ガイドブック A4.indd

7

情報通信技術の活用による テレワーク環境の向上

(2)　セキュリティの確保

ポイント ☆外部からのアクセスは許された人のみが可能 ☆セキュリティポリシーに応じてテレワーカーが使用する端末の種類を選 択する ☆アクセスしてくる端末の状態を確認する テレワーク環境を実現するには、インターネットなどの公衆回線への接続によってオ フィス以外の場所から会社のネットワークへのアクセスを可能にする必要があります。 その際には、不正アクセスやコンピュータウイルス等の不正プログラムなどの脅威に対 しての対策が重要となります。 平成 18 年 4 月に総務省から発表された「テレワークセキュリティガイドライン（第 2 版）」には、情報セキュリティ対策を行うにあたり、企業などの組織が重要視すべきこと は、「情報資産を洗い出し、どのような脅威や脆弱性、リスクがあるのか十分に把握、認 識した上で、体系的な対策を実施すること」とされており、「ルール」、「人」、「技術」と いう 3 つの情報セキュリティ対策をバランスよく保つことが示されています。 ここではテレワーク環境において検討すべきセキュリティ対策を説明します。 図表 7-2　テレワーク環境で実施すべき対策一覧 分　　　類 対策方法 内　　　　　　容 不 正 ア ク セ ス 対 策 ファイアーウォール導入 社内ネットワークと外部との境界を設定 不 正 ア ク セ ス 対 策

*

1IPS ／ IDS 導入 不正アクセスの進入検知もしくは排除 不 正 ア ク セ ス 対 策 デ ー タ 盗 聴、 改 ざ ん の 防 止 VPN 等導入 許可された者が外部から社内ネットワークにア クセスする際の認証および通信経路上でのデー タの暗号化 端 末 管 理 情 報 漏 え い 対 策 ウィルス対策ソフト ウェアの導入 コンピュータウイルスの感染防止、駆除、被害 拡大の防御 端 末 管 理 情 報 漏 え い 対 策 ・シンクライアントなど の端末の種類検討 ・端末操作制御ソフト ウェアの導入 端末へのデータ保存や USB デバイスなどの外部 記憶媒体への書き出しを制限 端 末 管 理 検疫システムの導入 アクセスしてくる端末のセキュリティレベルの 維持

70

7

情報通信技術の活用による テレワーク環境の向上 図表 7-2 はテレワーク環境で有効なセキュリティ対策の一覧です。ウィルスの感染や不 正アクセス、情報漏洩などに対する主な情報セキュリティ対策は以下のとおりです。 －外部からの不正アクセスへの対策⇒ファイアーウォールの導入 外部のネットワークから社内ネットワークへの通信を制限し部外者からのアクセスや 不正な種類の通信を排除し、社内ネットワークの情報資産を守ります。 －不正アクセスの検知、排除⇒ IPS ／ IDS IPS ／ IDS は不正アクセスを検知した場合には警告・排除なども行います。ファイアー ウォールを悪意をもって突破してきた通信などを検知することにより安全性を高めます。 【ご参考】ファイアーウォールと IDS/IPS との違い ファイアーウォール：あらかじめ設定された通信を許可、遮断するといったポリシーに沿った 動作を行う装置。従って、許可された通信が正しい、悪いといった判断は行いませ ん。1たとえば、ある通信が脆弱性を狙った攻撃であったとしても、許可された通信 であれば、ファイアーウォールでは防ぐことはできません。 IDS/IPS：ファイアーウォールにより許可された通信が正しいかどうかの判定を行う装置。 IDS/IPS はファイアーウォールで許可された通信の監視を行い、通信の不正な動き を監視し、検知、遮断します。 ファイアーウォールなどのための通信である HTTP プロトコルの通過を許可していますが、 同じ HTTP 通信でも POST メッソドでの Web ページを書き換えるための通信やネットワー ク内の機器やサーバーを遠隔で操作するための TELNET 通信の通過を許可しないという制御 をファイアーウォールで行っています。さらに IPS ではファイアーウォールを通過してきた HTTP 通信の中で脆弱性を狙う悪意のある通信を監視し、発見した場合には警告、排除などを 行うように動作しています。 ※ Permit は通過許可、Deny は通過不可を意味します。

7

情報通信技術の活用による テレワーク環境の向上 －アクセス可能な者のみに接続を許す認証の実現⇒ VPN 装置の導入 インターネットなどの公衆回線を経由した接続の可否を認証する機能を有します。テ レワーカーが接続する際には VPN のクライアントソフトウエアを使用して VPN 装置に アクセスし、ユーザ ID、パスワードなどを入力して認証を受ける IPSec 方式と、クライ アントソフトウエアを使用せずにインターネットブラウザの特定のページにて認証を受 ける SSL VPN 方式などがあります。

■ IPsec による暗号化

一般的には、拠点間（本社と支社等）を公衆網 （インターネット）等で接続する際に使 用します。製品としては専用機もありますが、ルータ、 ファイアーウォール等に実装さ れているケースもあります。また、端末（PC）を使用して社内ネットワークに接続を行 う場合には IPsec のクライアントソフトを使用することで接続が可能となります。 図表 7-3　IPSec による暗号化

■ SSL による暗号化

SSL（Secure Socket Layer）は一般的にはクライアント―Web サーバー間で使用され る暗号化方式で、接続の確立から切断までのセッションごとに暗号化を可能とします。 クライアント側は専用ソフトウェアは使用せず、ブラウザ（IE、Firefox 等）を使用する ことで接続が可能となります。この方式では端末にあらかじめソフトウェアをインストー ルしておく必要がないため、ホテルのビジネスセンタに備え付けのパソコンなど不特定 の端末からのアクセスを可能にします。ただし、この方式を使用する際には個人情報な どの重要なデータの漏洩を防ぐために、データを端末に残さないような制御をサーバー 側で行ったり、この方式でのアクセスでは個人情報などの重要データにはアクセスでき ないようにするなどの注意が必要です。 図表 7-4　SSL VPN での暗号化 ７．情報通信の活用によるテレワーク環境の向上 －アクセス可能な者のみに接続を許す認証の実現⇒VPN 装置の導入 インターネットなどの公衆回線を経由した接続の可否を認証する機能を有します。テ レワーカーが接続する際には VPN のクライアントソフトウエアを使用して VPN 装置にア クセスし、ユーザ ID、パスワードなどを入力して認証を受ける IPSec 方式と、クライ アントソフトウエアを使用せずにインターネットブラウザの特定のページにて認証を 受ける SSL VPN 方式などがあります。 ■IPsec による暗号化 一般的には、拠点間（本社と支社等）を公衆網 （インターネット）等で接続する際に使用します。 製品としては専用機もありますが、ルータ、ファイアーウォール等に実装されているケースもありま す。また、端末（PC）を使用して社内ネットワークに接続を行う場合には IPsec のクライアントソフトを 使用することで接続が可能となります。 図表 7-3 IPSec による暗号化 ■SSL による暗号化

SSL（Secure Socket Layer）は一般的にはクライアント―Web サーバー間で使用される暗号化方 式で、接続の確立から切断までのセッションごとに暗号化を可能とします。クライアント側は専用ソ フトウェアは使用せず、ブラウザ（IE、Firefox 等）を使用することで接続が可能となります。この方式 では端末にあらかじめソフトウェアをインストールしておく必要がないため、ホテルのビジネスセンタ に備え付けのパソコンなど不特定の端末からのアクセスを可能にします。ただし、この方式を使用 する際には個人情報などの重要なデータの漏洩を防ぐために、データを端末に残さないような制 御をサーバー側で行ったり、この方式でのアクセスでは個人情報などの重要データにはアクセスで きないようにするなどの注意が必要です。 図表 7-4 SSL VPN での暗号化 SSL VPN ���� 端末 第三者がのぞいても、暗号化 されているため、データをみる ことはできません。 Webサーバ SSL VPN装置 インターネット SSL VPN ���� 端末 第三者がのぞいても、暗号化 されているため、データをみる ことはできません。 Webサーバ SSL VPN装置 インターネット SSL VPN ���� 端末 第三者がのぞいても、暗号化 されているため、データをみる ことはできません。 Webサーバ SSL VPN装置 インターネット

72

7

情報通信技術の活用による テレワーク環境の向上 －インターネットなどの公衆回線上を流れるデータの盗聴、改ざん対策⇒ VPN 装置の導入 公衆回線上を流れるデータを暗号化して通信を行います。基本的には認証を行う装置 にて、認証と暗号化と双方の機能を実現しています。 －接続端末管理⇒ウィルス対策ソフトウェアの導入 コンピュータウイルスの感染を予防するためには、ウィルス対策ソフトウェアの導入が 必要です。一般的には、サーバーや端末等にインストールして使用します。対策ソフト では、パターンファイルによる検知を行い、除去を行います。ただし、パターンファイ ルだけでは「ゼロデイアタック」と呼ばれる未知のウィルスへの対応ができないため、ウィ ルスの行動パターン（振る舞い）より検知する製品も提供されています。このようなウィ ルス対策はソフトウェアを導入するだけではなく、ソフトウェアや OS のバージョンを常 に安心な最新のものにしておく必要があります。 図表 7-5　セキュリティの脅威に対する解決策 ７．情報通信の活用によるテレワーク環境の向上 72 -－インターネットなどの公衆回線上を流れるデータの盗聴、改ざん対策⇒VPN 装置の導入 公衆回線上を流れるデータを暗号化して通信を行います。基本的には３の認証を行う 装置にて認証と暗号化と双方の機能を実現しています。 －接続端末管理⇒ウィルス対策ソフトウェアの導入 コンピュータウイルスの感染を予防するためには、ウィルス対策ソフトウェアの導入 が必要です。一般的には、サーバーや端末等にインストールして使用します。対策ソフ トでは、パターンファイルによる検知を行い、除去を行います。ただし、パターンファ イルだけでは「ゼロデイアタック」と呼ばれる未知のウィルスへの対応ができないため、 ウィルスの行動パターン（振る舞い）より検知する製品も提供されています。このよう なウィルス対策はソフトウェアを導入するだけではなく、ソフトウェアや OS のバー ジョンを常に安心な最新のものにしておく必要があります。 図表 7-5 セキュリティの脅威に対する解決策 ウィルス対策 ソフト ウエア ネットワーク攻撃の防御（不正侵入、妨害アクセス等） ファイアウ�ール IPS/IDS 既知のウィルス/ ワームの感染防止 未知のウィルス/ ワームの感染防止 ○ ○ ウィルス感染済みファイルのスキャン/ 検出 / クリーンアップ ウィルス/ ワームの認識 大容量スマートメディアの書き込み/ 読み込み / 実行コントロール 任意P2Pアプリケーションのインストール / 実行 任意レジストリ/ 重要ファイルの改竄検出 ネットワークリクエスト受信/ 送信のコントロール 振る舞い検知 ソフトウエア ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ エンドユーザの操作による情報漏えい(データ損失)防止 機密データ検出のためのコンテンツスキャン機能 未知のウィルス攻撃の防御 ウィルス対策 ソフト ウエア ウィルス対策 ソフト ウエア ネットワーク攻撃の防御（不正侵入、妨害アクセス等） ネットワーク攻撃の防御（不正侵入、妨害アクセス等） ファイアウ�ール IPS/IDS 既知のウィルス/ ワームの感染防止 未知のウィルス/ ワームの感染防止 ○ ○ ウィルス感染済みファイルのスキャン/ 検出 / クリーンアップ ウィルス/ ワームの認識 大容量スマートメディアの書き込み/ 読み込み / 実行コントロール 任意P2Pアプリケーションのインストール / 実行 任意レジストリ/ 重要ファイルの改竄検出 ネットワークリクエスト受信/ 送信のコントロール 振る舞い検知 ソフトウエア ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ エンドユーザの操作による情報漏えい(データ損失)防止 機密データ検出のためのコンテンツスキャン機能 未知のウィルス攻撃の防御 －端末からの情報漏えい対策⇒PC 機能制御ソフトウェア、シンクライアントシステム の導入 社外に持ち出した端末に格納された個人情報などが、ファイル共有ソフトなどで流出 する事件が発生し問題となっています。その対策として PC 端末に企業の重要情報をダ ウンロードや保存をさせず、USB などの外部記憶デバイスにデータが書き出せないよう に制御する方法などがあります。また、シンクライアントシステムを活用して画面情報 －端末からの情報漏えい対策⇒ PC 機能制御ソフトウェア、シンクライアントシステムの導入 社外に持ち出した端末に格納された個人情報などが、ファイル共有ソフトなどで流出 する事件が発生し問題となっています。その対策として PC 端末に企業の重要情報をダウ ンロードや保存をさせず、USB などの外部記憶デバイスにデータが書き出せないように 制御する方法などがあります。また、シンクライアントシステムを活用して画面情報の みを端末に送り、データの実体は社内ネットワーク内にとどめることもセキュリティ対

7

情報通信技術の活用による テレワーク環境の向上 策として有効です。他には、PC 端末上に仮想デスクトップ環境を構築してシンクライア ント化することにより、PC を使いながらシンクライアントと同等のセキュリティを実現 する技術などもあります。PC やシンクライアントなどの端末の選択は、テレワーカーの 勤務形態やセキュリティに対する考え方などの利便性と安全性のバランスを考慮して行 う必要があります。 図表 7-6　テレワーク用端末比較 端末の種類 特　　徴 用　　途 注意事項 専 用 端 末 に よ る シンクライアント デ ー タ や ア プ リ ケ ーシ ョ ン は 社 内 の サ ー バーにあり専用クライ アントから情報を閲覧 する。ファイルの書き 換えなどの作業はサー バー上で行う。管理者 は端末毎のメンテナン スが不要であり、ユー ザはこれまでと同様の 感 覚 で 個 々 の デ ス ク トップ環境を利用でき る。 専用端末を使用するた め不特定多数のユーザ が利用するサテライト オフィスや在宅勤務者 など社外の特定の場所 で勤務する人間に適し ている。 また、情報漏えい対策 としてはもっとも強固 となるため、情報の取 り扱いを徹底したい場 合にも効果的である。 新規での導入が必要。 デ ー タ、 ア プ リ ケ ー ションはサーバー上に あるため、ネットワー ク接続ができないとき には作業ができない。 1 PC に よ る シ ン ク ラ イ ア ン ト （仮想デスクトップ 型、画面転送型） 社内ネットワークへの 接続時に PC 上にシン クライアント環境を作 りそこで作業を行う。 アプリケーションは端 末 に イ ン ス ト ー ル さ れたものを使うため、 ネットワーク接続がな い状態で作業を行い、 その結果をサーバーに 反映させることができ る。 画 面 転 送 型 は す べ て のアプリケーション、 データをサーバー側で 管理し、クライアント PC をサーバー遠隔操 作用端末として使用す る。 通常の PC を使用して アクセスを行うためモ バイル勤務への対応が し易い。顧客ファイル を扱うユーザなどに適 し て い る。 ま た、PC を 使 用 し、 情 報 を 残 さないため不特定の端 末（ホテルのビジネス センターの設置端末な ど）からの安全なアク セスが可能。 （※画面転送型では端 末側にクライアント機 能の設定が必要） 画 面 転 送 型 で は サ ー バーが集約できるため シンクライアントサー バーを管理しサービス としてシンクライアン ト接続を提供する ASP 型も使われている。 既存の端末の利用が可 能。PC 上に仮想端末 を構築するためアプリ ケーションによっては パフォーマンスの低下 が懸念される。 また、画面転送型では サーバー負荷が高くな ることがあるため作業 内容に注意が必要。 P C に よ る フ ル ア ク セ ス 遠隔地からのアクセスであっても社内ネット ワークに接続している のとまったく変わらな い接続が可能。 社外で様々な業務をこ なすモバイルワーカー に適す。自分の端末を 持ち歩きそれを遠隔地 から接続することによ り場所にとらわれずオ フィスにいるのと同じク オリティの仕事が可能。 端末内にアクセス権の あるすべての情報を取 得することも可能であ るため、使用者の意識 向上もしくは社内シス テム側でリスクの高い情 報はダウンロードさせな いなどの対策が必要。