テレワークの落し穴！？情報漏洩してからじゃ遅い セキュリティ対策のお話

いざテレワークを導入するなら、セキュリティ対策も万全に

クラウドサービスやリモートネットワーク、コミュニケーションツールなどの進化によって、テレワークは手軽に導入できるようになりました。 しかしながら、テレワークは個人のインターネットを経由して業務を行うためセキュリティ対策もしっかりと行う必要があります。 そういった背景を踏まえ、テレワークを実施する企業は、どのようなセキュリティ対策を行うべきなのか。 すでにテレワークを導入しているらくらく出版社のシステム担当をしている、阿井 貞一（あい ていいち）くんに話を聞いてみました。

らくらく出版社のシステム担当をしている阿井 貞一（あい ていいち）です。
うちの会社がリモートワークを導入するにあたってどのような対策を行ったのか、紹介していきます。

テレワークの強い味方 Google Workspace のセキュリティは大丈夫？

らくらく出版社はテレワーク業務全般で Google Workspace を利用しています。Google Workspace は、遠隔でも共同作業がしやすいサービスですが、セキュリティの強固さも大きなメリットです。Google Workspace はセキュリティに対して、どのような対策を取っているのか一緒に見ていきましょう。

Google Workspace のセキュリティは安全？危険？

Google Workspace はインターネットの技術を使用したクラウドのサービスなので、データの流出といったリスクを危険視している人も多いかもしれませんね。 僕も、以前は自社にシステム環境を構築するオンプレミスの方が安全なのかなと思っていました。 しかし、Google は

• セキュリティの専門家によって、信頼性の高いクラウド インフラストラクチャを運用していること
• 良質なデータセンター セキュリティが担保されている

ということを理由に Google Workspace を導入することに決めました。

2 段階認証プロセスでセキュリティ機能を高めよう

Google Workspace を実際に運用するにあたって、ユーザーレベルでもよりセキュリティを高めることが可能です。

例えば、２段階認証を利用すると、Google Workspace の不正ログインをより高いレベルで防止できます。2段階認証とはパスワードに加え、スマホに送られてくるメッセージや音声通話、もしくはアプリを通じて認証を行う方法。2段階の認証手続きで Google アカウントの乗っ取りを防止する技術です。次のようなよくある行為、みなさんも身に覚えはなりませんか？

• 複数のサイトで同じパスワードを使用する
• インターネットからソフトウェアをダウンロードする
• メールの本文にあるリンクをクリックする

これらの行為は、いずれもパスワードが盗まれる可能性があります。 しかし、Google の2段階認証プロセスを使用すれば、万が一パスワードが盗まれてもアカウントの不正使用を防止できます。

うちの会社では、情報漏洩防止のため、社員全員に２段階を義務付けています。 2段階認証はこのように設定します。

【2段階認証の設定方法】

1.Google アカウント（https://myaccount.google.com/）にアクセスして、Google にログインする。

2.「セキュリティ」をクリック

3.「Google へのログイン」で「2段階認証プロセス」を選択

4.遷移先で「使ってみる」をクリックする。

5.下記の画面が表示されたら、メッセージが送信されるデバイス（おもにスマートフォン）を確認し、今すぐ送信をクリックします。

Google からのメッセージがお使いの Google アカウントにログインしているすべてのデバイスにメッセージが送信されるように設定されました。

6.ログインしているのが本人であることを確認するため、スマートフォンに認証が送信されます。

iphone の場合 ： Gmail アプリを開くと認証プロンプトが表示されます
Andoroid の場合 ： 画面に認証プロンプトが表示されます

受け取ったプロンプトをタップするだけで、本人であるのか本人でないのかを知らせることができるため、アカウントを保護することができます。

Google からのメッセージを利用すれば、コードの入力に手間をかけることなくアカウントのセキュリティを強化できます。

※Google からのメッセージを使用しない場合は「別の方法を選ぶ」から「セキュリティ キー」（専用デバイス）か「テキストメッセージまたは音声通話」を選択できます。

【セキュリティキー】

ログインのために使用するデバイスです。 ログイン時にパスワードと物理的な鍵による認証を行うことでアカウントのセキュリティを大幅に高めてくれます。 具体的にはセキュリティキーをPCのUSBポートにまさに鍵のように「差し込む」、もしくはBluetoothで機器と通信して2段階認証を行うことになります。 最初は Google 社内のセキュリティツールとして使用されていました。

※）紛失・故障時には購入時のアカウントで問い合わせが必要となります。 また故障・紛失時には予備デバイスがないとログインができなくなります。

【テキストメッセージまたは音声通話】

ログインしているのが本人であることを確認するため、スマートフォンに 6 桁のコードが送信されます。 このコードをテキスト メッセージ（SMS）で受け取るのか、音声通話（海外のナンバーから着信があります）で受け取るのかを選択することができます。 受け取ったコードをログイン画面に入力することで、本人であることを証明できます。

※）音声通話の場合国際電話から発信があります

テレワークはパソコンを社外に持ち出すことになるので、必然的に紛失、盗難のリスクが高まります。大事なデータを守るため、テレワークを行う Google Workspace ユーザーは2段階認証を必ず設定しておくようにしましょう。

セッションの時間を設定するのも有効

他にも、ログインができるセッションの期限を設定しておくことも有効です。

管理者は、ユーザーが Google サービスに継続してアクセスできる時間を管理できます。 テレワークを行なっているユーザーには、セッション継続時間を24時間程度に設定して Google にアクセスできる時間を制限することをおすすめします。 セッションが終了した時点で引き続きリソースにアクセスしたい場合は、ログインし直して新しいセッションを開始するよう求めるメッセージが表示されます。

設定の方法はこちらから

テレワークをする際に意識すべき「アクセスセキュリティ」

ここからは、Google Workspace に限らず、テレワークを実施する会社が意識するべき「アクセスセキュリティ」の話をしておきたいと思います。

いつでもどこでもアクセスできるクラウドサービスの利便性は高いものの、やはり不正アクセスによる情報漏えいといったセキュリティ面の懸念があります。

社員が社外で業務を行う場合、そういったセキュリティの管理が一層難しくなることは明白です。 テレワークを実施する企業は、会社の情報を守るため、ログインできる環境（端末、場所など）やユーザーを管理するアクセスセキュリティを意識しなくてはなりません。

アクセス条件を設定する

利用端末やIPアドレスなど、クラウドなどにアクセスできる条件を設定することで、PCの盗難や不正アクセスによる情報漏洩リスクを防ぐことができます。
また、会社によっては自宅以外でのテレワークを禁止している場合も多いのではないでしょうか。 そういったケースでも、IPアドレスを設定することで勤務場所を制限することが可能になります。

ユーザーの認証を管理する

IDやパスワードの認証だけでクラウドなどにアクセスできてしまうと、容易に不正ログインされてしまう恐れがあります。 そういったユーザーの認証管理に有効なのがログインID・パスワードに加えて、生体認証やワンタイムパスワードなどの多要素認証を利用すること。 近年では指紋・顔認証や、スマホなどの端末にワンタイムパスワードを送信するといった2段階で認証を行えるサービスも増えています。

シングルサインオンを導入する

シングルサインオン（SSO）とは、1つのIDとパスワードで認証を行い、複数のWebサービスやクラウドなどへのアクセスを可能にすること。シングルサインオン（SSO）を導入することによって次のようなセキュリティ面でのメリットがあります。

漏えいリスクの回避

サービスごとに複数のパスワードを求められようになると、使い回したり、PCにメモを貼りつけたり、メモアプリに記録していおくという人も少なくないのでしょうか。 そういったパスワードの管理は、情報漏洩の元凶です。 シングルサインオンでは、1つのパスワードさえ覚えておけば、複数のサービスを利用することが可能です。

複雑なパスワードを設定して総当たり攻撃を避ける

簡単なパスワードを設定している場合、ロボットによる総当たり攻撃で不正ログインされる確率が上がります。
一方、大文字小文字数字を使った長いパスワードを利用すれば、総当たり攻撃をされた場合でも不正にログインをされる確率はぐんと下がります。
シングルサインオンによって、十分な長さのパスワードを1つ利用すれば、解読されるには相当の時間が掛かり、安全性が高まると言えます。

【アクセスセキュリティ】他にもこんな対策が

上記で紹介したもの以外にも、らくらく出版社ではこのようなアクセスセキィリティ対策を実施しています。

• OSに標準搭載されているパソコンのハードディクスクの暗号化
  ※Chromebook はハードディクスがないので必要なし
• パソコン起動時のパスワード（BIOSパスワード）の設定

いずれも難易度が高いものではないので、特にテレワークを行う社員全員のパソコンに設定することをおすすめします。

企業のセキュリティを守る！アクセスセキュリティを高めるサービス紹介

それでは最後に、シングルサインをはじめとした、アクセスセキュリティを高めるサービスをご紹介します。

生体認証でスムーズにログイン可能 CloudGate UNO

CloudGate UNO は、パスワードレスで様々なクラウドサービスにサインオンできるセキュリティサービス。 顔認証、専用デバイスによる指紋認証、または、スマートフォンの生体認証機能を利用した認証で Google Workspace をはじめとした70を超えるクラウドサービスにログインができます。

利用料金：複数のクラウドサービスのSSOを行えるプランは1ユーザー 500円/月〜

IP制限やデバイス証明もできる HENNGE One

HENNGE One は Google Workspace、Office 365、Box、LINE WORKS など複数のクラウドサービスへのセキュアなアクセスとシングルサインオンを実現する認証基盤です。 IP制限、デバイス証明書、セキュアブラウザ、2段階認証など豊富な認証機能で利便性と安全性のバランスのとれたセキュリティサービスを提供します。

利用料金：1ユーザー 400円/月〜

まとめ

テレワークを始めるにあたって、漠然としたセキュリティの不安を感じている管理者の方も多いかと思います。 そういった多くの不安は、セキュリティコントリールサービスを利用することで解決するものも少なくありません。 セキュリティを手厚くすることは手間やコストがかかることもありますが、情報漏洩などのリスクを考えれば打てる手は打つべきなのではないでしょうか。 テレワークを導入するなら、転ばぬ先のセキュリティ対策に取り組みましょう！