基本情報技術者試験 令和6年 科目B 問6「テレワーク環境におけるセキュリティリスクと対策」の考察

FE対策
2025.02.21

はじめに

テレワークの普及が進む中、企業の情報システム環境にも大きな変化が訪れている。
特に、クラウドサービスの活用が加速し、従来の社内ネットワークを前提としたセキュリティ対策が見直されるケースが増えている。
基本情報技術者試験の科目Bでは、こうした実務的なシナリオをもとに、情報セキュリティやシステム運用に関する問題が出題される。

今回は、令和6年公開問題の科目Bに出題された問6「テレワーク環境におけるセキュリティリスクと対策」 について考えてみよう。

スポンサーリンク
スポンサーリンク

問題の概要

A社(従業員450名の商社)では、テレワーク推進に伴い、以下のようなシステム環境を構築している。

  • 社内PCを全従業員に貸与
  • SaaS型のクラウドサービス(グループウェア・オンライン会議サービス)を導入
  • テレワークでは個人所有PC(BYOD)を利用可能
  • リモートデスクトップ方式を採用し、社内PCの画面を転送
  • 情報漏洩防止のため、私有PCではコピー&ペーストやファイルダウンロードを禁止
  • クラウドサービスへのアクセスは社内ネットワーク経由のみに制限

しかし、テレワークの定着とともに、社内ネットワークのトラフィック増加により、インターネット接続が遅くなる という問題が発生した。
この問題を解決するため、A社は「クラウドサービスへのアクセスを社内ネットワークを介さずに直接インターネット経由で接続する」方針を決定した。

しかし、ここで新たなセキュリティリスクが発生する。
B氏(情報セキュリティリーダー)は、リスク低減のための適切な対策を情報システム部に依頼することにした。

セキュリティリスクの分析

今回の問題のポイントは、
クラウドサービスへの直接接続が許可されたことで、不正アクセスのリスクが増大する」 という点だ。

従来は「社内ネットワーク経由のみでクラウドサービスにアクセス可能」だったため、社内ネットワークの安全性がセキュリティを担保していた。
しかし、インターネット経由の直接接続を許可すると、外部からの不正アクセスの危険性が増してしまう。

では、このリスクを最も効果的に低減するには、どのような対策が適切だろうか?

選択肢の検討

問題では、情報システム部に依頼する対策として、以下の選択肢が提示されている。

選択肢 対策内容 適切 or 不適切 理由
社内ネットワークからクラウドサービスへの通信を監視 ❌ 不適切 事後対応であり、根本的なリスク低減にはならない
社内ネットワークとクラウドサービスの通信速度を制限 ❌ 不適切 パフォーマンス管理の施策であり、セキュリティリスクとは無関係
クラウドサービスへの外部接続に 2要素認証を導入 ✅ 適切 認証を強化することで、不正アクセスのリスクを大幅に低減できる
グループウェアのみを直接接続の対象とする ❌ 不適切 一部のサービスを制限するだけで、根本的な解決にならない
専用アプリの保存禁止機能を無効にする ❌ 不適切 情報漏洩リスクを高めるため、逆効果

正しい選択肢:「ウ」

A社のクラウドサービスは、もともと「社内ネットワーク経由のみでアクセス可能」という制限により安全性を確保していた。
しかし、直接インターネット経由で接続できるようになると、「ID・パスワードが流出しただけで不正アクセスが可能になってしまう」 という重大なリスクが発生する。

このリスクを防ぐために有効なのが 「2要素認証(2FA)」の導入 だ。

2要素認証(2FA)の仕組みと導入効果

2要素認証とは、従来の「IDとパスワード」に加えて、もう1つの認証要素を組み合わせることでセキュリティを強化する方法である。
主な認証方式として、以下のようなものがある。

  • ワンタイムパスワード(OTP)(SMSや認証アプリ)
  • 生体認証(指紋認証や顔認証)
  • セキュリティキー(FIDO2)(ハードウェアトークン)

例えば、「ID+パスワード」+「スマホアプリの認証コード」 のように、複数の要素を組み合わせることで、不正アクセスのリスクを大幅に低減できる。
仮にパスワードが漏洩しても、追加の認証要素が必要となるため、攻撃者が簡単にログインできなくなる。

テレワーク時代に求められるセキュリティ対策

A社の事例を通じて、テレワーク環境における情報セキュリティの重要性が明確になった。
では、他の企業でも取り入れるべき対策には、どのようなものがあるだろうか?

1. ゼロトラストモデルの導入

社内ネットワークを信頼せず、すべてのアクセスを検証する「ゼロトラスト」の考え方を採用する。

2. 多要素認証(MFA)の徹底

VPNや業務システムにも多要素認証を適用し、認証の強化を図る。

3. デバイス管理の強化

BYODを許可する場合は、許可された端末のみアクセス可能とするMDM(モバイルデバイス管理)を導入する。

4. クラウドサービスのセキュリティ設定最適化

アクセス制御を強化し、不要な接続経路を排除する。

まとめ

今回の問題のポイントは、「テレワークの利便性向上とセキュリティリスクのバランス」をどのように取るかという点にあった。
クラウドサービスへの直接接続を許可するなら、それに見合ったセキュリティ対策が必要 となる。

A社のケースでは、2要素認証の導入が最も効果的な対策であり、
クラウドサービスへの外部接続に 2要素認証を導入(選択肢ウ)」が正解であると分かる。

テレワーク環境における情報セキュリティ対策の重要性を改めて考え、適切な施策を導入していこう。

コメント