テレワーク環境構築での注意点とは?

テレワーク

今、テレワークの導入が盛んに叫ばれていますが、皆さんはいかが でしょうか。

テレワークを行う上で、接続の仕方について注意をしないと、安易 な導入は情報漏えいにつながる問題をはらんでいます。

ネット上でもテレワークを狙うサイバー攻撃について注意喚起がさ れています。

テレワークの導入については、2019年2月7日配信の第199号にて活用方法等についてご紹介しましたが、今回はITインフラから見たセキ ュリティに関する内容についてお伝えしたいと思います。

目次

1.どのように外部から接続するか ━

テレワークを実施する方法としては、社内の端末を起動したままにしておいて、外部の端末からリモートデスクトップで接続する方法が一番基本だと思います。

最近ではクラウド上、例えばAWSの 仮想デスクトップのサービス(Amazon WorkSpaces)を利用する やり方もあります。 (この場合、会社とAWSの環境を接続しておく必要があります。)

 

そこで考えなければならないのは、外部からどの様なセキュリティで社内に接続するか、です。

一般的には、会社のインターネット接続部分のファイアウォールにVPNの機能を付加したり、別途専用のVPNルータを設置して、外部からの接続を受ける「受け口」を作ります。

 

そして、外部にいる社員が操作する端末上に、VPNルータやファイ アウォールに接続するための「ソフトウェア」をインストールし、 ID、パスワードの認証をすることで、社内への接続を許可します。

 

しかし、ID、パスワードだけでセキュリティは大丈夫でしょうか?

やはりダメですよね。

 

ID、パスワードと接続先の情報が漏れてしまうと、第三者が社員に なりすまして不正に接続できてしまいます。

そこで、いわゆる「二要素認証」の導入が必要ですが、おススメは スマートフォンにインストールする「モバイルトークン」です。

これは1分ごとにコードが変わる「ワンタイムパスワード(OTP)」 と言われるもので、人とそのスマートフォンにインストールされた トークンを紐付けておけば、ID、パスワードとそのスマートフォン (デバイス)の2種類の情報が無いとログインできなくなるため、 セキュリティは強固になります。

 

VPN接続する際にID、パスワードを入力することで、キーコード が予め登録されたスマートフォンやガラケーの電子メールあてに送る やり方もありますが、あまりお奨めできません。

 

NTTドコモなどの携帯電話会社のメールアドレスであれば、メール アドレスを受信できるデバイスが固定されると言えますが、Gmailや YahooMailなどを設定した場合、受信できるデバイスは特定できない (第三者から読まれる可能性がある)と言えますので、セキュリティ の「穴」ができてしまいます。

 

もう1つのやり方は、接続する端末を特定する、というものがあります。

 

外部から接続する端末上に「証明書」をインストールしておき、 VPN接続する際に証明書を確認し、特定された端末であるかを 確認することでセキュリティを確保します。

このやり方で気になるのは、「証明書」をどのように端末に インストールするかです。

電子メールで送付する場合は、第三者に取られる可能性は否定でき ませんし、インストールした証明書を取り出して、他の端末に インストールすることも不可能ではありません。

2.端末OSの選定も重要

普段利用されている端末にVPN接続ソフトをインストールし、 社内のファイルサーバやグループウェアに接続する、これって 大丈夫でしょうか?

やはりセキュリティが気になります。

 

もちろん100%と言ってよいほどアンチウイルスソフトはインス トールされていると思いますが、市販のアンチウイルスソフトで検知できるウイルスは4割~5割との情報があります。

つまりは半分以上のウイルスは検知できない→感染する可能性が あると言うことです。(だからと言ってアンチウイルスソフトをイ ンストールしないと言う事にはなりません。)

 

ウイルスには、画面のスクリーンショットを取って外部に送る、い わゆる「暴露ウイルス」があり、重要なファイルを操作する画面が キャプチャされ、情報が漏洩する可能性が否定できません。

 

どうすれば良いか…。

100%のウイルス感染を防ぐことはできませんが、Linuxベース のOSであればWindowsと比較し、ウイルス感染のリスクは大きく 下がります。

 

USBメモリ上にLinuxがインストールされ、VPN接続できるソ フトとリモートデスクトップでアクセスできるソフトウェアあれば、 元々がWindowsがインストールされた端末であっても、USBメモ リから起動させれば、そのパソコンのハードディスクやSSDは利 用せず、CPU、メモリやキーボード等のハードウェアを利用し、 社内の端末にアクセスすることができます。

 

USBメモリからのブートは、パソコンのBIOSの設定変更が必 要であったり、そもそも起動できない端末があったりと、若干利用 する環境のハードルが上がりますが、やはりおススメはこちらです。

 

それと「モバイルトークン」を使った二要素認証を活用することで セキュリティの高い、接続環境が構築できるでしょう。 いろいろと書かせて頂きましたが、セキュリティを高くする=操作 性は下がる&コストは上がります。

利用する環境や掛けられるコストのバランスを考慮しつつ、環境を 考える必要があると思いますので、もし「分からない!」場合は 是非ともご相談ください。

よかったらシェアしてね!
  • URLをコピーしました!
目次