リモートアクセスのセキュリティリスクと対応者別の対策を解説！

働き方改革や新型コロナウイルス感染症拡大の影響で急激に需要が高まっているリモートアクセス。テレワークの環境構築に向けて導入を検討している企業も多いのではないでしょうか。しかし、ネットワークを使うとなるとセキュリティリスクが気になるもの。そこでこの記事では、リモートアクセスのセキュリティリスクについて解説した後、その対策方法を経営者・システム管理者・テレワーク勤務者に分けて解説していきます。

リモートアクセスサービスの
製品比較記事を見る

リモートアクセスとは
リモートアクセスに潜む5つのセキュリティリスク
リモートアクセスのセキュリティ対策【経営者編】
リモートアクセスのセキュリティ対策【システム管理者編】
リモートアクセスのセキュリティ対策【テレワーク勤務者編】
リモートアクセスを行うにはセキュリティ対策が必要

リモートアクセスとは

リモートアクセスとは、自宅や外出先など社外から社内環境へ接続したい場合に必須のサービスです。導入することで、出張先や自宅でも社内と同じ環境で仕事をすることが可能になります。ここ最近の急激なテレワークの普及で、導入する企業も増加しています。とても便利なサービスではありますが、セキュリティ面に不安を感じる方もいらっしゃるのではないでしょうか。ここからは、リモートアクセスにどのようなセキュリティリスクがあるのかを解説していきます。

リモートアクセスに潜む5つのセキュリティリスク

1、不正アクセス

不正アクセスは、最初に注意したいセキュリティリスクです。不正アクセスを行う方法としては、単純にID・パスワードを盗み出して行うパターンと、IPアドレスを偽る方法があります。

不正アクセスを行う侵入者は、社内マシンのひとつに侵入してIPアドレスを盗み、そのマシンを使用不能に。こうすることで、自身を使用不能にしたマシンだと偽ることが可能です。

その後、そのマシンのIPアドレスを使って目的のシステムに侵入を開始。システムは社内ネットワークに存在するIPアドレスと認識するため、設定によっては認証を経ずに利用を許してしまいます。

2、盗聴

ネットワークモニタリングソフトやパケットモニタリングソフトなどを利用すると、ネットワーク上を流れるデータは簡単に盗聴できます。クレジットカード情報やパスワードなど重要な情報を暗号化せずにやり取りすると、どこで盗聴が発生するか分かりません。

3、改ざん

改ざんとは、不正ログインに成功した侵入者が、そのマシン内にあるデータを書き換えてしまうという行為のことです。

改ざんにより、業務データが破壊されたり、公開しているWebサイトを書き換えられたりといった被害が想定されます。公開しているWebサイトが改ざんされると、対外的にもセキュリティ管理が甘いと認識されてしまい、会社の社会的信用が失墜しかねません。

4、なりすまし

なりすましとは、不正に入手したIDとパスワードを用いて正規のユーザーのように振る舞い、システム内に侵入する手口のことです。ID・パスワードの入手手段は、推測されやすい初期パスワードのまま変更していない不適切な認証情報管理、内部による犯行（入力時の盗み見など）などさまざまなパターンがあります。

5、コンピュータウイルス

リモートアクセスの接続先は、インターネット上に公開されている状態です。インターネット上に公開されていると、どうしてもコンピュータウイルスの攻撃を受けやすくなります。

リモートアクセスのセキュリティ対策【経営者編】

リモートアクセスを導入すると決めた場合、セキュリティ対策は全社を挙げて取り組むべき課題です。経営者も例外ではなく、トップダウンで情報セキュリティ保全対策の大枠を決める必要があります。ここからは、経営者が取り組むべきセキュリティ対策について解説します。

1、情報セキュリティポリシーの設定と定期的な監査

情報セキュリティポリシーは、セキュリティ対策の根幹をなすルールです。経営者は、テレワークの実施を考慮した情報セキュリティポリシーを作成しなくてはなりません。

専門的な部分で分からない場合は、社内外の有識者より意見を集め、草案を用意してもらってもいいでしょう。ただし、ポリシーの内容に責任を持つのは経営者です。

経営者の策定した情報セキュリティポリシーに従い、システム管理者は具体的な手順を定めたセキュリティ関連の運用ルールを策定します。運用ルールが完成することで、リモートアクセスを実施する環境が整うことになります。

リモートアクセス開始後も、システム管理者は情報セキュリティポリシーが守られているかの定期的な確認が必要です。運用ルールの中で、現状にフィットしていない部分があれば、見直し・修正も随時行います。

2、情報の重要レベル区分

情報の重要レベル区分には3種類あり、重要で機密性の高い順から、機密情報・業務情報・公開情報となります。取り扱う情報について、重要度に応じたレベル分けを行うとともに、テレワークで利用できるか、利用できる場合はどのように取り扱うべきかを決めましょう。

3、情報セキュリティ対策教育の実施

情報セキュリティ対策教育の実施方針・スケジュールを決めることも、経営者の重要な任務です。具体的な教育内容については、システム管理者が中心になって決めます。テレワーク勤務者が迷いなくセキュリティ対策を講じながらテレワークを行えるための情報を、すべて伝えましょう。

4、危機管理体制の整備

セキュリティインシデント（事故）が発生した場合、迅速に対応できる連絡体制を整えることも重要な対策です。連絡体制を整えるだけではいざというときうまく機能しない可能性もあるため、事故対応の訓練は定期的に行うようにしましょう。

5、情報セキュリティ対策全般への自社リソース割り当て

情報対策には、多くの自社リソースが必要となります。どこまで自社リソースを割り当てるか、予算はいくらまでなら許容できるかといった判断は、経営者にしかできません。

リモートアクセスのセキュリティ対策【システム管理者編】

システム管理者は、リモートアクセスのセキュリティ対策において重要な役割を担います。実際のセキュリティ対策の運用ルールを具体的な手順に落とし込み、定期的なセキュリティ教育の内容作成・教育実施などは、システム管理者の役割です。

1、情報セキュリティ保全対策

情報セキュリティ保全の対応として、経営者が定めた情報セキュリティポリシーなどに従い、以下の業務を推進します。

情報セキュリティポリシーに沿って具体的な技術的対策を講じる
情報セキュリティ対策の定期的な実施状況監査
電子データの情報レベル分けとレベルごとのアクセス制御や暗号化など技術的な扱いの決定、手順書の作成
セキュリティ教育用資料作成と定期的な教育実施
情報セキュリティ事故が発生した場合の連絡体制決めと事故対応の訓練を実施

経営者が方針決めや大まかなスケジューリングを行い、システム管理者は具体的な実施方法の策定などの実務面を担当します。

2、悪意のソフトウェアに対する対策

悪意のあるソフトウェアやサイバー攻撃に対する具体的な対策方法の確立と実行推進は、システム管理者の役割です。以下は標準的な対策です。

Webフィルタリング
テレワーク端末のアプリケーション管理
テレワーク端末のウイルス対策
私用端末を用いる場合のセキュリティ対策確認
ランサムウェア対策
迷惑メール、スパムメール対策

他にも、最新のセキュリティ対策を取り入れて、効率的にテレワーク環境のセキュリティ対策を推進しましょう。

3、端末の紛失・盗難に対する対策

端末の紛失や盗難は、気をつけていても発生する可能性はゼロにできないトラブルです。台帳またはシステムを導入して、端末の利用者管理も行いましょう。

4、重要情報の盗聴に対する対策

リモートアクセスで無線LANを利用する場合、何も対策を講じていないとデータを盗聴される可能性があります。VPN接続など、安全に通信を行える対策を行いましょう。

5、不正侵入・踏み台に対する対策

リモートアクセスを行える環境を整えると同時に、不正アクセスや踏み台などへの対策も必要です。利用者認証の管理方法は、具体的な手順を定めて適切に管理できるように対策しましょう。

アクセス方法の規定（VPN接続の利用など）
UTM機器など複数のセキュリティ対策を行う
アクセス状況の監視体制を整えて実際に監視、不要なアクセスを遮断
リモートアクセス時のパスワードは強度の高いもののみ許可する

テレワーク勤務者が遵守するべき対策については手順書を作成し、スムーズに作業できるよう資料を整えてください。

6、外部サービスの利用に対する対策

外部サービス（LINEやSNS、オンラインストレージなど）の利用に関しては、公私混同を避けるために明確な利用基準を定めてください。基本的に業務で利用するもの以外の外部サービスを、利用禁止とするのが一般的です。利用を認める場合はルールをはっきりと決めて、テレワーク勤務者に教育を通じて伝えていきます。

リモートアクセスのセキュリティ対策【テレワーク勤務者編】

テレワーク勤務者は、リモートアクセスを実施する当事者です。当然、セキュリティ対策を行わなくてはなりません。ここでは、システム管理者編と対応する形で、テレワーク勤務者側で行う対策について解説します。

1、情報セキュリティ保全対策

システム管理者の定めたリモートアクセス時の情報セキュリティ保全対策に従い、テレワーク業務を行います。定期的に行われるセキュリティ教育へ参加しなくてはなりません。また、電子データはレベルごとに定められた方法で利用し、情報セキュリティ事故発生時の連絡体制を確認、事故対応の訓練にも参加します。

2、悪意のソフトウェアに対する対策

テレワーク勤務を行っている間は、悪意のあるソフトウェアに対する注意も必要です。

マルウェア感染防止のためOSやブラウザは常にアップデートを行う
システム管理者に許可を受けたアプリケーションのみ使用する
テレワーク端末へのウイルス対策ソフト導入と最新定義ファイル更新
メールの添付ファイルやリンクの扱いに注意

その他、システム管理者の定めた対策を行います。

3、端末の紛失・盗難に対する対策

端末の紛失・盗難に対しては、システム管理者の定めたルールに従い、可能な限り対策を行います。基本的には情報資産を持ち出さずに済むよう工夫しましょう。

4、重要情報の盗聴に対する対策

フリーのWi-Fiは極力使用しないようにしましょう。VPN接続を使用するよう指示されている場合は、必ずその指示に従いましょう。VPNは通信データを暗号化してくれるため、データの送受信の安全性が高まります。また、カフェなど公共の場所で仕事をする場合は、画面を覗き見られないようフィルターなどで保護しましょう。