[情報処理安全確保支援士]リモートワークのセキュリティ[無料講座・例題付き]

2023年2月21日2024年5月10日

今回は情報処理安全確保支援士試験で問われるリモートワークのセキュリティについて学習します。

トモル

最近はリモートワークってのも流行ってるんだね～

ラク

上司の監視が入らないなら、裏でゲームし放題じゃねえか！！！

キュー

こういうやつがいるから、リモートワークでもセキュリティに気をつけんとな

1. リモートワークのセキュリティ
- 1.1. リモートワーク(テレワーク)とは
- 1.2. リモートワークの実施方式とセキュリティ対策
2. リモートワークのセキュリティ・例題
- 2.1. 問題
3. リモートワークのセキュリティ・まとめ

リモートワークのセキュリティ

近年は働き方改革やコロナウイルスの影響によって、多くの企業でリモートワークが導入されてきました。

リモートワークにおいても、セキュリティ対策は重要です。

リモートワーク(テレワーク)とは

リモートワーク(テレワーク)とはコンピュータとネットワークを活用し、遠隔で仕事をすることです。

時間と空間を有効に活用できる多様な就労・作業形態であり、国内外を問わず普及し始めました。

日本では2017年からテレワーク・デイと呼ばれる職場以外での勤務を促す計画が推進され、多くの企業で働き方について効果検証が行われています。

キュー

コロナが始まる前からも、働き方改革の一環でリモートワークを導入する流れはあったで！

リモートワークの形態

リモートワークと言っても、大きく分けると以下3つの形態があります。

形態	概要
在宅勤務	自宅のインターネット回線やスマートフォンからのテザリング機能を利用して社内システムにVPN接続して業務をしたり、インターネット上のWebサイトやクラウドシステムに接続したりして業務を行う形態です。
モバイル	外出先の施設・屋外・公共交通機関などで業務を行う形態です。近隣の無線LANアクセスポイントやテザリングを通じて社内システムやインターネットに接続します。
サテライトオフィス	本社から離れた場所に設置された小規模なオフィスで業務をする形態です。オフィスに設置されたインターネット回線を利用することが一般的です。

リモートワークの検討事項

リモートワークを導入する場合、セキュリティをはじめとしていくつか検討する事項があります。

具体的な検討事項としては以下の通りです。

主な検討事項	検討内容
対象者	全員なのか・個人なのか・それとも部署ごとなのか　などの対象者
業務内容	定常業務のみ・メールのみ・ファイル編集のみ　など対象とする業務の範囲や内容
利用するシステム	メール・Web・社内システム・クラウドサービス　などのシステム
ネットワークの接続方法	VLANなのか・VPNなのか　など
使用するネットワーク環境	自宅なのか・テザリングなのか　など
リモートワーク端末	個人の端末(BYOD)なのか・会社が貸与する端末なのか
ファイルやデータの保存方法	各端末に業務で使用するファイルを保存するかどうか

アカリ

リモートワークの導入には、決めないといけない項目がたくさんあるんだね・・・

リモートワークの実施方式とセキュリティ対策

ITインフラから見たリモートワークの実施方式には、いくつもの種類があります。前述の検討結果や求めるセキュリティレベル・導入や運用に必要なコストなどにより以下の実施方式を決めることになります。

シンクライアント画面転送型

シンクライアント画面転送型では、リモートワーク用の端末にファイルなどを一切保存せず、オフィスのPC画面を転送して遠隔操作するためのシンクライアント端末を利用します。

リモートワークPCはVPN経由でオフィスPCに接続します。実際にはリモートワークPC自体ファットクライアントですが、それをシンクライアントのように使用するのが一般的です。

画面転送型のメリット

業務の情報をリモートワーク用PCに保存しなくて良い
レスポンスに問題がなければオフィス同様の業務が可能
インターネットへの通信を集約できてすべてを管理・監視できる

画面転送型のデメリット

オフィスPCとは別の端末が必要
通信機器や回線の大幅な増強が必要
設備次第ではレスポンスが低下し業務効率が低下する可能性がある

アカリ

シンクライアント画面転送型だと、万が一リモートワーク用のPCを紛失してもデータ漏洩の恐れはないね！

次に紹介するファットクライアント型のリモートワークと比較すると、リモートワーク用のPC端末に業務情報を保存しなくて良いため、セキュリティ強度は高いです。

一方で、リモートワークの及ぶ範囲次第では通信設備の大幅な増強が求められます。

ファットクライアント型(VPNのみ)

VPN接続のみによるファットクライアント型は、オフィスPCを持ち出してリモートワークPCとして使用する方式です。リモートワークPCは、VPN経由でオフィスのネットワークに接続し、オフィス内のサーバやインターネット上のWebサイト、クラウドサービスなどにアクセスして業務を行います。

VPNのメリット

オフィスPCをそのままリモートワークに使える
オフィスと同様のPC環境で業務をできる
オフィスにPCを置かなくて良い
インターネット通信を集約し、管理できる

VPNのデメリット

リモートワークPCに業務情報が保存される
通信機器や回線の増強が必要となる
設備によってはレスポンスや使い勝手が悪化する可能性がある
VPN以外での社内ネットへの接続禁止を徹底する必要がある

VPN接続のみによるファットクライアント型では、リモートワークPCに業務情報を保存するため、当該情報の流出や不正利用防止策、EDRによるエンドポイントセキュリティの強化など、シンクライアント型よりも懸念事項が増えます。

一方で、各業務はリモートワークPCの方がローカル環境で実施できるため、シンクライアント型と比較すると通信設備への負担は高くありません。

ファットクライアント型(VPN・インターネット直接続併用)

VPN・インターネット直接続併用によるファットクライアント型は、リモートワークPCを利用する点でVPNのみのファットクライアント型と変わりません。

ただしVPN接続に限らず、自宅のインターネット接続回線やテザリングによって、直接クラウドサービスやインターネット上のWebサイトにアクセスして業務を行います。

インターネット直接続併用のメリット

通信機器や回線の増強が不要となる可能性がある。
オフィスPCをそのままリモートワークに使える
オフィスと同様のPC環境で業務をできる
オフィスにPCを置かなくて良い

インターネット直接続併用のデメリット

リモートワークPCに業務情報が保存される
Webやクラウドサービスに接続する場合、情報漏洩などのリスクがある。

トモル

ファットクライアント型はPCを紛失しちゃうリスクが大きいよね～

VPN・インターネット直接続併用によるファットクライアント型も、リモートワーク用PCに業務データを保存するため、データ管理が重要となります。

インターネットを直接利用するため、VPN限定のファットクライアント型と比較してもセキュリティ懸念事項は増えます。具体的には、ゼロトラストに基づいたネットワークの構築やSASEと呼ばれるクラウド環境における各種セキュリティサービスの導入が考えられます。

リモートワークのセキュリティ・例題

実際に例題を解いて問題に慣れていきましょう。

問題

A社は，社員10名を対象に，ICT活用によるテレワークを導入しようとしている。テレワーク導入後5年間の効果(“テレワークで削減可能な費用”から”テレワークに必要な費用”を差し引いた額)の合計は何万円か。(R.3/秋)

〔テレワークの概要〕

テレワーク対象者は，リモートアクセスツールを利用して，テレワーク用PCから社内システムにインターネット経由でアクセスして，フルタイムで在宅勤務を行う。
テレワーク用PCの購入費用，リモートアクセスツールの費用，自宅・会社間のインターネット回線費用は会社が負担する。
テレワークを導入しない場合は，育児・介護理由によって，毎年1名の離職が発生する。フルタイムの在宅勤務制度を導入した場合は，離職を防止できる。離職が発生した場合は，その補充のために中途採用が必要となる。
テレワーク対象者分の通勤費とオフィススペース・光熱費が削減できる。
在宅勤務によって，従来，通勤に要していた時間が削減できるが，その効果は考慮しない。

テレワークで削減可能な費用・テレワークに必要な費用

通勤費の削減額	平均10万円/年・人
オフィススペース・光熱費の削減額	12万円/年・人
中途採用費用の削減額	50万円/人
テレワーク用PCの購入費用	初期費用8万円/台
リモートアクセスツールの費用	初期費用1万円/人運用費用2万円/年・人
インターネット回線費用	運用費用6万円/年・人