見出し画像

安全にリモートワークを進めるためのDaaSのススメ

株式会社ハイパー公式note

リモートワークでは、ネットワークにつないで業務にあたることが前提となり、その分脅威も増えます。また、PCなどデバイスを持ち運ぶ機会も増えるために、紛失や盗難による情報漏えいが起こるリスクもあります。

こういったリスクを減らすための対応策の一つがDaaSです。

リモートワークでのリスク

社会的に影響が大きかったと考えられる情報セキュリティにおける事案から、IPA(独立行政法人情報処理推進機構)が脅威候補を選出して審議される「情報セキュリティ 10大脅威 2022」が今年も発表されました。
組織での脅威の4位には、「テレワーク等のニューノーマルな働き方を狙った攻撃」が挙げられています。また、ほかの脅威もリモートワーク(テレワーク)で起こりえるリスクが多いことが分かります。

リモートワークでは、個人で設定したネットワークにつないで業務を行うことが多いからです。

1位 ランサムウェアによる被害
2位 標的型攻撃による機密情報の窃取
3位 サプライチェーンの弱点を悪用した攻撃
4位 テレワーク等のニューノーマルな働き方を狙った攻撃
5位 内部不正による情報漏えい
6位 脆弱性対策情報の公開に伴う悪用増加
7位 修正プログラムの公開前を狙う攻撃(ゼロデイ攻撃)
8位 ビジネスメール詐欺による金銭被害
9位 予期せぬIT基盤の障害に伴う業務停止
10位 不注意による情報漏えい等の被害

リモートワークにおける脅威では、VPNなどの脆弱性やネットワークの設定ミスをついて社内システムにアクセスすることも起きています。そこから機密情報を盗んだり、Web会議を覗き見したりするのです。2019年9月にはVPN機器の認証情報が数万社分流出するインシデントが発生しました。

警察庁の調べによると、2021年前半でランサムウェアの被害に遭ったのは61件。感染経路がわかったのは31件で、そのうち17件がVPN機器からの侵入でした。

また、リモートワーク時に私用デバイスを業務用に利用許可しているケースでは、ウイルス感染や、ソフトウェアの脆弱性を狙った攻撃が行われることも少なくありません。会社支給のデバイスであっても、ネットワーク環境に適切なセキュリティ対策が行われていないと同様のことが起こりえます。

リモートワークのリスク対策は?

リモートワークでのリスクを低減させる働き方として、総務省は、VPN(仮想プライベートネットワーク)、RDS(リモートデスクトップ)、VDI(仮想デスクトップ)などを勧めています。

VPNは多くの企業が採用してきた方式ですが、前述のようにインシデントも増加していること、リモートワーカーが増えるとトラフィック過多で回線速度が落ちるなどの問題があることから、脱VPNに踏み切る企業も出てきました。

RDSは、いくつか定義があるのですが、主に社内にあるPC画面を、リモートPCに転送して使う方法です。

VDIは、クライアントPCを仮想化してサーバー上に置き、リモートPCに転送して使用します。

RDS、VDIのどちらでも、リモートワーカーの手元のPCで作業しているかのように見えますが、実際に動いているのは社内PCや仮想化PCなので、データ流出などのリスクが大きく低減できます。

クラウド版VDIのDaaS

VDIでは、OSやソフトウェアをサーバー上で一元管理するので、システム管理者が従業員のPCを1台ずつ管理する工数の削減が望めます。また、実際に動かすのは仮想デスクトップなので、従業員のPCのスペックは通常より低いもので構いません。

リモートワーカーの手元のPCはデータを持たないので、万が一の紛失・盗難があっても情報漏えいを防ぐこともできます。

VDIには、オンプレミス版とクラウド版があり、クラウド版をDaaS(Desktop as a Service)と呼んでいます。

オンプレミス版は、事業内容や企業独自のシステムにも対応したものが構築できますが、VDI構築のために費用や導入までの日数がかかることが中小企業にはネックになります。

オンプレミス版VDIは、自社で管理するサーバー上に仮想デスクトップを構築します。そのため、サーバー、ストレージ、ネットワーク機器が必要になります。こういった機器を一体化させたHCI(ハイパーコンバージドインフラ)が活用されるケースも増えていますが、いずれにしてもすぐに導入できるわけではありません。

そんなデメリットを解消できるのがDaaSです。

DaaSは、クラウドが提供する仮想デスクトップ環境を利用します。契約さえすればすぐに利用が可能で、料金体系もデータ使用料に応じたサブスクリプション方式になります。

システム構築のための初期費用がかからないこと、まずは一部の従業員から導入するといったスモールスタートが可能なことも大きなメリットです。

拡張性、自社システムに合わせた柔軟性などはオンプレミス版にかないませんが、予算が限られていてとにかくセキュリティを高めたいのであればDaaSはおすすめです。

ただ、やはりある程度の自由度を求めたいのであれば、VMware Horizon Cloud(旧名称 VMware Horizon Air)のようにユーザーの使用レベルに合わせ、複数のメニューが用意されているものを選ぶといいでしょう。


まとめ

・リモートワークでのインシデントが増加している
・VDIはリモートワークのセキュリティ対策の一つ
・DaaSなら導入も簡単

この記事が気に入ったらサポートをしてみませんか?