テレワーク環境のセキュリティ

新型コロナに対しての心配事はまだまだ尽きないものの、このコロナを契機として今後の働き方を改めて問い直す動きも見えてきた。

そのうちの代表例が、テレワーク環境（在宅ワーク）の整備である。コロナで満員電車や出社する際の人との接触を避けるため、大企業のみならず、中小企業においても、自宅に居ながらにして仕事ができるテレワーク環境の取組が加速してきた。

ここでは、今後働き方でますますスタンダードとなるであろうテレワークを支える技術とセキュリティ面についての考慮事項を、文系ど素人なりに頭の体操がてら整理していきたい。

（注意：この分野に入り始めたばかりなので、正確性の担保は致しかねるのが正直なところです。ご了承ください。不適切な中身があれば、ご連絡いただけますと幸甚です…）

◇テレワークの類型

この記事を書くにあたり、そもそもテレワークって何？ということがあるが、テレワークを推進する総務省ホームページによると、所属オフィスとは離れた場所で働くこと、と言える。

（出典：総務省ホームページ）

そして、同じホームページ内にある、「テレワークセキュリティガイドライン」を読むと、テレワークを行うにあたりセキュリティ上どこを気を付ければよいのか、を確認することが出来る。

・・・
と言っても本ガイドラインは61ページとそこそこの分量有り、すべて読みこなすのは大変なので、その中でテレワークに使われてる「技術」にまずは絞りたい。

そうなると、テレワークの技術類型は以下に大別されるようだ。

（出典：テレワークセキュリティガイドライン）

・・・

成程、よく分からん。
よく分からんが、取りあえず文章を読み進めると、多分通信の流れはこういうことである。

パターン1：自宅等の端末（私用でもOK）→インターネット→オフィスの端末
パターン2：自宅等の端末（私用でもOK）→インターネット→オフィスの仮想デスクトップ基盤（VDI）
パターン3：自宅等の端末（私用でもOK）→インターネット→クラウドサーバ上のアプリケーション
パターン4：パターン3のをさらにセキュアにした形。特別なブラウザからインターネットへアクセス実施。
パターン5：自宅等の端末にコンテナと呼ばれる仮想的な環境を立ち上げ、その中で業務用のアプリケーションを立ち上げる。
パターン6：会社のPCを持ち帰り、インターネット経由でオフィス環境へアクセス

ということである。
分かるような、分からないような…

◇セキュリティ上の考慮事項

一応上記の分類に当てはめた際にどういう点を考慮すべきか。
上記セキュリティガイドライン上には、「経営者」「システム管理者」「テレワーク勤務者」の3主体に分けてそれぞれ取り上げている。
ただ、情報セキュリティ管理の規程類（ポリシー）の整備であったり、従業員の啓発であったりと管理面での対策はここでは省きたい（文系出身の私に取っては馴染み深いが、ここでは自身の勉強のためにも技術的なことにフォーカスを当てたい）

ということで、技術的な要素であるが、
大きく以下になるだろうか。
■インターネットを介する通信のセキュリティ
→VPNを使っているか、或いはVPN製品（通信暗号化製品）にセキュリティ上の脆弱な点が無いか。

■社内システムに安易に外部から接続できないか。
→これもVPN製品のセキュリティによるかもしれないが、その他外部からの接続を許容していないかどうかの確認。

■テレワーク端末の情報保持の観点（端末紛失時の対策）
→端末に情報が残ったままだと、情報漏洩の懸念が大きくなる。

■外部委託事業者が絡む場合の、情報取扱やセキュリティポリシーの観点
→こう書くとどちらかというと技術面より管理面？（外部委託管理の問題）
→クラウド利用時を念頭に、重要情報をどこに保管しておくかの観点。

■もしマルウェア・ランサムウェアに感染した際の対策、或いは水際防止策
→変なものをダウンロードしないか、その際怪しい挙動を確り監視や検知できるか。

■アクセスできるサイトの制限
→安易にネット掲示板等にアクセスできないようにする。アップロードできないようにする等。

思いつく点をつらつらと書いてみた（これだけでは勿論ないであろうが…）

ただ、これでも表層の部分。
口で言えるのは簡単ではあるが、ではどういうセキュリティを実装していくのか、そういうことを自分の頭で考え、具体的にアーキテクチャーをひねりだせるようなスキルを持っていきたい、そういう思いを強くしたチラシの裏でした。