近年、テレワークを導入する企業が増加傾向にあり、遠隔地から社内ネットワークに接続するリモートアクセスの重要性が高まっています。しかし、リモートアクセスはその利便性と引き換えに、セキュリティリスクが懸念されるシステムです。そこで本記事では、リモートアクセスに求められるセキュリティ対策について解説します。
リモートアクセスとは
「リモートアクセス」とは、インターネット回線を利用して、遠隔地から特定のサーバーやコンピュータにアクセスする仕組みを指します。自宅や外出先から社内ネットワークやコンピュータに接続できる特徴から、テレワーク環境を構築するうえで欠かせないシステムです。
近年、新型コロナウイルスの感染症対策の一環として、テレワークを取り入れる企業が増加傾向にあります。パーソル総合研究所の調査によると、2020年3月時点で13.2%だった正社員のテレワーク実施率が、緊急事態宣言発令後の4月には27.9%と、約2.1倍にまで上昇しています。
このような社会的背景から、テレワークの導入率増加に付随して、遠隔地から社内ネットワークに接続するリモートアクセスの重要性が高まっているのです。また、2019年4月より「働き方改革関連法」が順次施行され、企業は多様で柔軟な働き方の実現や長時間労働の是正など、労働環境の抜本的な改革が求められています。リモートアクセスは、こうした新しい時代に即した労働環境を構築できる方法のひとつとして、非常に大きな注目を集めている技術です。
しかし、リモートアクセスは遠隔地から社内ネットワークに接続するというシステムの特性上、セキュリティの脆弱性が懸念されています。たとえば、最も危惧されているのが、PCやモバイルデバイスの紛失・盗難による情報漏洩インシデントです。テレワークではファイルや文書を社外へ持ち出す必要があるため、常にセキュリティリスクに晒されています。それ以外にも、従業員の不正な情報の持ち出しにより、機密情報が漏洩する可能性も否定できません。こうしたセキュリティリスクをいかに軽減させるかが、リモートアクセスの課題といえます。
リモートアクセスの仕組み
ここからは、リモートアクセスの仕組みについて見ていきましょう。テレワーク環境を整備するためには、リモートアクセス機能を備えた「サービス」と、セキュリティを担保できる「通信回線」が必要です。その役割を担うのが、「RAS」と「VPN」の2つです。
RAS(Remote Access Service)
RASは「Remote Access Service」の略称で、遠隔地から社内ネットワークやコンピュータに接続するサービスを指します。狭義ではWindowsで提供されるサービスの名称を指しますが、近年では同様の機能やサービス全般を示す用語として使われています。
RASは、一般回線を利用してリモートアクセス環境を構築するサービスであり、最近では機器を設置する必要がないクラウド型のRASも登場しています。リモートアクセスを構築する最も基本的な方法として普及していますが、一般回線を利用しているため、ログ監視や認証機能といったセキュリティ強化が必要です。
VPN(Virtual Private Network)
VPNは「Virtual Private Network」の頭文字をとった略語であり、インターネット上に仮想の専用回線を構築する仕組みを指します。特定の人だけが利用可能な専用ネットワーク回線であり、トンネル接続や暗号化といったセキュリティ技術によって、比較的安全に通信できるのが大きな特徴です。VPNには、導入しやすい「インターネットVPN」と、セキュリティに強い「IP-VPN」の2種類があります。
また、VPN接続を利用する際は、クライアントとLANの接続を管理するサーバー「Remote Access Server(RAS)」が必要です。リモートアクセスはトンネル接続を用いてRASにつなげ、暗号化でセキュリティを担保するのが基本的な仕組みとなっています。このRASは、遠隔地から社内のネットワークに安全に接続するうえで欠かせない要素のひとつです。
なお、先述した「Remote Access Service」と「Remote Access Server」は、どちらもRASと呼ばれますが、それぞれ意味の異なる用語です。「Remote Access Service」はリモートアクセスを可能とするサービスであり、「Remote Access Server」はVPN接続に必要なサーバーの総称を指します。この2つはどちらもリモートアクセス環境の構築に欠かせない要素ですが、意味も用途も異なるため、混同しないよう注意が必要です。
リモートアクセスに必要なセキュリティ対策
冒頭で述べたように、リモートアクセスは新しい時代のワークスタイルの確立に欠かせない要素ですが、セキュリティの脆弱性が懸念される技術でもあります。テレワーク環境を最適化するためにはリモートアクセスが不可欠なため、いかにしてセキュリティを強化するかが大きな課題といえるでしょう。ここからは、リモートアクセスに必要なセキュリティ対策について、「経営者」「管理者」「テレワーク勤務者」それぞれの観点から解説していきます。
経営者が実施すべき対策
経営者の役割は、企業理念や経営ビジョンを掲げ、組織が発展する仕組みを構築することにあります。したがって、リモートアクセスのセキュリティ強化を実施するうえで経営者が取り組むべき課題は、「データガバナンスの統制」です。
「データガバナンス」とは、データの運用と管理におけるルールやセキュリティポリシーを策定し、それを遵守する仕組みを指します。事業活動を行ううえで、情報セキュリティにおけるリスクは必ず生じるものです。そのため、あらゆるリスクを想定して分析し、データの取り扱いに関するルールとセキュリティポリシーを定め、組織全体で共有・遵守する仕組みを構築する必要があります。
管理者が実施すべき対策
管理者が実施すべきセキュリティ対策は、経営者が構築したデータガバナンスの仕組みが正しく機能しているかどうか監査することです。もちろん、管理者自身が策定されたルールやセキュリティポリシーを遵守することが大前提であり、そのうえで各部門やチームが社内ルールを励行しているかをモニタリングする必要があります。そして、職務分掌の規定やアクセス権限管理など、セキュリティ維持に関する技術的対策を講じるとともに、定期的に実施状況を監査するのが管理者の役割です。
テレワーク勤務者が実施すべき対策
リモートアクセスのセキュリティ強化を実施するうえで、テレワーク勤務者が実施すべき対策は、経営者が定めたルールやセキュリティポリシーの実施と遵守です。テレワーク作業中における業務責任を自覚し、データガバナンスが定める技術的・物理的および人的対策基準に沿った業務を行い、定期的に自己点検を実施します。
経営者がどれだけ優れたルールやセキュリティポリシーを策定しても、テレワーク勤務者に遵守する意識がなければ意味をもちません。リモートアクセスの環境を最適化するためには、従業員一人ひとりが社内ルールを遵守し、継続的な改善に取り組む必要があるでしょう。
リモートアクセスのセキュリティは「HENNGE One」におまかせ!
企業にとって情報セキュリティの管理は、非常に重要な経営課題のひとつです。近年ではクラウドファーストの流れが加速しており、さまざまな製品やサービスのクラウド化が進んでいます。そして、同時にテレワーク実施率も増加傾向にあるため、企業はこれまで以上にセキュリティ環境の強化に取り組まなくてはなりません。そこでおすすめしたいのが、SaaS認証基盤「HENNGE One」の導入です。
HENNGE Oneは、エンタープライズ向けソリューションの開発・販売に携わるHENNGE社が提供するサービスであり、セキュアなクラウド利用を実現するIDaaS(Identity as a Service)です。Microsoft 365やGoogle Workspaceなど、さまざまなクラウドサービスと連携し、ID管理、シングルサインオン、デバイス証明書などを利用した他要素認証(MFA)を提供するほか、脱PPAP対策として利用されるメール誤送信対策も備えています。リモートアクセスのセキュリティ強化を実現したい企業にとって、最適のソリューションといえるでしょう。
まとめ
情報通信技術の進歩によって、人々の暮らしは利便性を増す一方、マルウェアや不正アクセスといったサイバー攻撃の脅威も年々巧妙化しています。情報はヒト・モノ・カネに次ぐ第4の経営資源であり、企業にとって情報セキュリティの強化は、優先的に取り組むべき課題のひとつです。働き方改革の推進や新型コロナウイルスの影響を受け、今後はますますテレワークを導入する企業が増加していくと予測されます。
テレワーク環境を最適化するためには、遠隔地から社内ネットワークに接続するリモートアクセスが不可欠です。リモートアクセスのセキュリティ環境を整備するためにも、HENNGE社が提供するSaaS認証基盤「HENNGE One」の導入を検討してみてはいかがでしょうか。
- カテゴリ:
- ID管理
- キーワード:
- セキュリティ対策