「VPNが必須」以前にあれをやっては駄目 テレワークを危険にする“NG集”：当たり前ができないセキュリティの現実

テレワークの普及によって従業員の働く場所が多様化し、セキュリティの守備範囲は拡大した。従業員のセキュリティ意識を向上させつつ、社内データへの安全なアクセスを確保するには何をすればよいのか。

[Lionel Garacotche，TechTarget]

　新型コロナウイルス感染症（COVID-19）のパンデミック（世界的大流行）を機に新しい働き方が広がった。オフィスワークを再開する企業の動きがある一方で、テレワークは新しい働き方の選択肢の一つとして定着した。

　テレワークが定着するのに合わせて、テレワーク中の従業員が社内にあるデータに安全にアクセスできるようにすることや、従業員のセキュリティ意識を向上させることなどが課題として浮上した。社内のデータへの安全なアクセス方法を確立するにはどうすればいいのか。危険を招く従業員の行動と併せて解説する。

1．社内データへのアクセスを「一切信用しない」シナリオ

併せて読みたいお薦め記事

ポストコロナ時代のお薦めガジェット

• ギーク激推し、テレワーク派への贈り物なら「YubiKey」がぴったりな理由
• 「在宅ワークに飽きてきた」の悩みを解消する“面白いガジェット”8選はこれだ

　インターネット回線にVPN（仮想プライベートネットワーク）を構築し、その回線を介してのみ従業員が社内システムとデータを送受信できるようにする。データにアクセスできる人員を限定することでデータを保護し、社内システムの堅牢（けんろう）性を保持することが可能だ。

2．社内データへのアクセスを「部分的に信用する」シナリオ

　クラウドサービスを一元的に管理するCASB（Cloud Access Security Broker）製品や、PCやスマートフォンといった端末（エンドポイント）の保護に重点を置いた「EDR」（Endpoint Detection and Response）製品を使用して、従業員端末のアクセスを制御する。

3．「それ以外」のシナリオ

　仮想デスクトップインフラ（VDI）を利用し、従業員が仮想デスクトップ経由で社内システムにアクセスできるようにする。仮想デスクトップを利用することで、従業員の私物のPCやスマートフォンといった端末からも、安全に社内システムが利用できるようになる。

従業員のセキュリティ意識を高めるための初めの一歩

　以下の対策を当たり前と捉えるIT担当者がいるが、企業が期待する水準のセキュリティ意識を全従業員が持っているとは限らない。改めて基本的なセキュリティ対策の方法を、従業員に周知する必要がある。

• カフェや図書館といった公共スペースで機密に関わる内容を他者に聞こえるように話さない。
• 端末に指紋認証やパスワードを設定して情報漏えいの防止に備える。
• 端末から離れる場合はスリープモードやスクリーンセーバーを設定するようにし、他者に画面を見られないようにする。

　従業員に対するセキュリティ教育では、従業員に「何をしてほしいのか」「それをしなければどのような結果を招くのか」まで伝える必要がある。同時にIT担当者は、エンドポイントで発生したインシデントを検出できるようにするといった取り組みを進めることで、セキュリティを確保する。

　IDやパスワードを管理するシステムの導入や、アクセス権限の管理体制の構築、フィルタリング機能の強化を実施することで、重要な社内システムへの不要なアクセスを除外することが可能だ。

Computer Weekly発　世界に学ぶIT導入・活用術

米国TechTargetが運営する英国Computer Weeklyの豊富な記事の中から、海外企業のIT製品導入事例や業種別のIT活用トレンドを厳選してお届けします。