テレワークやハイブリッドワークが定着した今、企業ネットワークへのリモートアクセスは欠かせない。だがその利便性の裏には、さまざまなリスクが潜んでいる。セキュリティ担当者が注意すべき12個のリスクとは。
リモートアクセスは、遠隔地の従業員が社内LANなどの企業ネットワークに接続できる利便性をもたらす半面、企業ネットワークを脆弱(ぜいじゃく)にし、不正アクセスなどのさまざまな脅威にさらすリスクをはらんでいる。一部の企業ではオフィスワークに回帰する動きが見られるものの、テレワークやハイブリッドワーク(オフィスワークとテレワークの併用)は働き方として定着した。これはリモートアクセスに起因するセキュリティリスクが引き続き存在していることを意味する。企業がセキュリティツールを導入して対策を強化していても、攻撃者はその防御をかいくぐろうと絶えず手口を巧妙化させている。こうした脅威に対抗するため、企業はリモートアクセスのセキュリティ対策を怠ってはならない。
本稿は、リモートアクセスに潜む12個の主要なセキュリティリスクを解説する。
企業はセキュリティ計画を策定して、攻撃者が自社ビジネスや従業員、顧客に深刻な被害をもたらすリスクを最小限に抑えることが重要だ。リモートアクセスにおけるセキュリティ対策は、インシデントを未然に防ぎ、万が一インシデントが発生した場合の影響を極力小さくすることを目的とする。
脅威は、意図的な攻撃だけとは限らない。従業員の過失や設定ミスといった、悪意のない行動が引き金になることもある。攻撃者やマルウェアは言うまでもなく、従業員自身の行動も脅威になり得る。以下に、セキュリティ担当者が対策すべき主要なリモートアクセス関連のリスクを挙げる。
リモートアクセスにおける根本的なリスクの一つは、運用中のセキュリティ機器の管理や保守が不十分になることだ。セキュリティチームは、ファイアウォールやIDS(侵入検知システム)/IPS(侵入防止システム)といった防御の要になる機器が正常に稼働できるよう、保守管理を徹底しなければならない。この対象には、リモートアクセスに使用するVPN(仮想プライベートネットワーク)機器も含まれる。
従業員が私物デバイスから企業ネットワークにリモートアクセスしていると、公私の区別が曖昧になり、パスワード管理がおろそかになりがちだ。その結果、覚えやすさを優先して業務用と私用で同じパスワードを使い回してしまう事態が起こり得る。従業員が私的に利用しているWebサイトからパスワードが漏えいすれば、攻撃者がそのパスワードを使って企業ネットワークに不正アクセスする危険性がある。
パスワードの共有もリスクを生む。従業員が他人とリモートアクセス用のパスワードを共有すると、リモートアクセスした人物をログから特定できなくなり、不正アクセス発生時の追跡や責任の所在の明確化が困難になる。このような「誰が操作したか分からない」状態は企業ネットワークの脆弱性を高め、データ侵害や情報漏えい、サイバー攻撃のリスクを増大させる。
パスワードの不正利用を防ぐには、全社的なパスワードポリシーを策定し、順守させることが有効だ。従業員はパスワード管理ツールを活用してパスワードを適切に管理し、不正な共有を防がなければならない。
古いソフトウェア、パッチが未適用のソフトウェア、企業が未認可のソフトウェアは、サイバー攻撃の温床になり得る。セキュリティ担当者は、テレワーカーが使うソフトウェアを事前にテストし、安全性を確認した上で使用を許可する必要がある。マルウェアやフィッシング攻撃といった脅威からデバイスを守るために、セキュリティソフトウェアを全てのリモートアクセス用端末に導入すべきだ。安全なリモートアクセスを実現するVPNや暗号化通信の仕組みも欠かせない。定期的なアップデートとパッチ適用が、これらのツールの効果を最大限に引き出す鍵になる。
従業員の私物デバイスは、法人向けデバイスと異なり、企業が一元的に管理、監視できないため、セキュリティリスクになる。原則として、企業は自社で用意し、セキュリティ設定を施したデバイスのみを従業員に貸与すべきだ。
BYOD(私物端末の業務利用)を実施する場合、私物デバイスが安全なリモートアクセスの要件を満たすよう、従業員自身が設定する必要がある。企業はBYODに関するポリシーを徹底し、許可されていないデバイスが企業ネットワークに接続することを防がなければならない。
ソフトウェアへのパッチ適用は、セキュリティシステムに限らず、企業ネットワークを構成する全てのシステムに不可欠だ。パッチ適用を怠ると脆弱性が残ったままになり、攻撃の標的になる危険性が高まる。
特にファイアウォールやIDS/IPSなど、防御の最前線にある機器を常に最新の状態に保つことは重要だ。定期的にパッチの有無を確認する運用スケジュールを定めておくことで、セキュリティ担当者に定期的な確認を習慣づけることができる。
デバイス内にあるデータのバックアップは、データの破損、利用者の操作ミスやランサムウェア(身代金要求型マルウェア)攻撃によるデータ消失から復旧するための生命線だ。特に、外付けHDDや個人アカウントで利用するクラウドサービスといった、企業の管理が行き届きにくい保管場所を利用する際は、バックアップが欠かせない。基幹システムや重要データに関しては、複数の異なるストレージを用い、多重にバックアップを取得しておく必要がある。
「サイバーハイジーン」は、日々の衛生管理の考え方をサイバー空間に適応させた、基本的なセキュリティ習慣を指す。デバイスやデータを攻撃から守る上で、テレワークかオフィスワークかを問わず、あらゆる働き方をする従業員にとってサイバーハイジーンは重要だ。企業は全社的なデータ管理計画の一環として、従業員に適切なサイバーハイジーンを実践してもらうためのセキュリティポリシーを策定すべきだ。これを怠れば、従業員の情報や企業の機密データが、深刻な脅威にさらされかねない。
セキュリティ担当者は、テレワーカーが用いるデバイスやルーターなどが、独立した攻撃の起点(アタックサーフェス)になり得ることを理解しておかなければならない。テレワークはオフィスワークに比べて集中を妨げる要素が豊富で、従業員の警戒心が緩みやすい。この隙を突くサイバー攻撃としては、ランサムウェアなどのマルウェアを用いた攻撃やフィッシング攻撃がある。
テレワーカーが、自社のシステムを狙う脅威とその対処法を知らなければ、サイバー攻撃を受けるリスクは自ずと高まる。新入社員には、入社時の研修(オンボーディング)で、セキュリティインシデントへの対処法を指導しておくべきだ。その後も、四半期や月ごとの定期的な再教育、注意喚起の通知などを通じて、従業員のセキュリティ意識を高く維持する工夫が求められる。
リモートアクセスに関するセキュリティポリシーがない、あるいは不適切な場合、テレワーカーが守るべきルールが不明瞭になる。その結果、従業員が自社ネットワークに接続する際の方針があいまいになり、脆弱性を生み出す恐れがある。例としては、共有する可能性のあるファイルやデータの暗号化が不十分だったために、データが漏えいするといった事態だ。
企業がリモートアクセスに関する規定を含むセキュリティポリシーを有していれば、正社員だけではなく、業務委託先の担当者やフリーランスといった社外協力者も、セキュリティインシデントへの対処法を正しく理解できる。こうしたポリシーの存在は、内部監査や外部監査の観点からも重要だ。
リモートアクセスを保護するための仕組みや技術を導入した後は、それらが意図した通りに機能するかどうかや、従業員が正しく利用しているかどうかを定期的にテストして確認しなければならない。企業は、リモートアクセスに対する侵入テストやフォレンジック調査(インシデントの痕跡調査)を定期的に実施し、悪意のあるプログラムや不正な活動の兆候を探す必要がある。
ネットワーク内の状況を把握できない、可視性を欠いている状況は、セキュリティ侵害の危険性を高める。見えない部分をできるだけなくすために、積極的にセキュリティテストを実施して弱点をあぶり出すことは、攻撃者に悪用される前に脅威や脆弱性を特定するために有効な施策だ。
ファイアウォールやIDS/IPSは防御策として有効だが、今日の巧妙化した攻撃に対抗するには十分とはいえない。防御が足りない箇所を補うために、企業はリモートアクセスを保護するための追加の手段を検討する必要がある。そのために利用できる、先進的なリモートアクセスセキュリティ関連の技術や仕組みの例は以下の通りだ。
次回は、リモートアクセスのセキュリティリスクを抑えるための施策を紹介する。
TechTarget.AI編集部は生成AIなどのサービスを利用し、米国Informa TechTargetの記事を翻訳して国内向けにお届けします。
Copyright © ITmedia, Inc. All Rights Reserved.
本記事は制作段階でChatGPT等の生成系AIサービスを利用していますが、文責は編集部に帰属します。
「テレワークでネットが遅い」の帯域幅じゃない“真犯人”はこれだ
ネットワークの問題は「帯域幅を増やせば解決する」と考えてはいないだろうか。こうした誤解をしているIT担当者は珍しくない。ネットワークを快適に利用するために、持つべき視点とは。
「サイト内検索」&「ライブチャット」売れ筋TOP5(2025年5月)
今週は、サイト内検索ツールとライブチャットの国内売れ筋TOP5をそれぞれ紹介します。
「ECプラットフォーム」売れ筋TOP10(2025年5月)
今週は、ECプラットフォーム製品(ECサイト構築ツール)の国内売れ筋TOP10を紹介します。
「パーソナライゼーション」&「A/Bテスト」ツール売れ筋TOP5(2025年5月)
今週は、パーソナライゼーション製品と「A/Bテスト」ツールの国内売れ筋各TOP5を紹介し...
ITmediaはアイティメディア株式会社の登録商標です。
