事業継続の面からも
注目が高まる｢テレワーク｣、
セキュリティやトラフィック増大などの
課題解決のカギは?

モバイル、クラウドといったテクノロジーを活用し、生産性向上を図る｢働き方改革｣が進んでいる。また、
連日のように報じられる感染症の対策の1つとして、｢テレワーク｣の導入は、
企業にとって早急に求められるものであるとの認識が広がっている。

モバイル、クラウドといったテクノロジーを活用し、｢時間や場所を有効に活用できる柔軟な働き方｣を実現することで、
ワークスタイルは多様化するが、その一方で、｢セキュリティ｣｢トラフィックの増大｣などの面で課題に直面する企業も多い。
デバイスやアクセス経路が多様化する中で、企業はどのように利便性を確保しながら認証強化と、
ネットワーク整備を進め、セキュリティを担保していけばよいのだろうか、その考え方を示したい。

モバイル、クラウドの普及、進展で進むテレワーク、約2割の企業が｢導入済み｣

少子高齢化により労働力人口が減少し、人材確保がますます難しくなっていく中で、労働生産性を高め、育児、介護などと就労を両立させる柔軟な働き方を実現することは、企業にとって大きな課題となっている。

また、感染症リスクなどから事業継続性を担保するためにも、テレワークをはじめとする｢働き方改革｣の重要性は高まるばかりだ。

テクノロジーの進展に伴い、スマホやタブレットなどのモバイル端末が普及し、クラウドをはじめとする業務アプリケーションの基盤が整備された。外出先で仕事をする機会はますます増えており、社員が持つデバイスの多様化と相まって、｢いつでも｣｢どこでも｣インターネットにアクセス可能な環境が整備されている。

テレワークは、こうしたテクノロジーを用いることで｢時間や場所を有効に活用できる柔軟な働き方｣と定義される。国内におけるテレワークの普及は、｢テレワークを導入している｣企業の割合が19.1%、｢導入予定がある｣企業も含めると26.3%という状況だ。また、導入しているテレワークの形態は、移動中の車内や顧客先、カフェなどの公共の場所を就業場所とする｢モバイルワーク｣が63.5%と最も多く、自宅を就業場所とする｢在宅勤務｣が37.6%（複数回答可）で続いている（出典:総務省｢平成30年通信利用動向調査｣）。

出典:総務省｢平成30年通信利用動向調査｣

出典:総務省｢平成30年通信利用動向調査｣

政府は、2020年にはテレワーク導入企業を2012年度（11.5%）比の3倍に伸ばすことを目標に掲げ、また、テレワーク制度等に基づく雇用型テレワーカーの割合を2016年度（7.7%）比の2倍に引き上げるとしている（出典:｢世界最先端IT国家創造宣言･官民データ活用推進基本計画｣）。

テレワークで考慮すべき情報漏えいなどのセキュリティリスク

テレワークの実現において考慮すべき最大のポイントはセキュリティのリスクだ。クラウドサービスの利用が増加し、デバイスやアクセス経路が多様化することで、情報漏えいやマルウェア感染、不正アクセス、USB経由のマルウェア感染、情報漏えい、ショルダーハック（のぞき見）による情報漏えいといったリスクが考えられる。

たとえば、USBメモリは持ち運びが便利で、データの共有が簡単に行える反面、盗難や紛失などによって業務データが漏えいするリスクが考えられる。また、他のパソコンを介してウイルスなどに感染してしまう可能性もある。

オンラインストレージやファイル共有サービス、個人のメールアカウント宛にファイルを添付して社外に送信することで、情報漏えいやデータの消滅などが発生する可能性もある。

社外で仕事をする際に、公衆無線LANを利用する場合があるが、公衆無線LANの中には適切なセキュリティ設定を行っていないものがあるため、こうした｢野良AP｣から通信内容を盗み見られたり、悪意あるフィッシングサイトなどへ誘導されたりする可能性がある。

また、公共の場でパソコンやスマホなどを使う場合には、第三者による｢物理的なのぞき見｣にも気をつけたい。のぞき見によって業務データや、顧客情報などの個人情報、業務アプリケーションにログインするための認証情報などが第三者に知られてしまう可能性があるからだ。

そして、在宅勤務で業務を行う場合は、私物のパソコンやスマホを業務に利用することで、ウイルス感染や情報漏えいなどのセキュリティ事故を引き起こす可能性がある。

こうしたリスクに対し、総務省が2018年に公開した｢テレワークセキュリティガイドライン（第4版）｣では、データに対するアクセス制御、暗号化の要否や印刷可否などの設定を行うことや、テレワーク端末に対する無線LANの脆弱性対策などのセキュリティ対策を行うよう定めている。

もちろん、どこからでも｢安全にネットワークにアクセスできる環境｣や、どこでも仕事ができる｢ファシリティ面の整備｣、柔軟な勤務体系などの｢制度面の整備｣、勤怠管理やタスク進捗管理などの｢マネジメントの仕組み整備｣なども、安全なテレワーク環境の実現には必要なポイントといえるだろう。

クラウド利用の拡大によって顕著になった｢認証の課題｣

特に、テレワークにおけるセキュリティリスクに備えるためには｢利用者の認証｣が重要だ。｢Microsoft Office 365｣をはじめ、クラウドサービスが普及するにつれて、企業内のデータ資産はどんどんクラウド上にシフトしている。

さらに、リモート拠点からのネットワークアクセスの機会も増え、企業ネットワークの境界線は拡大している。企業が保有するデータ資産を狙ったサイバー上の脅威が増す一方で、従来のID、パスワードによる認証には限界があるのだ。

米国ベライゾンの調査では、｢セキュリティ侵害の81%は、ID、パスワードの窃取である｣といわれる（出典：2017 Data Breach Investigations Report）。

そして、盗み出されたID、パスワードを用い、IPアドレスを変えたり、時間をずらしたりしながら、時間をかけて総当たりでログインを試行する｢パスワードスプレー攻撃｣などによって、システム側の不正アクセス検知をかわそうとする攻撃手法が主流となっている。

こうした認証の課題を解決するには、｢多要素認証（MFA）｣をはじめとする認証強化が重要な対策となる。これは、｢知識情報｣｢所持情報｣｢生体情報｣という認証の3要素のうち、2つ以上の要素を組み合わせて認証を行うものだ。

しかし、多要素認証には使い勝手やUIの面で課題があるのも事実だ。たとえば、ID、パスワードなどの｢知識情報｣と、｢所持情報｣を組み合わせるケースでは、ハードウェアトークンを用いログイン時の認証コードを発行することや、電子証明書を格納したICカードを読み取らせることで多要素認証を行う場合がある。しかし、ハードウェアトークンやICカードを用意し、認証のたびにユーザーに利用させるのは、使い勝手や管理負荷の面から課題があった。

また、トークンやICカードの代わりに、スマートフォン向けのアプリである｢Google Authenticator｣を用い、複数のクラウドサービスの多要素認証のコードを一括で管理する方法もあるが、連携可能なサービスが限られるデメリットが指摘される。

こうしたことから、クラウドサービスの利用や、テレワークのためのVPN通信、あるいはVDI（仮想デスクトップ）に接続するための本人認証には、まだまだID、パスワードによる認証が多く、多要素認証が浸透しきれていない現状があるのだ。

テレワーク環境の整備には｢トラフィックの増大｣にも対処する必要がある

また、快適なテレワーク環境を実現するためには、ネットワークの課題にも目を向ける必要がある。トラフィックの増大に関する問題だ。

テレワークによって、Office 365やWeb会議、企業SNSなどのコラボレーションツールといった、クラウドの業務アプリケーションに対して｢いつでも｣｢どこでも｣インターネット経由でアクセスできるようになった。

多くの企業では、データセンターのプロキシサーバーを経由し、インターネットアクセスを行う構成を採用しているが、業務アプリケーションのクラウド化や、コンテンツの大容量化などによって、ネットワーク回線の容量が圧迫され、プロキシサーバーの負荷が増大する課題に悩む企業が増えているのだ。

企業は、クラウドに対する安全なアクセスを実現するとともに、ネットワークの遅延を防ぎ、快適なネットワークアクセスを実現することが求められているといえよう。

あるべき認証やネットワークの姿とは

こうした課題に対する企業の対策のポイントは、ITハイジーン（衛生管理）の考え方が重要になる。すなわち、企業ITシステム内の全エンドポイントに関するOSやソフトウェアのバージョンや脆弱性の有無、アップデートの適用などの情報をリアルタイムに収集、管理し、セキュリティリスクを可視化し、スピーディな対応を可能にする仕組みを整備することだ。

モバイルデバイスについては、会社支給のデバイスであれば、MDM（モバイルデバイス管理）による紛失・盗難対策やアプリケーション制御、データの暗号化などの基本的な対策を実施していくことが重要なポイントとなる。

また、VPNなどによる通信経路の暗号化によって安全な通信経路を確保するとともに、認証面の強化には、多要素認証の導入がベースとなる。多要素認証もITハイジーンの一要素といえるだろう。

一方、トラフィック増大に対する解決策の考え方は、帯域制御装置（DPI）の導入などによるトラフィック識別を利用した経路の分散がポイントとなる。アプリケーションやユーザー単位でトラフィックを識別することで、重要な通信には優先して帯域を割り当てて品質を確保したり、特定の通信はデータセンターを経由せずに直接インターネットにアクセスさせたりすることができるようなDPI製品の導入が有効となるだろう。

トラフィック分散を行う場合は、直接インターネットアクセスした通信に対するセキュリティ確保も重要な対策となる。企業のデータセンターのプロキシサーバーを経由せず、直接インターネットアクセスさせるトラフィックが発生するため、悪意あるサイトに誘導されるリスクが増えるからだ。

たとえば、多要素認証によって本人が認証され、デバイスが会社支給で確かに本人が使用するものであることが確認された場合に、直接インターネットアクセスを許す認証ソリューションを導入し、あわせて、悪意あるサイトに誘導されるリスクを減らすようなセキュリティプラットフォームを導入することが有効な解決策となるだろう。

ナレッジセンターを検索する