VPNやVDIに代表されるリモートアクセス手段。前編では、リモート接続する機会の有無やセキュリティ課題などに焦点を当て、業務のリモート化の状況と起こり得るセキュリティ被害、対策に必要な視点について考察する。
キーマンズネットは2021年4月16日〜5月7日にわたり「リモートアクセス環境の整備状況」に関するアンケート調査を実施した。今回の調査では、社外から社内環境へリモート接続する機会の有無や手段、リモート環境下でのセキュリティ被害の有無と実際に遭った被害内容について尋ねた。業務リモート化の状況は企業規模で差があり、環境の整備状況にバラつきがある現状が透けて見えた。
全回答者数267人のうち、情報システム部門が30.7%、製造・生産部門が15.4%、営業/営業企画・販売/販売促進部門が15.3%、総務・人事部門が10.9%、経営者・経営企画部門が7.8%といった内訳であった。なお、グラフで使用している合計値と合計欄の値が丸め誤差により一致しない場合があるため、事前にご了承いただきたい。
政府は民間企業に対して「出勤者7割減」を求め、テレワークを強く推奨している。しかし、全ての企業がその要求に応えられているわけではなく、テレワークにシフトしたくてもできていない企業が存在するのが現実としてある。
その理由の一つに、VPNなど業務のリモート化を支える環境整備が追い付いていないことなどが考えられる。コロナ禍が訪れて1年以上がたった現在、企業におけるリモートアクセス環境の整備はどこまで進んだのだろうか。また、環境が整備できている企業、できていない企業で、それぞれの課題はどこにあるのか。前編、後編を通して、アンケート結果を基に探っていく。
まずは、リモート接続での業務状況を俯瞰(ふかん)するために、通常業務において自宅やサテライトオフィスなど社外から社内環境にリモート接続する機会の有無を尋ねたところ、全体で46.8%が「常にある」と回答。次いで「時々ある」34.8%、「全くない」18.4%となった。
この結果を企業規模別に見たものが図1だ。「常にある」と回答した割合は従業員規模1000人以上の企業が高く、中堅〜大企業を中心に業務のフルリモート化を進めている企業が一定数存在することが推測できる。対して、100人以下の中小企業は「時々ある」「全くない」の割合が高く、状況に応じてオフィス通勤とテレワークの切り替えを判断しながら業務を進めている状況が見て取れる。
続いて、社外から社内環境へのリモート接続機会について「常にある」「時々ある」と回答した人に対して接続手段を聞いた。最も多かったのは「VPN経由で接続」が67.0%で、次いで「リモートアクセスツール/サービスを用いて接続」43.6%、「VDI(仮想デスクトップ)を用いて接続」20.6%、「DaaS(Desktop as a Service)を用いて接続」4.1%という結果となった(図2)。
なお、この結果を従業員規模別でみたところ、やはり、リモート接続を実現する技術として長い歴史を持つVPNが根強く、全ての従業員規模で半数を超える利用率となった。他の接続手段と比べると、比較的手軽かつ安価でリモート接続できる手段とあってか、中小規模の企業でも利用が進んでいる状況が見られた。
一方で、クライアント端末に保持するデータを抑えることでセキュリティの強化が見込め、従業員ごとに確保したリソースを割り当てられることでパフォーマンスの安定が期待できるVDIは、VPNやリモートアクセスツールと比較してやや導入のハードルが高くなりやすく、経済的体力のある大企業を中心に導入が進んでいるとみられる。
リモートアクセスに存在するリスクの一つに、セキュリティがある。VPN機器などの脆弱(ぜいじゃく)性を狙ったサイバー攻撃も報告されているが、リモートアクセス環境においても利便性と安全性はトレードオフの関係になりがちだ。
リモート接続機会が「常にある」「時々ある」と回答した人を対象に、勤務先でセキュリティ被害に遭ったことがあるかどうかを尋ねたところ、67.0%が「被害に遭ったことはない」と回答した。被害に遭ったと回答したのは全体の4.1%にとどまった。
被害経験が「ある」と回答した人に具体的な被害内容を聞いたところ、「メールによる標的型攻撃を受けた」「VPNを経由せずに自宅から直接インターネットにアクセスしてしまい、ウイルスに感染した」といった被害が挙がった。
こうした被害例を見ると、リモートアクセス環境におけるセキュリティ事故は外部攻撃など外的要因ばかりではなく、従業員の操作ミスなど人為的な要因によるものもあり、そうした視点でのケアも必要なことが分かる。
オフィスを中心とした今までの就労形態であれば、情シスなどによる監視が行き届いていたが、自宅やサテライトオフィスなど従業員の就労場所が固定されない働き方になると、全てに目が行き届きにくく、今までの運用では成り立たなくなるだろう。eラーニングでセキュリティ講習を定期的に実施するなど、あらためて従業員のセキュリティ教育の必要性を感じる結果となった。
Copyright © ITmedia, Inc. All Rights Reserved.
製品カタログや技術資料、導入事例など、IT導入の課題解決に役立つ資料を簡単に入手できます。