いまさら聞けない、テレワーク用デバイスに「最低限やるべき」5つのセキュリティ対策「続けたくなるテレワーク環境」の作り方【第3回】

やむを得ない事情でテレワークを実施している企業でも、IT資産を守るために「これだけは実施すべき」という、5つのセキュリティ対策とは。不正アクセスの入り口となるデバイスの管理方法に焦点を当て、解説する。

2022年01月25日 05時00分 公開
[田北幸治アイ・ビー・シー]

 第2回「“テレワーク前提”なら無視してはいけない『セキュリティ』の課題と解決策」では、テレワーク導入に当たって重視すべきネットワークセキュリティとデバイス(エンドポイント)セキュリティのポイントを整理した。第3回となる本稿は、攻撃者による不正アクセスの入り口となるデバイスの守り方に焦点を当て、最低限カバーすべきセキュリティ対策とは何か、そしてどのような機能が必要かを考察する。

テレワーク運用中に「最低限」実施すべきセキュリティ対策

 エンドユーザーの利用するデバイスが、第三者によって悪用される典型的なシチュエーションには、次のようなものがある。

  • デバイスにマルウェアが侵入し、データが破壊されたり、第三者に遠隔操作されたりする
  • デバイスの盗難または紛失の結果、データを悪用される
  • デバイスのユーザー本人になりすました第三者によって、社内ネットワークに侵入される

 これらを防ぐための対策は、下記の5点が挙げられる。

1.マルウェア対策

 マルウェア対策製品を導入するだけでなく、「エンドユーザーがマルウェア対策製品をアンインストールしてしまった」という万が一の事態を想定する必要がある。その備えとして、マルウェア対策製品がインストールされていないデバイスを検知し、管理者に通知する仕組みを用意するのが望ましい。

2.遠隔データ消去、遠隔ロック

 デバイスが第三者の手に渡った場合を想定して、まずやるべきことは情報漏えい対策だ。この場合は遠隔地からデータを削除したり、デバイスをロックして使えなくしたりする仕組みが有効な対策になる。

 盗難か、紛失かが分からない時点でデータを消去してしまうと、結果的にデバイスが見つかった後で業務に大きな支障が生じる可能性がある。状況が分からない場合は、まずロックをかけてしばらく様子を見ておき、デバイスが手元に戻ってこないという確証を得てからデータ消去を考えることをお勧めする。

 情報漏えい対策が最優先ではあるものの、できればデバイスを取り戻す手段も考えた方がよい。デバイス管理製品の中には、デバイスの位置情報を管理して現在地を探し、回収を支援するサービスもある。

3.ストレージの暗号化

 デバイスへの不正アクセスを狙う第三者が、簡単にデータにアクセスできないようにする仕組みとしては、まずストレージの暗号化を検討すべきだ。この技術は広く普及しており、さまざまな企業で利用実績がある。

 ただし「HDD暗号化」などの「フルディスク暗号化」は次の点に注意を払う必要がある。フルディスク暗号化はOSを含めてストレージ内のデータを暗号化するので、電源を落とした状態からデバイスを立ち上げる際に認証を求める。つまりOSが起動した状態(スリープモードも含む)でデバイスが第三者の手に渡ってしまうと意味がない。たとえIT部門が「デバイスを持ち歩く際には、必ずシャットダウンをするように」と注意喚起をしたとしても、現実にはその手間を嫌ってスリープモードで持ち歩くエンドユーザーはいる。ストレージ暗号化製品は、遠隔データ消去やロックの仕組みと併用することをお勧めする。

 遠隔データ消去やロックの仕組みだけでは不十分だ。悪意ある第三者が、紛失デバイスからストレージを抜き出して別のデバイスで操作する場合を想定すると、ストレージ暗号化製品を併用した方がよい。

4.BIOSパスワード、OSパスワード

 デバイスへのアクセスに制限をかける基本的な方法には、BIOSパスワードやOSパスワードの設定がある。ただしBIOSパスワードもフルディスク暗号化と同様に、OSのスリープモードで第三者の手に渡った場合は意味がなくなるので、設定したからといって安心はできない。

 ユーザビリティの問題も考慮が必要だ。BIOSパスワードを設定し、ストレージ暗号化まで施したデバイスは、デバイスの電源を入れてOSを立ち上げるまでに「BIOSパスワード」「暗号化パスワード」「OSパスワード」の最大3つを入力する必要が生じる。これはエンドユーザーにとっては煩わしい運用になる。一般的にセキュリティと利用者の利便性は相反するため、導入時はバランスを見極める必要がある。BIOSパスワードを設定するならば、保護すべき情報の重要性やエンドユーザーの利便性、前述した注意点を考慮して検討するのが望ましい。

 IT管理者はセキュリティを強固にしたいがために、暗号化やパスワードのルールを複雑に設定する場合がある。エンドユーザーにとっては、ルールが複雑であればあるほど覚えにくく、不便になる。その結果、ルールやパスワードを手帳に記入してデバイスと一緒に持ち歩いたり、パスワードを付せんに記入してデバイスに貼ったりするケースが発生する恐れがある。こうした不適切な運用を完全に防ぐことはできない。暗号化を含むパスワード設定をしたとしても、それだけで十分だとは考えない方がよい。

5.外部記憶媒体の利用制限

 「メールの添付ファイルを開いた」「不適切なWebサイトを閲覧した」に次ぐ、代表的なマルウェア侵入のきっかけは「外部記憶媒体の利用」だ。USBポートのロックやSDメモリーカードの制御などを実施し、外部記憶媒体からのマルウェア感染に対策する。デバイス管理製品の中には、USBポートやSDメモリーカードのポートを利用不可にする機能を持つものがある。

利用デバイスやOSの種類を網羅する製品の組み合わせが鍵

 企業で利用するデバイスのOSは、「Windows」「macOS」「iOS」「Android」「Chrome OS」などさまざまなものが混在している。デバイス管理製品を導入する場合は、前述のセキュリティ要件に加えて、対応OSも考えなければならない。この記事で触れた1~5の機能を全てのOSで利用できる製品は、今のところ存在しない。自社が使用するデバイスの運用形態(どのデバイスをテレワークで利用するか、など)を考慮して、理想に近い製品を選択する必要がある。

 複数の製品を組み合わせて、最も強固だと考えられる対策を施したとしても、人間が利用する限り「100%安全な仕組み」は構築できない。セキュリティ製品だけでなく、従業員のモラル維持と向上のための対策も併せて考えることが必要だ。

この連載について

新型コロナウイルス感染症(COVID-19)の対策としてテレワーク体制に移行することになったものの、VPN(仮想プライベートネットワーク)やVDI(仮想デスクトップインフラ)のリソースを十分に用意できなかったために「通信がつながりにくい」「動作が重い」などの不満に直面した企業は少なくない。本シリーズは「テレワーク(特に在宅勤務)を前提にしたデバイス管理のベストプラクティス」をテーマに、テレワークを長期的に継続する上での技術的課題や不満の解消に役立つ情報を紹介。現状の課題整理、課題の解決と必要なシステム、支援ツールの情報などを整理する。


田北幸治(たきた・こうじ)

アイ・ビー・シー 代表取締役社長

大学院修了後、外資系コンピュータベンダーで金融機関向けシステムエンジニア(SE)、営業を経験。その後IT企業を立ち上げ、ソフトウェア事業を展開。外資系ソフトウェア企業の日本代表を経て、2015年にエンドポイントセキュリティやエンタープライズモビリティー管理(EMM)に特化した製品を扱うアイ・ビー・シーを立ち上げる。


Copyright © ITmedia, Inc. All Rights Reserved.

髫エ�ス�ス�ー鬨セ�ケ�つ€驛「譎擾スク蜴・�。驛「�ァ�ス�、驛「譎冗樟�ス�ス驛「譎「�ス�シ驛「譏懶スサ�」�ス�ス

製品資料 ServiceNow Japan合同会社

7つのユースケースで探る、リスク/コンプライアンス管理の課題と解決策

企業がビジネス規模を拡大し、サプライチェーンやビジネスパートナーとの協業が進んだことで従来型のリスク/コンプライアンス管理の限界が露呈しつつある。リスク管理を次のステップに進めるためには、これまでと異なる仕組みが必要だ。

事例 ServiceNow Japan合同会社

1年で顧客離脱率が20%低下、Lenovoは自社サービスの価値をどう高めたのか?

Lenovoでは、顧客デバイスのライフサイクル管理を支援するDevice as a Serviceを世界中に提供している。しかし、そのオペレーションは複雑であり、顧客エクスペリエンスを高めるために改善が必要だった。同社が採った改善策とは。

製品資料 LRM株式会社

“惰性”から脱却して効果を上げる、年間を通じたセキュリティ教育計画の立て方

セキュリティリスクが増大している今日において、社内のセキュリティ教育は必須のタスクとなっている。しかし、セキュリティ教育それ自体が目的化してしまい、確実な効果を上げられていないケースも多い。

製品資料 LRM株式会社

進化するサイバー攻撃に対応、セキュリティ教育を見直すための3つのポイント

日々進化するサイバー攻撃から自社を守るためにも、時代の変化やトレンドに応じてセキュリティ教育を見直すことが必要だ。その実践ポイントを「目的の再確認」「教育の実施状況の分析」「理解度・定着度の測定」の3つの視点で解説する。

製品資料 株式会社ブレインパッド

DX推進を見据えた「データ活用人材」を社内で育てるための効果的な方法とは?

データ活用人材を社内で育成するためには、「DX推進者」や「分析実務者」などの役割に応じたスキル定着が欠かせない。効果的な育成を行う方法として、あるデータ活用人材育成サービスを取り上げ、その特徴や事例を紹介する。

驛「譎冗函�趣スヲ驛「謨鳴€驛「譎「�ス�シ驛「�ァ�ス�ウ驛「譎「�ス�ウ驛「譎「�ソ�ス�趣スヲ驛「譎「�ソ�スPR

From Informa TechTarget

いまさら聞けない「仮想デスクトップ」と「VDI」の違いとは

いまさら聞けない「仮想デスクトップ」と「VDI」の違いとは
遠隔のクライアント端末から、サーバにあるデスクトップ環境を利用できる仕組みである仮想デスクトップ(仮想PC画面)は便利だが、仕組みが複雑だ。仮想デスクトップの仕組みを基礎から確認しよう。

郢ァ�「郢ァ�ッ郢ァ�サ郢ァ�ケ郢晢スゥ郢晢スウ郢ァ�ュ郢晢スウ郢ァ�ー

2025/05/11 UPDATE

  1. IT騾カ�」隴滂スサ郢ァ雋橸ソス雋贋サ」竊楢嵯蜉ア�願崕�ス��5邵コ�、邵コ�ョ郢ァ�ウ郢晢ソス
  2. 2025陝キ�エ邵コ�ョ闕ウ荵滄�IT隰セ�ッ陷�スコ邵コ�ッ邵イ�ス9�ス�ス�ス鬮滂スキ邵イ髦ェツ€ツ€陟厄スア郢ァ螳夊ェ�邵コ�ィ邵コ蜷ョツ€諛会スク讎奇スョ闃ス�ヲ竏ォ�エ�ス遯カ譏エ竊堤クコ�ッ�ス�ス
  3. 隲��ス�ス�ア郢ァ螳堋€�ス竏エ郢ァ�ス2邵コ�、邵コ�ョ髫穂ケ溘○邵イ竏晢スョ�「髫包スウ隲、�ァ邵コ�ィ闕ウ�サ髫包スウ隲、�ァ
  4. AI邵コ�ァ郢ァ繧�¢郢晢スゥ郢ァ�ヲ郢晏ウィ縲堤ケァ繧��邵コ�スツ€�ス2025陝キ�エIT隰壽��ウ�ス�ス邵イ遒∝恚郢ァ蠕娯螺隴幢スャ陷サ�ス邵イ髦ェ竊堤クコ�ッ�ス�ス
  5. 郢ァ�ッ郢ァ�、郢ァ�コ邵コ�ォ隰也ャャ蟋カ�ス竏堋€ツ€邵イ蠕後Ι郢晢ス・郢ァ�「郢晢スォ郢晏」ケホ晉ケァ�ス郢晉ソォツ€髦ェ竊堤クコ�ッ�ス�ス
  6. 陞ゑスウ隲、�ァ郢ァ蜻茨スエ�サ騾包スィ邵コ�ァ邵コ髦ェ竊醍クコ�ス�シ竏オ�・�ュ邵コ謔滂ソス鬨セ螢ケ��邵コ�ヲ陷ソ�」邵コ�ォ邵コ蜷カ�狗クイ竏晢ス・�ス�ヲ蜷カ竊鷹坎ツ€邵コ�ス�ィ�ウ
  7. 邵イ髱エOTS邵イ髦ェツ€髫�OTS邵イ髦ェ�ス陜難スコ隴幢スャ騾ァ�ス竊鷹ゥ戊シ費シ樒クコ�ィ邵コ�ッ�ス貅伉€ツ€隰セ�ソ陟取㊧�ゥ貊�悴邵コ�ョIT陜難スコ驕牙ョ育舞髫ア�ス
  8. 郢昶��ス郢晢ソス郢晢スェ郢晢スシ郢敖€郢晢スシ陟「�ス�ェ�ュ邵イツ€郢ァ�ィ郢晢スウ郢ァ�ク郢昜ケ昴>邵コ�ョ霎ッ�ス竏エ陝�スス邵コ蜥イ陬ク陋溷衷�セ�、郢ァ蟶昜コ溽クコ蜈亥ゥソ雎包ソス
  9. 隰費スェ陋ケ謔カ笘�ケァ迢怜。呵ォ、�ァ邵コ�ョ郢晢ス。郢晢スウ郢ァ�ソ郢晢スォ郢晏€・ホ晉ケァ�ケ遯カ陬慊€蜍滂スス�シ郢ァ螳夲スソ�ス邵コ�ス�ゥ�ー郢ァ竏夲ス狗クコ繧�ソス陜暦スコ陞ウ螟奇スヲ�ウ陟「�オ
  10. 遯カ諛茨ス・�ュ陷榊雀譟鷹g�ス蝟ァ邵コ�ョ郢晏干ホ溽ェカ譏エ竊鍋クコ�ェ郢ァ蠕鯉ス狗クイ蠕後Φ郢ァ�ク郢晞亂縺帷ケ晏干ホ溽ケァ�サ郢ァ�ケ驍ゑス。騾�ソスツ€謳セ�シ�スBPM�ス蟲ィ�ス髫ア讎奇スョ螟奇スウ�ス�ス�シ邵コ�ィ邵コ�ッ

いまさら聞けない、テレワーク用デバイスに「最低限やるべき」5つのセキュリティ対策:「続けたくなるテレワーク環境」の作り方【第3回】 - TechTargetジャパン 経営とIT 鬮ォ�エ�ス�ス�ス�ス�ス�ー鬯ィ�セ�ス�ケ�ス縺、ツ€鬯ョ�ォ�ス�ェ髯区サゑスソ�ス�ス�ス�ス�コ�ス�ス�ス�ス

TechTarget鬩幢ス「�ス�ァ�ス�ス�ス�ク鬩幢ス「隴趣ス「�ス�ス�ス�」鬩幢ス「隴乗��ス�サ�ス�」�ス雜」�ス�ヲ 鬮ォ�エ�ス�ス�ス�ス�ス�ー鬯ィ�セ�ス�ケ�ス縺、ツ€鬯ョ�ォ�ス�ェ髯区サゑスソ�ス�ス�ス�ス�コ�ス�ス�ス�ス

ITmedia マーケティング新着記事

news025.png

「マーケティングオートメーション」 国内売れ筋TOP10(2025年5月)
今週は、マーケティングオートメーション(MA)ツールの売れ筋TOP10を紹介します。

news014.png

「サイト内検索」&「ライブチャット」売れ筋TOP5(2025年4月)
今週は、サイト内検索ツールとライブチャットの国内売れ筋TOP5をそれぞれ紹介します。

news046.png

「ECプラットフォーム」売れ筋TOP10(2025年4月)
今週は、ECプラットフォーム製品(ECサイト構築ツール)の国内売れ筋TOP10を紹介します。