総務省のテレワークセキュリティガイドライン第5版(令和3年5月)に解説されている区分によると、テレワーク方式は大きく7種類に分けられます。
7種類のテレワーク方式
- VPN方式
テレワーク端末からオフィスネットワークに対してVPN接続
- リモートデスクトップ方式
テレワーク端末からオフィスにある端末に接続
- 仮想デスクトップ(VDI)方式
テレワーク端末から仮想デスクトップ基盤上の環境へ接続
- セキュアコンテナ方式
独立したセキュアコンテナという仮想的な環境でアプリを稼働
- セキュアブラウザ方式
セキュアブラウザでオフィスのシステム等にアクセス
- クラウドサービス方式
インターネット上のクラウドサービスに直接接続
- スタンドアロン方式
あらかじめ必要なデータを保存した端末で独立して使用
以前の第4版で、会社PCの持ち帰り方式となっていたものは、セキュリティ上考慮すべき内容が違ってくるため VPN方式とスタンドアロン方式に分けられました。VPN方式では、仮想の専用回線によって接続されるので自宅からでも会社にいるように業務を行え、オフィス内と同等なセキュリティ対策での対応が期待できます。とはいえ、スタンドアロン方式同様、盗難や紛失、情報漏洩リスクには対応が必要です。
リモートデスクトップ方式、仮想デスクトップ(VDI)方式、セキュアコンテナ方式、セキュアブラウザ方式は、オフィスネットワークへの接続方法や運用方法は違いますが、シンクライアントなどで使用されている技術によってデータ保存についての制御ができ、比較的高いレベルでセキュリティの確保が可能です。
考慮すべきは、第4版ではクラウド型アプリ方式と呼ばれていたクラウドサービス方式で、オフィスネットワークを経由せずインターネットで直接クラウドへ接続してサービス提供される業務アプリを使用するため、管理者による利用状況の把握がしづらいという難点があります。
そのため、比較的容易にクラウドサービスからテレワークで使用する端末に業務データがダウンロードできてしまうなど、情報の持ちだしリスクや、情報漏洩についての対策が非常に難しいというデメリットがあります。
一方で、クラウドサービスを使用すれば低コストでアプリを維持管理できるメリットが高く、インターネットさえ接続できれば、テレワークをどの場所からでも、どの端末からも簡単に使用できるため、クラウドの業務利用は拡大する傾向にあります。こうなると、業務を行うときは、必ずVPNなどで会社のオフィスネットワークを経由しないと、業務でインターネットを使用できないようにするなどの統制が必要です。結果的に、やはり安全を確保するためには利便性を損なってでも、セキュリティ統制がとれるシステム体制の構築が必要でしょう。
また、BYOD利用としてテレワーク従事者の個人のPCや、個人スマホの業務使用についても、利便性を考えれば有効ですが、セキュリティインシデント等のリスクを考慮すれば、個人の操作ログの取得などに問題があるので、どの方式をとったとしてもセキュリティ統制をとることが難しいと思われます。
テレワークの方式は、企業の環境や、規模、費用負担などによって、どの方式が良いかを選択するのに、リスク分析を必ず行いセキュリティ対策を講じることが重要です。ログの取得もできないような環境でテレワークを実施してしまうことだけは避けて、セキュリティ統制がとれる仕組みで運用すべきでしょう。
テレワークの方式に合わせたセキュリティ統制が必要
