この記事はUniposアドベントカレンダー2022の7日目の記事です！

カレンダーに空きがあってムズムズしたので、勉強がてら、セキュリティ関係のまとめ記事を書きます。個人的な話ですが、春に情報処理安全確保支援士（セキスペ）の試験を控えていたりもするので、その知識の棚卸に使わせてもらいます。

はじめに

Uniposのサーバサイドエンジニアの周東です。21卒でエンジニアになってから、基本的にはほぼフルリモートに近い形でお仕事をさせていただいています。通勤時間に縛れないスタイルで仕事ができていることで、僕は特に恩恵を受けていてこういう資格勉強なんかにも時間が使えているので、本当にリモート環境を用意してくれた会社に感謝しています。今回は、自分の仕事環境を支える技術をまとめるとともに、注意すべきセキュリティ上の観点なんかを学べたらいいなーと思っています。

リモートワーク形態の類型

リモートワークは2つの種類に分類できる。

• シンクライアント（thin client）: クライアントには業務データを保存せず、社内ネットワーク内のオフィスPCを遠隔操作する。
• ファットクライアント（fat client）: クライアントに業務データを保存し、リモートのローカル環境で作業を行う。

シンクライアント方式

シンクライアントはリモートPCにデータを保存せず、社内ネットワーク内のオフィスPCで作業を完結させる方式です。社内ネットワークにアクセスしないと業務システムが利用できないようになっていて、社内と社外を明確に区別することで防衛すべき対象を明確にすることが特徴的です。

具体的には、自宅等からシンクライアント端末でVPN経由で社内PCにアクセスして遠隔操作します。画面情報だけがシンクライアントに送信され、ローカルに業務データを保存せずに済むのでシンクライアントを紛失したとしても情報流出のリスクを軽減することができます。一方で、通信回線の状態によっては作業効率に悪影響を及ぼし生産性を下げる可能性があったり、オンボーディングやITリテラシーが低い社員への支援対応コストがかかります。

ファットクライアント方式

ファットクライアントはリモートPC自体にデータを保存し、リモートのローカル環境での操作を許容する方式です。VPN経由で社内ネットワークの業務サーバへのアクセスすることもできれば、社内ネットワークを通さずに自宅等から直接クラウドサービスへアクセスすることも可能です。

重要なデータだけはローカルに落とさずに運用するなど、社員へのセキュリティ教育が大切になります。どこまで制限するかは企業によって異なり、VPN経由以外のインターネットアクセスを禁止したりするケースもあると思います。オフィスPCをそのまま自宅に持って帰り、そのまま通常の業務環境と変わらずに仕事ができるので生産性の低下を抑え、リモートワーク用のPCの購入費用を軽減することができます。

このとき、自宅から直接インターネット経由でクラウドサービスを利用したり、ブラウジングすることをローカルブレイクアウトといいます。業務でクラウドサービスを利用する上で、トラフィックが増えるとネットワークのパフォーマンスが低下するため、社内ネットワークを多くの従業員で利用する場合などにローカルブレイクアウトが求められるケースがあります。

シンクライアントのセキュリティ

各方式を比較した時に、単純にセキュリティレベルが高いのはシンクライアント方式です。一方で、多くの従業員が画面転送を伴う業務を同時に行うことを考えると、通信設備の増強などが必要になります。また、従業員全員分のシンクライアント端末の支給も必要になり、コスト面での障壁があります。

クライアント端末のコスト問題に対しては、近年BYOD（Bring Your Own Device） という考え方が注目されつつあります。従業員個人が所有するモバイル端末やPCを業務に利用するという考え方で、端末そのものが業務データを持たない方式であるシンクライアント方式との親和性が高いことが特徴です。

ファットクライアントのセキュリティ

ファットクライアント方式においては制限のカスタマイズ性が高いため、制限レベルによってセキュリティレベルが変わります。まず、ローカルに業務データを落として作業できるという点はファットクライアントの特徴なので議論の余地がなく、オフィスPCとリモートワークPCを分ける必要がなく、BYODなどを検討する必要はありません。一方で、クラウドサービス等へのローカルブレイクアウトを許容するかどうかは検討の余地があります。

ローカルブレイクアウトを許容しない場合はインターネットアクセスは全てVPN経由になり、通信を集約できるためトラフィックの管理・監視が容易になるというメリットがあります。ローカルブレイクアウトの禁止を徹底するための管理コストがかかります。

ローカルブレイクアウトを許容する場合は、自宅の通信回線やスマートフォンのテザリングなどでインターネットにアクセスすることが可能になり、従業員としては便利に業務を行うことができます。一方で、従業員のアクティビティを管理・監視することが難しくなり、セキュリティ対策として検討すべき項目が増えます。具体的にはゼロトラストに基づいたネットワークの構築などが挙げられます。ゼロトラストとは、組織の情報システムの構成機器やアプリケーション、端末、ネットワーク、ユーザなどの全てが信用できないという前提の基でセキュリティ対策を施す考え方です。

従来の企業のネットワークセキュリティは、FWやVPNで外部と隔離された社内ネットワークをトラストと呼び、認証を突破してネットワークに入ったユーザ・端末は信用するという境界型防御方式を取っていました。

しかし、前述するようなリモートワークでのファットクライアントによるローカルブレイクアウトの普及で、社外に持ち出したPCがマルウェアに感染したままVPNにアクセスするリスクや、情報システムを構成する要素が分散していることから、境界型防御ではサイバー攻撃を防ぎきれなくなってきています。そこで、ゼロトラストではIDガバナンスとユーザの認証・認可を徹底し、IDをセキュリティ境界にすることで、社内ネットワークにアクセスできたとしても社内の情報資産への不正アクセスを防ぐ仕組みを構築することを目指しています。

おわりに

今回は、アドカレの歯抜け日が気になって仕方なかったので、リモートワークの技術をまとめさせていただきました。しっかり自分がどういう技術の上に生かされているのかを知って、十分なセキュリティ知識を持って仕事をしていきたいですね。

参考

• IPA, テレワークを行う際のセキュリティ上の注意事項
• 総務省, テレワークセキュリティガイドライン第５版
• 三井情報株式会社, ゼロトラスト・セキュリティとは