テレワークは、オフィス内で業務を行うよりもセキュリティリスクが高いといえます。オフィス内で業務を行う場合は、外部のネットワークと社内のネットワークが切り離されているので、悪意のあるユーザーが社内の重要情報にたどり着くのが難しいです。一方で、テレワークはオフィスとは物理的に離れたところから業務を行うため、必然的に外部のネットワークにふれる機会が多くなります。その分、悪意のあるユーザーに侵入されるリスクが高まるのです。

テレワークのセキュリティ対策として「VPN」が有効という話はよく聞きますが、すべての企業に適した方法なのでしょうか？VPN以外にテレワークを実現する方法はないのでしょうか？この記事では、さまざまなテレワークの導入方法を紹介し、そのメリットや注意点をわかりやすく解説します。

なお、総務省が策定・公表している、テレワーク導入にあたってのセキュリティ対策についての考え方や対策例を示した「テレワークセキュリティガイドライン」を参考にしています。

テレワークは以前から、育児・介護と仕事を両立したり、通勤時間の節約や通勤ストレスからの開放といったワーク・ライフ・バランスの向上に貢献する働き方として注目されてきました。

ICTの技術発展によって、多くの企業でテレワークの導入が進みましたが、特に、2020年に流行した感染症への対策として、テレワークは爆発的に浸透しました。

このように急速に普及したテレワークですが、必要に迫られて半ば強制的に推し進められた結果、セキュリティ対策がおざなりになっているケースもあるのではないでしょうか。適切な対策が取られないままテレワークを行うことは、非常に危険です。悪意のある外部ユーザーからのサイバー攻撃だけでなく、従業員の不注意による情報漏えいのリスクもあります。

これからテレワークの導入を検討している企業だけでなく、すでに導入済みだがセキュリティに不安があるという企業にもぜひ参考にしていただきたいです。

VPNは、「Virtual Private Network」の略で、仮想的な専用回線のことです。

物理的に離れたところ同士が通信を行う際、通常はインターネットが用いられます。しかし、インターネットは公衆回線であり、通信内容を他のユーザーに見られてしまう可能性があります。そのため、企業の本社と支店などが社内の機密情報を通信する際にインターネットを使うことはできません。これまでは、物理的にインターネットとは切り離された専用線を用意していましたが、これには高額な費用と長い敷設期間が必要です。

そこで登場したのがVPNです。中でもインターネットVPNは、インターネット回線を利用しながら仮想化技術を用いることで、擬似的に専用回線とすることができます。これにより、拠点間の安全な通信のためにかかるお金と時間を大幅に削減できるようになりました。もちろん、拠点間の通信だけでなく、テレワーク勤務者とオフィス間の通信にもVPNは活用されています。

VPNには、インターネットVPN以外にも、IP-VPNや広域イーサネットなど複数の種類があり、セキュリティ強度やコスト、ネットワーク構築の柔軟性などが異なります。

ここからは、テレワークの導入方式を紹介していきます。まずは、VPNを利用する方法を5つ挙げます。

テレワーク端末から社内ネットワークにVPN接続を行い、社内ネットワーク内のファイルサーバーや基幹システムにアクセスして業務を行う方式です。テレワーク端末がオフィス内にある場合と同じように業務ができます。

基本的には、テレワーク端末からクラウドサービスを利用する際にも、1度社内ネットワークに接続しセキュリティ機器を介してアクセスすることになります。そのため、システム・セキュリティ管理者がクラウドへのアクセス状況を把握できるので、オフィス内からクラウドへアクセスする場合と同等のセキュリティレベルを確保することができます。ただし、社内ネットワークへアクセスが集中し、アクセス回線が逼迫する可能性があります。

アクセス回線の逼迫を避けるため、特定のクラウドサービスへのアクセスは社内ネットワークを経由しない「ローカルブレイクアウト」という方法もあります。詳しくは後述します。

この方法ではテレワーク端末上にデータの保存が可能なので、通信が不安定になった場合でも、テレワーク端末上に保存されたデータを使ってローカル環境で業務を続けることができます。一方で、端末にデータを保存するということは、情報の持ち出しリスクや、端末の紛失や盗難による情報漏えいのリスクにもつながります。

一般的に、VPN方式のテレワークというと、この方式を指すことが多いです。ただし、その他の方式にもVPNは活用されています。

テレワーク端末から、社内ネットワーク内に設置されたPCなどの端末のデスクトップ環境に接続し、そのデスクトップ環境を遠隔操作する方式です。テレワーク端末は操作に使用するだけで、実際にデータ処理を行うのは社内ネットワーク内の端末です。社内ネットワーク内に設置された端末はもちろん社内ネットワーク内のファイルサーバーや基幹システムにアクセスできるので、テレワーク端末から遠隔操作することで、オフィス内にいるのと同じように業務を行うことができます。このとき、テレワーク端末と社内ネットワーク内の端末間の通信はVPN接続します。

この方式でも、基本的にはクラウドサービスを利用する際は社内ネットワーク内に設置されたセキュリティ機器を介してアクセスすることになるため、さきほどの方式と同じメリットとデメリットを持っています。

一方で、この方式ではテレワーク端末へのデータ保存を制限することができます。テレワーク端末はあくまで遠隔操作を行うだけで、データを保存したり、処理を行うのは社内ネットワーク内の端末ということです。これにより、情報漏えいのリスクを抑えることができます。

ただし、業務中は社内ネットワークに常時接続して通信を行うことになるため、通信回線が逼迫しやすいことに加え、テレワーク端末のみでは業務を行えないので、通信が不安定になると業務効率に支障をきたす可能性があります。

テレワーク端末から社内ネットワーク内に設置された仮想デスクトップ（Virtual Desktop Infrastructure：VDI）基盤に接続し、その基盤上に構築されたデスクトップ画面を遠隔操作して業務を行う方法です。

「リモートデスクトップ方式」と非常によく似ていますが、リモートデスクトップ方式が社内ネットワーク内に設置されている端末（PCなど）に接続するのに対し、この方式では専用サーバーなどに構築されたVDI基盤に接続します。このとき、テレワーク端末とVDI基盤間の通信はVPN接続します。

社内システムへのアクセスやセキュリティ強度は、オフィス内で業務を行う際と同等で、テレワーク端末へのデータ保存を制限できる点、アクセス回線が逼迫しやすい点もリモートデスクトップ方式と同じです。

最も特徴的なことは、リモートデスクトップ方式はユーザーごとに個別の端末に接続しますが、VDI方式では、ユーザーの接続先がVDI環境に集約されているため、セキュリティについて管理者が一括して集中管理することができます。ただし、使用者ごとにデスクトップ環境の構築が必要となるため、大規模な環境変更が必要です。

テレワーク端末上に、セキュアコンテナというテレワーク業務専用の仮想環境を設け、その仮想環境内でアプリケーションを動作させ業務を行う方法です。

セキュアコンテナは、業務以外でそのテレワーク端末を使う環境（ローカル環境）とは独立しているので、セキュアコンテナ上で動作するアプリケーションはローカル環境に接続できません。そのため、テレワーク端末上に業務データを残さずに利用することができます。また、データを処理するアプリケーションはテレワーク端末上のセキュアコンテナ内で動作しているため、データ処理自体にはオフィスとの通信が不要です。

セキュアコンテナで作業を行うのに必要なデータを取得する際に、社内ネットワークに接続します。このとき、セキュアコンテナと社内ネットワーク間の通信はVPN接続されます。クラウドサービスを利用する際も、いったん社内ネットワークに入り、インターネットゲートウェイを通ってアクセスするので、回線が逼迫する可能性があります。

大きなデメリットとしては、セキュアコンテナ上で動作するアプリケーションしか使うことができないので、それ以外のアプリケーションを使った業務を行うことはできません。

テレワーク端末上で、セキュアブラウザと呼ばれる特別なブラウザを利用し、社内システムにアクセスしたり、クラウドサービスで提供されるアプリケーションにアクセスし業務を行う方法です。

セキュアコンテナ方式と非常によく似ていますが、仮想的な環境を用意するのではなく、専用のブラウザを利用するということです。仮想環境が不要なので環境構築が比較的簡単ですが、セキュアブラウザで動作するアプリケーションしか使うことができません。

セキュアブラウザ方式も、データの処理はセキュアブラウザが動いているテレワーク端末側なので、社内ネットワークとの通信が不安定でも業務を行うことができます。

セキュアブラウザと社内ネットワーク間の通信はVPN接続されます。クラウドサービスを利用する際は、いったん社内ネットワークに入り、インターネットゲートウェイを通ってアクセスする点はセキュアコンテナ方式と同じです。

ここまでVPNを利用するテレワーク方式を紹介してきました。いくつかの方法がありましたが、基本的には、テレワーク端末と社内ネットワーク間の接続が必要なため、その通信にはVPNが使われます。

ここからは、VPNを必要としない、つまり社内ネットワークと通信を行わないテレワーク方式を紹介します。

社内ネットワークには接続せず、テレワーク端末からインターネット上のクラウドサービスに直接接続し業務を行う方法です。

テレワーク勤務者は社内ネットワークを経由せず、クラウドサービスへ直接接続するため、社内ネットワークのアクセス回線に通信が集中して混雑してしまうという問題を解消できます。社内ネットワークとの通信が発生しないので、VPNは不要です。さらに、専用の環境を構築する必要はないので、比較的簡単に導入することができます。

一方で、業務はクラウドサービスで行うことができるものに限られます。現在、世の中には様々なクラウドサービスがあり、幅広い業務を行うことができますが、クラウドサービスの導入状況によっては、行える業務の幅が狭くなってしまう可能性があります。また、社内ネットワークにはアクセスできないので、社内システムがオンプレミスで構築されている場合は、利用できません。

また、クラウドサービスからテレワーク端末にデータを保存することができるので、情報の持ち出しのリスクや、端末の紛失や盗難による情報漏えいのリスクがあります。加えて、社内ネットワークを経由しないため、ネットワークの管理者側から利用状況を把握することは困難になります。ただし、クラウドサービス側の管理機能で把握できる場合もあります。

上記のように、一般的にはテレワーク勤務者のクラウドへのアクセスは、オフィスにいるシステム・セキュリティ管理者は把握できません。しかし、CASB（Cloud Access Security Broker：キャスビー）というソリューションを採用することで、把握し管理・制御することができます。CASBとは、テレワーク勤務者がクラウドへアクセスする際、必ずCASBを経由するように設計することで、クラウドサービスの利用状況を可視化し、一元的にセキュリティ対策を施すことができます。CASBは、プロキシサーバーを立てる方法以外にも、クラウドサービスのAPIを利用する方法などもあります。

テレワーク時に社内ネットワークやクラウドに接続せず、あらかじめテレワーク端末へ保存していたデータの編集や閲覧をすることで業務を行う方法です。

テレワーク環境から社内ネットワークへの通信がないため、VPNは不要です。もっというと、テレワーク端末のローカル環境で作業するだけなので、通信自体が不要です。したがって、かなり導入のハードルが低いテレワーク方式だといえます。

一方で、事前に保存したデータを用いた業務しか行うことができず、処理したデータを通信によって社内ネットワークに反映することもできません。社内ネットワークに反映させるためには、実際にオフィスに行って、直接接続する必要があります。そのため、オフィスから長期間離れて作業するようなテレワークとは相性がよくありません。また、テレワーク端末へ直接データを保存するため、情報の持ち出しのリスクや、端末などの紛失や盗難による情報漏えいのリスクがあります。

ここからは、テレワーク方式以外でテレワーク環境の質に影響を与えるものを紹介します。

「VPN接続で社内ネットワークにアクセスする方式」や「リモートデスクトップ方式」などのように、テレワーク端末からクラウドサービスを利用する際に、いったん社内ネットワークにアクセスし、セキュリティ機器を経由してクラウドサービスへアクセスさせるという方法が広く利用されています。こうすることで、システム・セキュリティ管理者が社内ネットワーク内のセキュリティ機器のみを監視することで、すべての通信を把握することができ、セキュリティ統制がとりやすくなります。

一方で、多くのテレワーク勤務者がいる場合、社内ネットワークへのアクセスが集中し、回線が逼迫する可能性があります。これに対応するためにシステムの拡張・増設や通信回線の帯域増加などを行おうとすると、多くの費用がかかることが一般的です。

これを解決手段として、「ローカルブレイクアウト」が注目されています。ローカルブレイクアウトとは、社内ネットワークへアクセスする際はVPNを使いながら、クラウドサービスへアクセスする際はインターネットを利用して直接接続するというものです。

ローカルブレイクアウトを活用する場合、当然ながら、社内ネットワーク内に設置されたセキュリティ機器を介さず接続することになるため、許可していないクラウドサービスの利用やマルウェア感染などのリスクが高まり、セキュリティ統制が難しいという課題があります。そのため、クラウド環境に置かれたプロキシサービスを経由させるなど、ローカルブレイクアウトのためのセキュリティ対策を講じることが重要になります。先ほど紹介したCASBはその一例です。

テレワークを行う際、個人が所有する端末を利用させる方法もあります。これをBYOD（Bring Your Own Device）といいます。会社から貸与している端末がデスクトップPCだったりする場合、テレワークのためにノートパソコンを用意するのが難しいかもしれません。そんなとき、個人が所有する端末を業務に利用させることで、端末手配の手間やコストを削減することができます。

ただし、個人端末を業務で利用させる場合、VPN接続のためのクライアントをインストールできるか、業務に必要なアプリケーションをインストールできるか、など懸念事項があります。

加えて、個人端末に業務データを保存できてしまうことやアンチウイルスのインストールを強制できないなど、セキュリティ上のリスクもあります。このようなリスクが受け入れられるかどうかしっかりと評価をした上で、BYOD導入の可否を決定する必要があります。

冒頭でも紹介したとおり、テレワークを行う際は、外部のネットワークにふれる機会が圧倒的に増えます。テレワークがこれほど普及していなかった頃は、「境界型セキュリティ」といって、社内ネットワークと外部ネットワーク（インターネット）の境界に防護壁を作り、そこにセキュリティ対策を施すことで、社内ネットワークの中を安全に保っていました。

しかし、テレワークが普及し、内部と外部の境界が曖昧になってきました。そこで登場したのが、「ゼロトラストセキュリティ」という考え方です。境界型セキュリティは、境界に対しては対策しますが、内部は安全という前提に立っています。それでは、セキュリティを保てなくなってきたのです。新しいセキュリティの考え方であるゼロトラストセキュリティはその名の通り、何も信頼しない（ゼロトラスト）という前提に立っています。内部であろうと外部であろうと信頼せず、通信の度に認証を行いセキュリティ強度を上げるというものです。

テレワーク方式の中には、アクセス回線に大きな負荷がかかるものがあります。ゲートウェイにアクセスが集中することで混雑してしまうのです。できるだけ負荷の小さいテレワーク方式を選択するのも一つの考え方ですが、回線を増強するというのも一つの選択肢だといえます。

そうはいっても、帯域保証型の回線は非常に高額です。そこでおすすめなのが、1本の光ファイバーを分岐せず1ユーザーに提供する専有型の回線です。一般的なインターネット回線サービスは、最寄りの局舎から宅内までに回線を分岐し、近隣のユーザー同士で共有しています。そのため、自分以外のユーザーのトラフィックが増えると、帯域が圧迫されてしまうという問題を抱えています。それに対し、専有型は分岐しないので、他ユーザーの影響を受けず、常に安定した通信を期待できます。

ベストエフォートでありながら専有型の構成をとることで、コストと品質を両立することができるのです。

おすすめなのが、USEN GATE 02 プレミアインターネットです。