Trace Id is missing

リモート ワークに必要なセキュリティとは? 課題と解決策を解説

2021 年 7 月 12 日

働き方改革や 2020 年の新型コロナ ウイルス感染拡大などにより、リモート ワークが注目されるようになりました。しかし、セキュリティ課題によりリモート ワークが普及しづらいといった現実もあります。そこで今回は、リモート ワークにおけるセキュリティの重要性、課題と解決策について解説します。

リモートワークでのセキュリティ

1. リモート ワークに必要なセキュリティとは

まず、リモート ワークが広がっている背景、リモート ワーク導入の障壁となりがちなセキュリティの課題について解説します。

リモート ワークの定義と現状

「リモート ワーク」は「テレワーク」とほぼ同じ意味で、オフィス以外の場所で働くことを指しています。本稿では明示的な場合を除いて「リモート ワーク」という呼び方に統一します。総務省が発行する「テレワーク セキュリティ ガイドライン」では、リモート ワークのセキュリティにおける注意点を挙げており、リモート ワークを以下の 3 つの形態に分けています。

  1. 在宅勤務 自宅で仕事する働き方
  2. サテライト オフィス勤務 シェア オフィス、コワーキング スペースなどを含めたオフィス以外の施設で仕事する働き方
  3. モバイル勤務 モバイル PC などを活用しながら、移動中や外出先などオフィス以外のさまざまな場所で仕事する働き方

上記に加えて、休暇先で余暇を楽しみながら仕事をする「ワーケーション」も、リモート ワークの 1 つです。

転職サービスのエン・ジャパン株式会社が行なった調査によれば、2020 年以降、求職者の約半数がリモート ワーク中心の働き方を望む傾向にあることがわかりました。リモート ワーク導入によって優秀な人材の確保や競争力向上も期待でき、リモート ワーク環境を整えることは企業にとって今や必須と言えるでしょう。ただし、現実にそれを実践している企業はまだ少数のようです。

株式会社パーソル総合研究所によるテレワーク実施率に関する調査結果

(画像出典:PR TIMES)

株式会社パーソル総合研究所が継続的に行なっている全国 2 万人を対象とした調査によれば、正社員におけるリモート ワーク実施率は 2020 年 11 月時点で 24.7% となっています。この数字は 2020 年 3 月から 4 月にかけて一気に増えたものの、それ以後は微減しています。

また、従業員 1 万人以上の企業の実施率は約 45% である一方、従業員 100 人以下の企業では実施率約 13% と、企業の規模によってリモート ワークの導入率にばらつきが見えます。

リモート ワーク導入の課題として、総務省が 2017 年度に実施した「ICT 利活用と社会的課題解決に関する調査研究」では「情報セキュリティの確保」が挙げられています。セキュリティは企業の根幹に関わる重要事項であるため、リモート ワークに踏み切れないままでいる企業が少なくないのです。

リモート ワーク化の障壁となるセキュリティの課題とは

次に、リモート ワーク導入の際に考えられるセキュリティ課題について見ていきましょう。

先述のテレワーク セキュリティ ガイドラインでは、「テレワーク セキュリティ対策 34 か条」が定められています。これは、情報セキュリティ マネジメントのためのベスト プラクティス集として国際標準化されている「JIS Q 27002 規格」を基に作成されました。テレワーク セキュリティ対策 34 か条では、経営者、システム管理者、勤務者それぞれの視点から、主に以下の課題に対するリスク対策、ポリシー制定/教育/連絡体制の必要性を明示しています。

  • 悪意のソフトウェア PC などに入り込んで破壊や覗き見など悪さをするソフトウェアへの対策
  • 端末の紛失および盗難 端末の紛失や盗難により端末中のデータを見られたり破壊されたりすることへの対策
  • 重要情報の盗聴 (のぞき見) 物理的に画面をのぞき見される、安全ではないネットワークを経由してデータがのぞき見されることなどへの対策
  • 不正侵入および踏み台 不正に自社のコンピュータに侵入され、そこからほかのコンピュータに攻撃を仕掛けるケース、内部から ID やパスワードを持ち出して侵入するケースなどへの対策

2. リモート ワークのセキュリティを実現する方法

ここでは上述のセキュリティの課題をさらに詳しく解説しながら、それぞれの解決策を提示します。

悪意のソフトウェアの侵入を防ぐ方法

PC が不正かつ有害な動きをするように作成された悪意のあるソフトウェアのことを「マルウェア」と呼びます。「コンピュータ ウイルス」や「ワーム」「トロイの木馬」「スパイウェア」などはマルウェアの一種です。これらは有害なプログラムをコピーして他者のコンピュータに拡散したり、ごく普通のアプリケーションと見せかけてコンピュータの破壊活動を行なったり、個人情報を盗み出して拡散したりします。

マルウェアはユーザーの気付かないうちに PC に入り込んでいることが多く、USB メモリや Web サイト、メール、ファイル共有ソフトなどを主な感染経路としています。マルウェアの侵入を防ぐためには、常に OS やソフトウェアを最新バージョンにアップデートすること、セキュリティ対策ソフトを導入することが必要です。

また、社内でセキュリティに関するガイドラインを規定して運用することも重要です。たとえば、会社の PC には許可を受けたソフトウェアのみインストールすること、社外のメンバーと協業する場合には、安全性が確認されているソフトやツールを使用することなどを全社で徹底する必要があります。

端末の紛失や盗難を防ぐ方法

PC を社外に持ち出してさまざまな場所で仕事に使うとなると、端末自体の紛失やデータの盗難もリスクとなります。会社の PC やスマートフォンなどの端末を台帳で管理する企業は多くありますが、最近では「MDM ソリューション」と呼ばれる端末の一括管理システムが普及しています。端末の位置情報を把握したり、盗難や紛失の際にリモート ロックをかけたりする機能があり、もしものことがあっても被害を最小限で済ませることができます。

また、持ち出し用 PC のデータは暗号化する、「シン クライアント」端末を使ってデータをサーバー側に残すといった解決策も考えられます。シン クライアントとは、サーバー側で処理を行い、結果となる画面を転送して端末上で表示する機能で、端末の機能を最小限に抑えることが可能です。シン クライアントにすると、オフライン状態で作業できないのが弱点でしたが、現在ではオフラインでも最低限のデータで作業できるものも存在します。

重要情報の盗聴 (のぞき見) を防ぐ方法

盗聴 (のぞき見) には物理的なものと、ネットワークを使ったものがあります。物理的な盗聴としては、オフィス以外の環境で作業しているときに社外の人に画面を見られることなどが挙げられます。プライバシー フィルターを使ってのぞき見を防ぐなどの対策が必要です。

一方、ネットワークを利用した盗聴は、安全でないネットワークを介して作業する際などに起きる可能性があります。カフェなどの不特定多数の人が利用する場所での無線 LAN は、セキュリティ レベルの設定がそれほど高くないこともあるので注意が必要です。社内にアクセスするときはデータを暗号化する、VPN (仮想プライベート ネットワーク) を利用して会社のネットワークにアクセスするなど、ネットワーク セキュリティ対策が必須となってきます。

不正侵入や踏み台を防ぐ方法

さらなる課題として、マルウェアを使った不正侵入や、セキュリティの脆弱性を利用したシステムへの攻撃といった直接的なシステム攻撃もあれば、自社のシステムを踏み台にして他のシステムを攻撃する (自社が加害者のように扱われる) など間接的な攻撃もあります。また、ID やパスワードの持ち出しによる社内システムへの不正アクセスや、内部ユーザーによるデータ持ち出しなどの内部不正にも対策が必要です。

不正侵入や踏み台などを防ぐ対策としては、セキュリティ対策ソフトの導入、社内ネットワークにファイヤーウォールを適切に設けること、ワン タイム パスワードなどでパスワード管理を徹底することなどが有効でしょう。

予防だけでなく、ログインしているユーザーの行動を把握することや、不正侵入などがあった際に迅速に検知できるしくみを作ることも大切です。万が一のことが起こっても、被害が最小限に済むようにしておきましょう。

3. Microsoft が解決するリモート ワークのセキュリティ課題

現在、多くの企業が Windows の PC や Microsoft Office のソフトを使用しています。そこで、ここでは Microsoft 社の製品がどのようにセキュリティ対策を講じているのかを紹介します。

Microsoft Defender によるソフトウェア対策

Microsoft Defender for Office 365 Web サイトのスクリーンショット

Windows 10 の PC には、標準的なセキュリティ ツールとして「Windows セキュリティ」が搭載されており、「Window Defender ウイルス対策」などのソフトが用意されています。標準的な機能として、メール、アプリ、クラウド、 Web 上のウイルス、マルウェア、スパイウェアなどの脅威から PC を保護します。

Office 365 ユーザーの企業向けには、「Microsoft Defender for Office 365」が用意されています。脅威に対する防止、検出から調査、応答と修復までのライフ サイクルをカバーしている上、セキュリティ意識向上のためのトレーニングも含まれているので、基本的なセキュリティ対策としてあらゆるフェーズをカバーできます。

Windows Hello による本人確認の厳格化

ノート PC の Windows にログインするビジネス パーソン

Windows Hello は、顔認証や指紋リーダーなどを活用した高度なログイン機能を特長としています。Windows 10 の PC やタブレットなどのデバイスでは、盗難や紛失の際にも Windows Hello によって安全性を保つことが可能です。

たとえば、デバイスを紛失した場合や盗難に遭った場合も、本人以外は端末を開くことができません。また、デジタル リストバンド、スマートウォッチなどのデバイスと連携させておけばパスワードを使用することなく認証することが可能で、利便性と安全性を兼ねることができます。

Microsoft Intune で個人 PC やスマホも安全に業務利用

Microsoft Intune の概要を表す図

Microsoft Intune は、端末類を一括管理する MDM ソリューションとアプリケーション管理を中心としたサービスです。会社所有と従業員所有の両方のデバイスをクラウドから管理できるほか、PC、タブレット、スマートフォンなどのさまざまなデバイスも一元的に管理ができます。

個人用の端末を仕事用に使用する場合も、個人用データと仕事用のデータを分けて管理でき、双方にとってより安全な業務環境を実現します。モバイル端末からのアクセスが当たり前になっている現代において、多様なデバイスを安全に使用できる環境を整えることは必須と言えるでしょう。

Azure AD で安全なシングル サインオンを実現

Azure のアプリ追加を行う画面

システム認証基盤として広く使われている Active Directory のクラウド版が Azure Active Directory (Azure AD) です。Microsoft Azure のクラウド上でシングル サインオンの基盤を提供します。シングル サインオンとは、認証処理を一度行うことで複数のリソースを利用可能にする特性のことで、管理やパスワード入力などの手間を省略しつつ、セキュリティを強化することが可能です。

クラウド上にあるさまざまなアプリケーションへのアクセスを一元化することで、社内のアプリケーションに対する従業員のアクセスを安全に、かつ厳格に管理することができます。また、外注先や協力会社などの外部とプロジェクトを進める際、必要な人にリソースへの必要なアクセスを付与できるため、より円滑な協業が実現します。

4. まとめ

Microsoft IT よろず相談センター Web サイトのスクリーンショット

以上のように、リモート ワークの実現にはセキュリティが重要であり、解決するためにはさまざまな要件を考慮する必要があります。

日本マイクロソフト株式会社では、「IT よろず相談センター」を設けており、電話やチャットで相談できる窓口を提供しています。リモート ワークの実現があらゆる企業にとっての課題となっている現在、信頼できるパートナーに相談しながらリモート ワーク導入を進めていくこともまた重要なのではないでしょうか。

リモートワーク・ハイブリッドワークに適した環境設置のために

リモートワーク・テレワーク・在宅勤務環境を安全・快適に実現するためには、「セキュリティの確保」「Web 会議のためのデバイス選択」「グループワークのためのアプリケーション」など検討する課題も多く、またこれらを潤沢な資金で準備するのではなくコスト削減につなげることが大切です。

これらの達成のための Microsoft 365、Excel の使い方や、リモートワーク・ハイブリッドワーク環境を充実させるために以下の記事が参考になります。

Microsoft 365 で実現する安全・安心なリモートワークへの移行

セキュリティ対策で、いつでもどこでもデータやアプリに安全にアクセスできます。
Microsoft 365 で実現する 中堅·中小企業の安全·安心な リモートワークへの移行 デバイスやアブリケーション、データを守リ、社外で安全に仕事を行うデイント

ご購入検討の問い合わせ先

電話アイコン

お電話で購入相談

受付時間: 9:00 - 17:30 (土日祝日、弊社指定休業日を除く)

封筒アイコン

Web フォームで購入相談

本情報の内容 (添付文書、リンク先などを含む) は、作成日時点でのものであり、予告なく変更される場合があります。