中小企業ためのリモートアクセスとセキュリティ対策指南：セキュアモバイルアクセス（3/3 ページ）

[池田冬彦，ITmedia]

使うのはユーザー

　VPN接続によってユーザー認証やデータを暗号化することができ、リモートアクセスでのセキュリティ対策を構築できる。だが、それだけでは不十分でもある。ユーザーであるクライアントPCが健全に動作しているかどうかを常にチェックする点も重要だ。例えば悪質なワームに感染したクライアントPCが社内LANへ接続してしまうと、VPN接続をしていようとも社内システムが危機に直面する。クライアントPCのセキュリティ対策の徹底も忘れてはいけない。要点は次の通りだ。

「セキュリティ対策ソフトウェア」

　アンチウイルスなどの機能を備えたクライアントPC向けのセキュリティ対策ソフトウェアを導入し、自動的に定義ファイルが更新されるように設定しておく。

「OSの最新セキュリティパッチの適用」

　OSの脆弱性を解消するパッチを常に適用していく。Windows XPやWindows Vistaでは、「自動更新」機能をオンにし、最新のセキュリティパッチが適用されるように設定しておこう。「セキュリティセンター」を開いて状況をチェックし、必要に応じて設定する。

Windows Vistaの「セキュリティセンター」

「ファイル交換ソフトウェアの排除」

　ファイル交換ソフトウェアは、ウイルス感染などによって情報漏えいの原因となることがある。ビジネスでのファイル交換ソフトウェアの利用は、社内システムを危険にさらし、ネットワークのトラフィックも圧迫する。企業としては排除していくことが重要だ。

「機密データの保護」

　機密データを持ち出したり、転送したりしなければならないときは必ず暗号化を実施する。社内では同一の暗号化製品を使うことになるが、顧客や関係者にデータを提供する場合も考えると汎用的に利用できるものが良いだろう。

社内のセキュリティ意識を高める

　セキュリティ専任者などの設置が難しいという中小企業では、これらの対策を一度に導入することが難しい。だが、毎日のように情報漏えい事件が発生している現状を考えると、それらのインシデントがいつ自分の身に降りかかってくるかは分からない。もしかしたら、誰かが明日、重要な客の機密データを漏洩させて大問題になるかもしれないのだ。

　このために必要な取り組みの1つが、情報セキュリティポリシーの策定である。これは、さまざまな情報資産を守るための具体的なルールになる。リモートアクセスの場合では、「どのような条件を満たすクライアントを接続させるのか」「許可するプロトコルは何か」「ユーザー認証のレベルをどのように設定するか」「アクセス監視をどのように行うのか」という具体的な対策方針である。

　情報セキュリティポリシーを策定する狙いは、全社的にITセキュリティへの取り組みを順守できるようにするためであり、具体的な方策を打ち出し、それを会社全体で共有する。そして、「Plan（計画を立てる）→Do（実行）→Check（検証）→Act（改善）」という「PDCAサイクル」を回して、状況変化に応じて常に最適化を図っていくことが望ましい。

　しかし、「これはルールである！　」と唐突に社員へ押し付けても、社員はアレルギー反応を起こすばかりだろう。「私物のPCからのリモートアクセスを禁止する」や「機密情報は暗号化して持ち出せ」といったルールを単に作成しただけでは、「不便になった」とルールを破る人間が現れるかもしれない。そのためには、利便性の先にある危険や「なぜ、ルールが必要なのか」ということを理解してもらい、社員全員のセキュリティ意識を高めていくべきだ。

　小規模なオフィスであれば、VPN接続の導入やデータの暗号化など取り組めるところから始めて、さらに日常会話やミーティング、勉強会などを通じて社員のセキュリティ意識を高めていく、それらの取り組みが、社員にセキュリティ問題へ目を向けてもらう第一歩である。セキュリティの問題を「自分の問題」として考えられるようになれば、セキュリティ意識は定着する。

　そして、セキュリティ対策の運用過程で見えてきた問題点や改良点などをすべて洗い出し、毎日の業務の中で取り組める、取り組めない点を社内で議論する。まずは、具体的なセキュリティポリシーをどう策定するのかという方法で進めていくのが良いだろう。セキュリティ対策を実現するには、始められるところから着手するということが肝心である。