リモートアクセスのセキュリティリスクとは? 安全に使うための対策を解説

リモートアクセスとは

社外の離れた場所にあるデバイスから、社内のデスクトップPCおよび社内ネットワークに接続する「リモートアクセス」。ここではリモートアクセスの意味やメリットを解説します。

リモートアクセスの意味

リモートアクセスとは、自宅や出張先などの離れた場所からデバイスを用いて社内PCおよびネットワークに接続することです。インターネットさえつながっていれば、リモートアクセスによって自宅や出張先からでも社内PCの遠隔操作が可能になり、メールチェックやファイルの転送などが行えます。

近年、テレワークの普及によりリモートアクセスの需要が増えていることから、リモートアクセスを実現させるサービスおよびツールなども注目されています。しかし、利便性が良くなる反面、情報漏洩などのセキュリティリスクも考慮しなければなりません。リモートアクセスを導入する場合は、まずセキュリティ対策をしっかり検討する必要があります。

リモートアクセスのメリット

リモートアクセスを導入することで得られる一番大きなメリットは、遠い場所からでも社内PCおよびネットワークにアクセスできることです。これにより自宅や出張先からでも、オフィスにいる時のように業務が行えます。近年の働き方改革推進における多様な働き方実現の観点からも、得られるメリットは大きいでしょう。

また、コスト削減にも貢献します。これまで、社外でも社内と同じ業務を行うためには、社外用デバイスの準備や専用ソフトを搭載させる必要がありました。これには導入コストがかかるうえ、管理コストも発生します。リモートアクセスでは、専用ツールを導入するだけで簡単に社内と同じように社外での業務が可能です。

さらに、データの持ち出しによって起こり得る情報漏洩リスクを低減できます。リモートアクセスでは、社外用デバイスにおける業務に関係ないデータへのアクセスをブロックできます。また、万が一デバイスを紛失したり盗難に遭ったりしても、遠隔操作を行いデバイスのデータを消すことも可能です。

このように、リモートアクセスは業務効率や情報漏洩リスク対策にも大きなメリットをもたらします。

リモートアクセスのセキュリティリスク

リモートアクセスは、離れた場所からでも社内のネットワークにアクセスできる便利なサービスですが、セキュリティリスクがあることも把握しておかなければなりません。ここでは、主なセキュリティリスクの種類や実際の被害事例を紹介します。

セキュリティリスクの種類

主なセキュリティリスクは以下の5つです。

・なりすまし被害
IDやパスワードを不正入手し、正規のユーザーになりすますことでシステム内に侵入する手口です。何かしらの理由により、IDとパスワードが流失してしまうことが主な要因です。

・不正アクセス
IDやパスワードを盗まれたり、IPアドレスを偽られたりして起こる被害です。サイバー攻撃の基本的な手口であり、不正アクセスされることでさまざまなセキュリティ被害に遭う恐れが高まります。

・データ改ざん
不正アクセスされることで、データ改ざんの被害に遭う恐れがあります。業務に重要なデータが改ざんされたり、公開中のWebサイトに侵入されデータを書き換えられたりなどの被害が予想されます。

・盗聴
接続の際、暗号化されていないデータが送受信されると、その内容を盗聴される恐れがあります。ネットワーク上にモニタリングソフトなどを仕掛けられることで、簡単に盗聴されてしまいます。

・マルウェア感染
インターネットを利用する上で脅威になるのはマルウェア感染です。マルウェアには、ウイルスやスパイウェアなどあらゆるものがありますが、一度感染してしまうとデータ書き換えやデータ流失などの被害にあう恐れが高くなります。

リモートアクセスにおける被害事例

リモートアクセスにおける被害実例を紹介します。

・マルウェア感染による業務の遅延
テレワーク用として社外に持ち出した社用PCを利用して海外サイトを閲覧し、その結果、マルウェアの1種であるランサムウェアに感染してしまったという例です。これにより、復旧するまでの期間は業務が行えず、遅延が発生してしまいました。
社内ネットワークセキュリティは対策されていることがほとんどですが、テレワークでは社外に持ち出すデバイスのセキュリティ対策が重要です。また、個人PCからアクセスする場合は、社内用のセキュリティ対策と同等の対策を施す必要があります。

・無線LANの利用による情報漏洩
社外から無線LANを利用してファイル送信した際、重要なデータが競合企業に漏れてしまったという例です。
公衆無線LANの中には脆弱性がある無線LANもあり、通信したデータを盗まれてしまう危険性もあります。接続するネットワークおよびデバイスのセキュリティ対策にも注意しなければなりません。

・端末紛失によるクライアント情報の漏洩
クライアント情報を保存してあるデバイスを社外で紛失してしまったことで、社外に公表していない大切なクライアントの連絡先を漏らしてしまった例です。このことでクライアント先に迷惑メールや電話が来るようになり、謝罪対応に追われてしまいました。

社外に持ち出すデバイスに重要情報を保存していると、紛失や盗難などの被害にあった場合にその情報が漏れてしまう危険性があります。デバイスを扱う社員にも、セキュリティリスクの重要性をしっかり認識してもらう必要があります。

・VPNの脆弱性による情報漏洩
リモートアクセスの導入とともに注目されている技術「VPN（Virtual Private Network）」は、安全性の高い技術とされています。その一方で、ある特定のVPN装置を使っていた日本企業数十社と、世界900社以上の企業の情報が漏洩するというセキュリティ事故が起きてしまいました。

原因は、このVPNを使用していた企業がセキュリティパッチの更新を怠ってしまったため、その脆弱性が悪用されてしまったことでした。VPNを使用しているだけでは、必ずしも安全とは言い切れないということがわかります。

・クラウド上のソフトウェア開発環境への不正アクセス
クラウド上にあるソフトウェア開発環境に不正アクセスされたことで、登録してあったソースコードが漏洩した事例です。加えて認証キーも盗まれたため、稼働中のサービスサイトにも不正アクセスされてしまいました。

この開発環境には多要素認証が採用されていましたが、通常のログイン方法とは別の抜け道を使ってログインを突破した恐れがあります。対策として、認証キーの定期的な変更や不正アクセス監視機能などの装備が考えられます。

・RDPを経由したランサムウェアの侵入
RDP（Remote Desktop Protocol）を経由してデバイス内への侵入をうかがうランサムウェア「Phobos（フォボス）」はサイバー攻撃の一種であり、近年急増していることから日本で注意喚起が行われています。Phobosに感染すると、データおよびファイルが不正に暗号化されてしまい、暗号化を解くために身代金を要求されるという手口です。

RDPを悪用するランサムウェアは、Phobosのほかにも多く発見されています。RDPとSSL-VPNの組み合わせや、通信時の暗号化の強化などといったセキュリティ対策が求められます。

リモートアクセスを安全に活用するためのセキュリティ対策

さまざまなセキュリティリスクを抱えるリモートアクセスを安全に活用するためには、具体的にどのようなセキュリティ対策を講じる必要があるのでしょうか。主なセキュリティ対策例を紹介します。

リモートアクセスを安全に活用するためのセキュリティ対策例

・セキュリティポリシーの設定
社員のセキュリティ意識向上のため、セキュリティ対策を行うための基本方針をまとめた「セキュリティポリシー」を設定します。セキュリティシステムの設定およびデバイスなどの利用方法や取り扱いの際の注意点などをまとめ、社員は必ず目を通すように徹底します。また、定期的に見直す機会も設けましょう。

・特定の社員だけがアクセスできるように、アクセス権限を設定
社員の誰もがアクセスできる状態では管理にも手間がかかり、なおかつトラブル時の原因特定も困難です。例えば、セキュリティ研修を受けた社員のみアクセスできるようにするなどの対策を行います。

・ログイン試行回数を制限
ログインする際に、一定の回数以上失敗したらロックがかかりアカウントが停止されるという設定をします。ブルートフォースアタックなどによるIDおよびパスワードの割り出しを防げます。

・ログ（履歴）を残せるように設定
トラブル発生時の原因特定を行いやすくするためには、誰が・いつ・どこで・何を・どうしたかを把握することが重要です。迅速な対応ができるように、ログ（履歴）を残せるように設定しましょう。

・RDPに対してはシングルサインオン（SSO）や多要素認証を導入
RDPには、一度ユーザー認証を行えば複数のシステムにログインできる「シングルサインオン（SSO）」や、3つの認証要素を2つ以上組み合わせる「多要素認証」の導入による対策が効果的です。不正アクセスのリスクが軽減できます。

・ゼロトラストを考慮してセキュリティ対策を行う
ゼロトラストとは、「すべて信頼できるわけではない」という考え方です。これまでは、社内のネットワークは信頼に値し、社外のネットワークは信頼できないという境界線がありました。しかし、近年のハイブリッドワークの普及から、保護すべき対象が社内と社外に点在していることで、その境界が曖昧になりつつあります。そのため、ゼロトラストにおける、「すべての通信を信頼できない」という考え方を前提に、セキュリティ対策をさらに強化させることが求められます。