セキュリティ

リモートワークでの端末管理に必要な機能とは? おすすめの製品を紹介

リモートワーク時代に入り、課題となっているのがデバイス管理とセキュリティです。しかし、オンプレミス環境のVPN接続では端末管理が困難です。そこで本記事では、リモートワーク環境の端末管理に必要な機能と、クラウド環境のデバイス・アプリ管理やセキュリティ対策に最適なサービスについて解説します。

リモートワークでの端末管理に必要な機能とは? おすすめの製品を紹介

Microsoft Digital Trust Security ソリューション一覧

リモートワークでのVPN接続は端末管理が困難

社内ネットワークを自社で保有・管理する従来のオンプレミス環境は、データ管理やシステム構築、アップデート、トラブル対応などを自社で対応するため、セキュリティ上の安心感があります。VPN(Virtual Private Network)接続で外部アクセスの侵入を防ぎ、社内で管理された安全な端末のみ利用できます。しかし、リモートワークが導入されたことで、VPNの常時接続が困難になっています。

VPNは、インターネット回線を利用した「インターネットVPN」と、通信事業者が管理するネットワークを利用する「IP-VPN」に大きく分かれます。リモートワークで利用するVPNの多くは、導入が容易で低コストのインターネットVPNです。しかし、これでは多くの社員がリモートワークになるとアクセスが集中し、VPNサーバーに負荷がかかることで、回線速度が低下し、接続状況が不安定になって途中切断を起こします。データ送信ができず、外部から接続した端末は機能制御やデータ紛失時の対応ができません。また、外部からの攻撃にも無防備な状態です。これからのリモートワーク環境は社内外問わず、常時、端末管理とセキュリティ対策を実施できることが重要です。

リモートワーク環境での端末管理に必要な機能

リモートワーク環境の端末管理では、安全性を監視する機能と端末を制御できる機能などが必要です。それぞれの機能について、以下に詳しくまとめました。

常に端末の安全性を監視できる機能

オフィス内で社内VPNに接続する場合、あらかじめ社員がオフィスに入室する際に、カードキー認証システムなどを利用することでセキュリティは担保できます。リモートワーク環境で社外からアクセスする端末の安全性を監視・維持するにはVPN接続が必要ですが、接続時でしか安全の確認ができません。VPN未接続であれば、OSのアップデート等が確認できず、ソフトウェアの脆弱性が解消されていなかったり、セキュリティの設定が有効になっていなかったりといったリスクがあります。

またリモートワークでは、端末の紛失や認証情報・機密データの流出、社員以外の第三者によるVPN接続などが発生するということも起こりえます。そのため、リモートワークの端末管理は社内外にかかわらず、常時、端末の安全性を監視し、問題に対処できる機能が必要です。具体的には、アップデートの監視・強制、脆弱性の検出・対処、セキュリティ設定の監視・強制などの機能が挙げられます。

端末への攻撃を常に検知・対処できる機能

リモートワークでは、外部端末に不正アクセスなどがあっても、攻撃の検知や対処はVPN接続時しかできません。また、不審なメールを受信し、うっかり添付ファイルを開けてしまうと、VPN接続でも安全の保証は難しいでしょう。悪意ある第三者が社内システムに侵入することを防げず、被害を拡大させてしまいます。

また、カフェや公共のワークスペースでリモートワークを行う場合は、作業者の横から情報を盗み見るショルダーハッキングによってVPN認証情報を入手されるリスクもあります。そのため社内外にかかわらず、端末機器への攻撃を常に検知し、スピーディに対処できる機能が必要です。具体的には、ウィルスやサイバー攻撃を検知・対処する機能や、攻撃をスピーディに封じ込めるための情報収集機能などが挙げられます。

機能制限など端末を制御できる機能

リモートワークでは社員がノートパソコンやスマホ、USBなどを社外に持ち出します。万が一、これらの情報端末を紛失したり、盗難に遭ったりすると、顧客情報や企業の機密情報が外部に流出してしまいます。内部情報が漏えいすると、ビジネスに支障があるだけでなく、企業のイメージダウンも避けられません。訴訟に発展するリスクもあります。

VPN接続では、紛失時の対応が不可能です。情報漏えいに繋がる機能制限の追加や更新もできず、インストール管理もできないため、不正アプリの利用を防げません。そのため、社内外にかかわらず情報漏えいに繋がる機能を管理し、紛失時の初期化、アプリのインストール管理など、端末を制御する機能が必要です。

デバイス・アプリ管理なら「Microsoft Intune」

Microsoft Intuneは、クラウド環境でデバイス管理とアプリケーション管理を提供するITサービスです。Microsoft 365のサブスクリプション機能に含まれており、office関連のクラウドサービスと連携し、拡張利用ができます。

ポリシー設定、アップデートの監視・強制

Microsoft Intuneでは、管理者がアプリの保護ポリシーを配布し、端末の状態を確認できます。OSのバージョンやリスクレベル、コードの整合性やBitLockerが有効かどうかなど、ポリシーを満たせば正常、満たさなければ異常と判断し、設定変更へと誘導します。アップデートを監視・強制する機能も備わっており、設定を対象ごとに変更し、配信のタイミングを指定することも可能です。

情報漏洩に繋がる機能を管理

Microsoft Intuneは、クラウドサービスのAzure ADと統合されているため、管理者は管理画面から細かなアクセス制限を追加できます。デバイス管理に準拠している端末のみがクラウドアプリやオンプレミスアプリ、電子メールなどにアクセスでき、管理対象のアプリのみが社内のITサービスにアクセスできるように設定することが可能です。重要データにアクセスする際は、最新OSかどうかの認証も行えます。また、USBへの書き込みなど情報漏えいに繋がる行為を禁止する機能や、業務に関係ない行為を制限する機能も備わっています。

アプリ管理と端末の初期化

管理者は、端末にインストールできるアプリを配布し、特定のデバイスにアプリの割り当てができます。デバイスごとにアプリのレポートを可視化し、ユーザーや端末のアプリを一元的に管理することが可能です。Microsoft 365に関しては必要なアプリのみ配布できるほか、msiやMicrosoft 365などのアプリを自動または手動でインストールできます。また、紛失した端末はインターネット接続時に初期化することも可能です。

セキュリティ対策なら「Microsoft Defender for Endpoint」

Microsoft Defender for Endpointは、ユーザーが使用する端末の不審な動作を検知し、迅速に対応するMicrosoft社のEDRです。アラート対応をはじめとした、セキュリティ対策の統合プラットフォームによって、組織全体のIT環境を把握し大きな脅威を軽減します。

脆弱性、攻撃の検知・対処

Microsoft Defender for Endpointでは、検出された脆弱性が一覧で表示され、その詳しい情報が分かるため迅速な対応ができます。また、Microsoft Defender for Endpointは、高度な検知と対応ができるという特徴をもちます。次世代型ウィルス対策は新種や亜種のマルウェアに、一般的なEDRは標的型の高度なサイバー攻撃まで効果を発揮しますが、Microsoft Defender for Endpointでは、それら以外にも未知の高度な攻撃を防ぐことが可能です。

迅速な封じ込め、情報収集や対策

組織のデバイスとネットワークを保護して攻撃対象を減らし、情報収集を行います。具体的には遠隔ネットワーク分離、調査ログの遠隔収集、アプリケーションの制限、ファイルの詳細分析などです。これらの機能によって、難解で疑わしいスクリプトの実行や、通常では発生しないアプリの動作など、特定ソフトウェアの不審な動きを防止します。

まとめ

VPN接続時におけるリモートワークの課題は、今回紹介したサービスを組み合わせることで解消できます。JBSでは、これらをすぐに利用開始できる状態でお引き渡しする導入サービスを提供しています。最短3週間で構築が可能で、即利用できます。導入後のご相談や技術支援など、自社運用に向けたサポート・代行も可能です。

  • fb-button
  • line-button
  • linkedin-button

無料メルマガ

RELATED SITES

関連サイト

CONTACT

マイクロソフト関連ソリューションの掲載を
希望される企業様はこちら

TOP