この春、多くの企業が急遽リモートワーク体制に移行した際に課題となったのがセキュリティの確保だ。今回はリモートワークにおけるセキュリティについて、4つの観点から検討したい。
1)デバイスのセキュリティ
利用状況やセキュリティ対策の有無が分からないスタッフ所有のデバイスをそのまま仕事に使わせることは、セキュリティの観点からは避けるべきだ。MDMなどの仕組みを利用すれば一定のセキュリティを確保できるが、そこまでして私物のデバイスに頼るよりも、可能なら仕事専用で使えるノートパソコンを貸与した方が良いだろう。
貸与したデバイスには、少なくとも基本的なセキュリティ対策を施し、重要なセキュリティアップデートなどが適用されているかなどを継続的に確認する必要がある。貸与したデバイスを個人的な用途で利用したり、無断でソフトをインストールしたりすることがないように、管理することも重要だ。
2)ネットワークのセキュリティ
ノートパソコンの貸与が難しい場合には、リモートデスクトップや仮想デスクトップなどを利用することが選択肢となる。ただし、突貫工事で構築された脆弱なリモートアクセス環境は不正アクセスの標的となりやすく、VPNルーターの脆弱性などを狙った攻撃も増加している。安易に企業内のネットワークに外部から接続させるくらいなら、クラウドサービスへの移行も検討すべきだ。
ネットワークのセキュリティについては、もう1つ注意すべきことがある。それは、リモートワークを行う個々のスタッフの自宅のネットワーク環境だ。WPA2(AES)などの安全なWi-Fi接続が利用されているかは最低限確認した方が良いだろう。リモートワークの有無にかかわらず、家庭内におけるセキュリティとしても推奨されることであり、方法さえ伝えればスタッフが自分で確認できる。また、公衆無線LANなどの安易な利用は避けたいところだ。
3)クラウドのセキュリティ
リモートワークと相性が良いのがクラウドサービスだ。ただし、利用する場合にはサービスを提供する事業者の信頼性やセキュリティ対策、利用規約などをよく確認しておく必要がある。場合によっては顧客との契約に抵触する恐れもあるので安易な移行やスタッフによる無断利用は禁物だ。
また、世界中どこからでもアクセスできることは、強みでもあり弱みでもある。クラウドサービスを利用する場合には、オンプレミス環境とは違ったセキュリティの考え方が必要であり、パスワードを使い回すことを避けたり、多要素認証を設けたりと、認証に関するセキュリテイをしっかりと確保する必要がある。
4)データのセキュリティ
リモートワークでは共同で作業をするためにデータを共有する機会が増える。ネットワーク越しにデータを送受信する機会が増えれば、それだけ漏洩のリスクも高まるということだ。ファイルをメールで繰り返し転送し合うような作業方法は避けたい。それならばクラウド環境で共同作業できるようにする方が良いだろう。
また、できればローカルにダウンロードしないで作業する方が良い。サーバー上で安全に管理していても、ローカルにコピーができてくると管理が難しくなる。これは私物の端末を利用すべきでない理由の1つでもある。個人でファイル共有ソフトなどを利用したスタッフがローカルにダウンロードされていた機密ファイルを流出させてしまうことが懸念されるからだ。機密ファイルの流出は絶対に避ける必要があるが、万が一のことを考慮して適切な方法で暗号化しておくことも検討すると良いだろう。
まとめ
リモートワークのセキュリティと一言で言っても、実際にはさまざまな観点から総合的に検討することが必要になる。何か1つセキュリティソリューションを導入すればそれで済むというものではなく、どこにリスクがあるのかを洗い出し、それぞれ適切な対策を講じていく必要がある。とはいえ、最も大切なのはリモートワークを行う各スタッフの意識であり、日頃のセキュリティに関する啓発活動が重要だと言えるだろう。
The Business Infosec 