用時には様々なセキュリティ上の懸念点が出てきます。
例えば次のようなケースを想定してみましょう。
- 接続しようとしているユーザーは本当に正しいユーザーなのか?
事業所内であれば、端末の前に座っている人がイコール利用者のため誰が座っているのかを確認すれば正しいユーザーかどうか(そのPCを使ってよい人であるかどうか、通常は自社社員)を確認可能です。
一方、リモートデスクトップ利用時は、実際にその端末を利用している人が誰なのか(極端な例では、自社社員のご家族など)は確認できないため、ひょっとしたらアカウントを乗っ取った「悪意のある誰か」である可能性が否定できません。
そのため、本人であることをきちんと確かめられる体制が必要となります。 - 定められた端末以外からアクセスしようとしていないか?
リモートデスクトップを行う場合、アプリのインストールと初期設定さえ知っていれば定められた端末以外からのアクセスが可能となっているケースがあります。
この場合シャドウIT(業務上認められている方法を逸脱したIT活用)の温床となる可能性があり、かつ情報漏洩の原因となってしまうので防止しなくてはいけません。 - ユーザーが勝手に接続元の端末のローカルに機密情報をコピーしていないか?
多くの場合、会社においてあるPCから接続元のPCに機密情報をコピーするのはルール上NGとしているかと思います。
しかし情報漏洩の意図がなくても、リモートデスクトップの反応が悪いのでローカル(接続元端末)にコピーして作業しようとするユーザーが出てくる場合もあります。
結果として情報漏洩につながる可能性があるのであれば、情シス担当者としては事前に対策を行わなくてはなりません。 - 接続先端末を操作している際に誰かに見られていないか?
リモートデスクトップ中は席に誰もいないケースがあるため、もしかすると他部門の人物が操作時にディスプレイの前にいて情報を見ているかもしれません。
同じ社内の人間であっても、例えば給与情報や人事に関する情報であれば非常に問題となってしまうケースがあるため、接続先端末画面の閲覧状況についても配慮を行う必要が発生してきます。 - 接続先端末を勝手に操作されたりしないか?
ほとんどの場合、リモートデスクトップ中も接続先端末でのキーボード操作やマウス操作は可能になっています。
よくあるのが、ヘルプデスク対応で他事業所にある端末に対してリモート接続した際に、作業中接続元PC側で操作されてうまく作業できず「今は触らないでください」と指示したことがある情シス担当の方も多いのではないでしょうか?
こうした場合、接続先端末側で勝手に操作されてしまうと接続元端末では対処できなくなってしまいます。
特にテレワーク時に悪意をもってこうしたことを行われると対処のしようがない状態となります。
情シス担当者としてはこうしたケースに対応するための事前の想定と対処が必要です。 - リモートデスクトップ用に接続先端末を常時起動している間に不正アクセスが行われないか?
接続先端末が常時起動していると、いくら情報セキュリティ対策を行ったとしてもリスクが高まった状態になってしまいます。
不正アクセスが行われたり、そもそも勝手に端末を操作されたりしてしまい機密情報を閲覧、送信されてしまう可能性が出てきてしまいます。
こうしたケースに対する根本的な対応についての検討が必須となります。
情シス担当者はリモートアクセスの課題にどう向き合うべきか
コロナ禍を迎える前からリモートアクセスツールは存在しており、それが普及した昨今では多くの課題があることがわかっています。
情シス担当者としては、挙げられた課題に対応するために必要なのはルールの策定と啓蒙活動、そして適切なソリューションの選定です。
ルールの策定によって守るべき指針を定め、何をして良いのか、逆に何をしてはいけないのかを社内で明示しましょう。
ルールが定められることによって、ユーザーは「決められた範囲であれば問題ない」という線引きを行うことができ、安心して業務に臨むことができるようになります。
同時に啓蒙活動も必要です。
ルールはあくまでも会社として定めた方針であり、実際の運用上それがしっかり守られないと意味がありません。
さらにテレワークの場合は監視の目が行き届きにくいこともありルールの順守はある意味個人の意識に委ねられてしまう部分がどうしても出てくるのです。
そのため現在どんなリスクが存在するのか、ルールを順守しなかったことによってどんな被害が出るのかなどを伝えることによって個々人の意識を高め、運用面でのセキュリティレベル向上を狙う必要があります。
しかし、ルールを作り啓蒙活動をしっかり行ったうえでも不正アクセスなどを含めた外部からの攻撃リスクは残ります。
攻撃側の技術レベルが向上した結果、人間には判断できなかったり対応速度として間に合わなかったりするような攻撃が行われているのが現実です。
こうした課題を解決するためにも、適切なソリューションの選定が必要です。
セキュアなリモートアクセスを行えるソリューションを活用することで外部からの攻撃を防げる他、ルールとして定める中のいくつかについてはそもそもソリューション側でケアすることができる場合もあり、社内の運用負荷軽減に役立てることもできるのです。
情シス担当者が適切なソリューションを選ぶだけで、まさに全社の効率を上げることに寄与できるといえます。
ツールの導入によるセキュアなリモートアクセスの実現を
今回挙げたセキュリティ上のリスクは情シス担当者個人でどうにかすることは難しいケースが多く、最適解としてはセキュリティレベルの高いリモートアクセスツールの導入がスピード感としてもセキュリティレベルとしても望ましいと言えます。
例えばライセンスオンラインでも取り扱っているリモートアクセスソリューション「Splashtop」は、これらのような課題に応えることのできるソリューションのひとつとして挙げられます。
(参考:リモートデスクトップでも業務効率を下げないSplashtopとは?)
実態としてリモートアクセスによる業務を行わなければならない現状では、そのセキュリティに対する投資は必要経費と考えられ、またこうしたソリューションを活用して安全な業務遂行を行える環境を作り出すことこそが、情シス担当者の仕事と言えるかもしれません。
Splashtopは無料トライアルもあるため、社内でのテストを行いフィットするかどうか試してみるのも良いのではないでしょうか?
そもそもどれぐらいの金額がかかりそうか、まずはこちらからお見積りを取得することもできます。