「リモートアクセス」の脆弱性を放置しない セキュリティを盤石にする7大対策：リモートアクセスのリスクと対策【後編】

社外から企業ネットワークに接続するリモートアクセスは、リスクを放置すれば企業に甚大な被害をもたらしかねない。インシデントを未然に防ぐために、企業が今すぐ取り組むべき7つのセキュリティ対策とは。

[Paul Kirvan，TechTarget]

　働き方の多様化が進み、テレワークやハイブリッドワーク（テレワークとオフィスワークの併用）が企業に定着した現在、従業員が場所を選ばずに社内LANなどの企業ネットワークに接続することは当たり前になった。この利便性の裏側には、数々のセキュリティリスクが潜んでいる。セキュリティインシデントを防ぐために、企業はリモートアクセスのセキュリティをどのように確保すればよいのか。リモートアクセスを保護するための7つの対策を解説する。

リモートアクセスのセキュリティリスクを軽減する7つの対策

併せて読みたいお薦め記事

連載：リモートアクセスのリスクと対策

• 前編：なぜ「リモートアクセス」は危険なのか　テレワーカーが招く12の落とし穴

リモートアクセスに必要なセキュリティ対策

• いまさら聞けない、テレワーク用デバイスに「最低限やるべき」5つのセキュリティ対策
• 「無線LANが脆弱」だけではない、“テレワークが危険”になる6つの原因

　テレワーカーは、攻撃者にとって主要な標的になり得る。従業員がリモートアクセスの設定を自己判断で変更する前に、必ず自社のセキュリティ担当者に確認する体制を整える望ましい。以下は、そうしたリスクを低減する上で役立つ7つの対策だ。

対策1．対策手順を明文化する

　企業は、リモートアクセスのセキュリティポリシーと、それを実行するための詳細な手順書を作成し、そこに具体的な行動指針を盛り込まなければならない。行動指針を作成する際は、前編「なぜ『リモートアクセス』は危険なのか　テレワーカーが招く12の落とし穴」で紹介した12個のリスクを考慮に入れるとよい。作成した行動指針と手順書に含まれる全てのプロセスと項目を、誰もが参照できるよう明文化して共有すべきだ。

対策2．セキュリティ教育に投資する

　セキュリティ意識を企業文化として根付かせる上で、従業員教育は有効な手段だ。可能な範囲で、セキュリティポリシーと連動した従業員教育を実施すべきだ。経営陣が人事部門を巻き込んで、セキュリティに関する施策を主導し、従業員教育を支援する体制を構築する必要がある。

　多忙な従業員は、セキュリティ教育を負担に感じることがある。そうした人に対しても、有益なセキュリティ資料を見つけて共有することは可能だ。動画共有サイト「YouTube」にアップロードされている解説動画や、専門のセキュリティ啓発・教育サービスなど、利用できる教材はたくさんある。企業文化は一朝一夕には変わらないが、こうした機会を提供することで、テレワーカーも適切なセキュリティ対策を学べる。

対策3．適切な対策を講じる

　セキュリティ担当者は、社内システムやクラウドサービスに導入されているセキュリティ技術や機能を見直し、必要に応じて更新すべきだ。アクセスポリシーとその運用体制も定期的に見直す必要がある。

　特に、ユーザーの役割に応じてアクセス権限を付与する「役割ベースのアクセス制御」（RBAC）や、異なる認証要素を組み合わせて本人確認をする「多要素認証」（MFA）は、現代の企業に不可欠なセキュリティ対策だ。これらのセキュリティ対策を、従業員が使うデバイスやWebブラウザ、コンテンツフィルタリングといった領域に導入しなければならない。リモートアクセスで利用するクラウドサービスが適切に設定されているかどうかを確認し、定期的なテストを実施することも重要だ。

対策4．従業員のデバイスの可視性を確保する

　セキュリティ担当者は、企業ネットワークに接続する全てのデバイスを識別できるようにした上で、それらにセキュリティツールを導入すべきだ。この取り組みは、企業が使用を許可していないデバイスや、セキュリティ設定が不十分なデバイスなどを発見するのに役立つ。

対策5．全ての関係者に情報を発信する

　企業は、正社員および業務委託者など社外の協力者に対し、各自が利用するシステムのセキュリティに責任を持つべきであることを明確に伝えなければならない。セキュリティの重要性や、セキュリティが企業と個人にどのような利益をもたらすのかについて定期的に情報発信し、理解を促すことが重要だ。

対策6．セキュリティの抜け穴を発見し、対処する

　従業員から経営層まで、企業の全メンバーがセキュリティ基準やポリシーを順守するよう努めることは、インシデントの発生確率の低下につながる。潜在的な脅威や脆弱（ぜいじゃく）性を特定するためには、定期的なフォレンジック調査（インシデントの痕跡調査）が欠かせない。セキュリティ担当者は、自社のネットワークにどのデバイスが接続しているのかを常に把握し、未許可のエンドユーザーやデバイスを特定できる状態にしておく必要がある。

対策7．セキュリティ対策にAI技術を導入する

　企業にとって、セキュリティ対策を目的とした人工知能（AI）技術の導入を検討することには価値がある。AIがセキュリティ対策にもたらす利点の例としては以下がある。

• 膨大な量のイベントデータを分析し、脅威への対処法に関する知見を提供する
• 遠隔地にあるデバイスの監視やネットワーク診断といった、人手がかかる定型業務を自動化する
• 脅威が深刻化する前の兆候を捉える「脅威ハンティング」を支援する
• インシデント対処プロセスの一部を自動化する

リモートアクセスを実現するツール例

　「Windows」や「macOS」などのOSで、遠隔からの安全なデスクトップ操作を可能にするツールは複数存在する。以下に挙げるのは、リモートアクセスを実現するためのツールの例だ。ツールを導入する際は、MFAの有効化やアクセス制御といった、本連載で紹介したセキュリティ対策を適用することが重要だ。

• AnyDesk
• BeyondTrust
• ConnectWise
• Dameware
• GoToMyPC
• LogMeIn
• Meshnet
• Parallels Remote Application Server（Parallels RAS）
• RemotePC
• Splashtop Remote Access
• TeamViewer Remote
• UltraVNC
• Zoho Assist

TechTarget.AIとは

TechTarget.AI編集部は生成AIなどのサービスを利用し、米国Informa TechTargetの記事を翻訳して国内向けにお届けします。