メディア
特集
» 2022年01月13日 10時00分 公開

テレワーク環境別に考える、VPNおよびリモート端末のリスクと対策テレワーク時代に取り入れたいゼロトラストセキュリティ

テレワーク環境を3つのパターンに分けて、それぞれで発生するセキュリティリスクを整理した上で、その対策を指南する。

[扇 健一,株式会社日立ソリューションズ]

著者紹介:扇 健一

日立ソリューションズ セキュリティソリューション事業部 企画本部 セキュリティマーケティング推進部 部長 セキュリティエバンジェリスト

20年以上にわたり開発から導入までのセキュリティ関連業務に従事しており、現在は主にセキュリティソリューション全般の企画や拡販業務、各種講演や執筆活動を行う。また、早稲田大学グローバルエデュケーションセンター非常勤講師としての活動や、特定非営利活動法人 日本ネットワークセキュリティ協会(JNSA)でも活動を行う。


 本連載は、テレワーク環境におけるセキュリティリスクを整理するとともに、その対策としてゼロトラストセキュリティの実践方法を解説している。

 「サイバー攻撃対策が重要だ」と分かってはいても、「さまざまな選択肢の中でどのような対策を優先すべきか」「予算をいかに確保するのか」「どうやって上司を説得するのか」といったことに悩む企業は多いだろう。テレワークシフトが進んだ今、新たなリスクへの対策をどう進めてよいのか分からないという声もよく耳にする。

 連載第2回となる本稿は、テレワーク環境を3つのパターンに分けて、それぞれで発生するリスクとその対策を考える。自社の状況にあてはめながら読むことで、セキュリティ対策の方針を決めるヒントを得られるはずだ。

 企業のテレワーク環境は以下の3パターンに分けられる。

(1)社内ネットワーク、クラウド、どちらに対してもいったんリモートアクセスし社内を経由する構成。

(2)社内ネットワークに対してはリモートアクセス、クラウドには社内を経由することなく直接アクセスする構成。

(3)社内ネットワークにアクセスする場合は出勤し、クラウドには直接アクセスする構成。

※ここでのリモートアクセスは、広く利用されているVPN方式を想定。


あなたの会社のテレワーク環境におけるサイバー攻撃リスクは?

 テレワークの実施形態によってサイバー攻撃のリスクは異なる。無駄な対策をしないためにも、自社の実態とリスクを把握し「現状はどこまで対策できていて、何が足りないのか」を考えてほしい。

(1)社内ネットワーク、クラウド、どちらに対してもいったんリモートアクセスし社内を経由する構成

 前述した(1)社内ネットワーク、クラウド、どちらに対してもいったんリモートアクセスし社内を経由する構成ではVPNサーバとリモート端末に着目し、それぞれのリスクをまとめた。

(2)社内ネットワークに対してはリモートアクセス、クラウドには社内を経由することなく直接アクセスする構成

 構成(1)と違い、リモート端末からクラウドに直接アクセスできるため、構成(2)では、(1)で挙げたリスクに加え、リモート端末からクラウドに直接侵入されるリスクを考慮する必要がある。

(3)社内ネットワークにアクセスする場合は出勤し、クラウドには直接アクセスする構成

 構成(3)にはVPNサーバがない。この構成の場合、(1)で触れたリモート端末におけるリスクと、(2)で触れたリモート端末から直接クラウドに侵入されるリスクを考慮してほしい。また、構成(3)に限ったことではないが、リモート端末を会社に持ち込んで直接社内ネットワークに接続することで攻撃者に侵入されるリスクがあることも考慮しておかなければならない。

どのようにサイバー攻撃リスクに対処するか

 テレワークの実施形態ごとにどのようなリスクがあるかを示してきた。ここからは、各リスクへの対策を考える。

Copyright © ITmedia, Inc. All Rights Reserved.

会員登録(無料)

製品カタログや技術資料、導入事例など、IT導入の課題解決に役立つ資料を簡単に入手できます。