金融業界におけるリモートワークの現状と課題
新型コロナウイルスの流行以降、都市銀行や地方銀行、証券会社、保険会社といった金融機関でもリモートワーク(在宅勤務)の導入が大きく進展しました。
2020年時点で金融・保険業界のテレワーク実施率は約30%に達し、他業種と比べても高水準でした。
リモートワークは従業員や顧客の安全を確保しつつ生産性を高める手段となり得ますが、一方で社外から社内システムへ接続するにあたって情報セキュリティ対策や情報管理体制の課題が生じます。
金融機関においては顧客の機密情報や個人データを扱うため、在宅勤務下でもコンプライアンス(法令遵守)とセキュリティを確保することが極めて重要です。
しかし現実には、多くの金融機関が急増したリモートワークに十分対応できず、不安を抱えています。
金融業界のセキュリティ責任者の半数しかリモートワークの安全性に自信が持てておらず、「非常に自信がある」はわずか18%という調査結果もあります。
これは、従来オフィス内に構築してきた堅牢な境界型セキュリティが、リモートワークの拡大によって一夜にして無効化されてしまった現状を反映しています。
実際、金融機関では従業員がどこにいてもどんなデバイスを使っていても安全を守れるソリューションへの注力が急務となっています。
こうした状況下、各金融機関は社内規定やガイドラインに従ったセキュアなリモート環境整備に取り組んでいます。
例えば、多くの企業が社用ノートPCの追加貸与やシステム容量の増強を行い、自宅勤務でも業務が継続できるよう対応しました。
一方で、私用端末の利用を認めた場合のセキュリティ対策に課題が残り、またWeb会議ツール利用時の社内ルール策定など運用面の整備も必要と指摘されています。
金融当局のガイドラインでも、テレワーク時のリモートアクセスにおいてアクセス対象システムを限定し、セッションタイムアウトや多要素認証など適切な管理を行うことが求められています(金融庁「サイバーセキュリティガイドライン」より)。
要するに、厳格なコンプライアンスを維持しながら生産性を損なわないリモートワーク環境を構築することが金融業界の共通課題となっているのです。
⇒【ロリポップ!固定IPアクセス】 月額490円、すぐに使えて最大2ヶ月間無料!
コンプライアンスを守るためのセキュアなリモート環境のポイント
金融機関がリモートワークを成功させるには、情報セキュリティとコンプライアンスの両立が欠かせません。
具体的には以下のポイントに注力する必要があります。
- 安全なリモートアクセス手段の導入: 職場外から社内の業務システムやデータベースにアクセスするためには、VPNやVDIなど安全性の高いリモートアクセスツールが不可欠ですShift↵ 加えて、多要素認証(MFA)やアクセス制御の設定により、社内と同等の認証強度を確保しますShift↵
アクセス可能なリソースを必要最小限に限定し、不正アクセスのリスクを低減することも重要ですShift↵
- エンドポイントセキュリティの徹底: テレワークで使用する端末(ノートPCやタブレット等)は原則として社給品を使用し、最新のウイルス対策ソフトやOSパッチ適用を徹底しますShift↵
ストレージの暗号化やリモートワイプ機能を有効にし、万一デバイスを紛失しても情報漏えいを防げるようにしますShift↵
また、業務データの持ち出しを禁止するため、USBメモリ等の利用制限やデバイス制御も検討すべきですShift↵
- 通信の暗号化とログ監査: 社外との通信はすべて強力な暗号化(VPNの使用やSSL/TLSの適用)によって保護し、盗聴や改ざんを防ぎますShift↵
さらに、リモートアクセスの操作ログや接続ログを記録・監査する仕組みを整備し、不正なアクセスや情報持ち出しの兆候を検知できるようにしますShift↵
ログ監査は内部不正の抑止にもつながり、金融機関のコンプライアンス上求められる証跡管理にも有用ですShift↵
- 社内規程の整備とトレーニング: リモートワークに関する社内規程(就業規則や情報セキュリティポリシー)を明文化し、従業員に周知徹底しますShift↵
特に、自宅での業務における留意事項(画面ののぞき見防止、家族共有PCの禁止、機密書類の取り扱いなど)を定めますShift↵
その上で定期的にセキュリティ教育や訓練を実施し、従業員がサイバー攻撃の手口や内部不正のリスクを正しく理解し、自発的に対策を講じられるようにしますShift↵
以上のようなポイントを押さえることで、銀行・証券・保険といった組織でも在宅でありながらオフィスと変わらないコンプライアンス水準を維持することが可能になります。
次章では、こうしたセキュアなリモートアクセスを実現する代表的な技術(VPN、VDI、ゼロトラストなど)の特徴と導入例、メリット・デメリットを詳しく比較していきます。
金融機関に適した安全なリモートアクセス方式の比較
リモートワークを支える技術として、現在主に以下の方式が金融業界で利用されています。
それぞれセキュリティ確保の仕組みやコスト構造、運用上の課題が異なるため、特徴を理解した上で自社に最適な方式を選定する必要があります。
1. VPN(仮想プライベートネットワーク)方式
VPNはインターネット上に仮想的な専用線を構築して社内ネットワークに安全に接続する技術です。
古くからある手法であり、多くの金融機関でもリモートアクセス用にVPNが導入されています。
専用線と比べて距離や回線速度によるコスト増がなく、低コストで複数拠点をセキュアに相互接続できるのがメリットです。
既存のネットワーク構成に比較的容易に組み込めること、短期間のトライアル導入もしやすいことから、リモートワーク初期段階では有力な選択肢となるでしょう。
一方でVPNには課題もあります。
第一に、VPNそのものが万能ではなく情報漏えいリスクをゼロにできるわけではないことです。
エンドユーザ端末がマルウェアに感染していれば、VPN経由で社内に侵入されるリスクが残ります。
また、2020年前後には大手VPN機器に深刻な脆弱性が相次ぎ発見され、ソフト更新の遅れた企業が攻撃被害に遭うケースも報告されています。
第二に、VPN経由では全社内システムへの広範なアクセスが可能になるため、アクセス権限の管理を誤ると被害が大きくなりやすい点も注意が必要です。
加えて、VPNの種類によっては通信速度が低下し、業務アプリケーションによっては動作が不安定になる場合もあります。
以上のように、VPN方式は手軽で魅力的な反面、セキュリティ上の弱点やパフォーマンス面のデメリットも抱えているため、導入に際しては十分な検討と対策が求められます。
⇒【ロリポップ!固定IPアクセス】 月額490円、すぐに使えて最大2ヶ月間無料!
2. VDI(仮想デスクトップ)方式
VDI(Virtual Desktop Infrastructure)は、サーバ上に構築した仮想デスクトップ環境に自宅の端末から接続して業務を行う方式です。
金融業界では「端末にデータを残さない」強固なセキュリティ対策として以前から採用が進んでおり、コロナ禍以前から大手銀行でもVDIを使った在宅勤務制度を整備していた例があります。
VDI方式ではデータはすべて社内サーバ内に留まり、利用者の手元には画面情報と入力情報のみが転送されるため、万一端末を紛失しても物理的な情報漏えいは発生しません。
通信自体も強力に暗号化されており、第三者による盗聴もほぼ防げます。
このような仕組みにより、VDI方式はリモートワークでも高いセキュリティレベルを期待できるとして金融機関における安全神話とも呼ばれてきました。
しかし、VDIを導入すれば全て安心というわけではありません。
実際にはVDI環境にも見落としがちなリスクが存在します。
例えば、多くのVDI製品は利便性のためファイルのアップ/ダウンロードやクリップボード共有、USBデバイス接続といった機能を備えています。
これらを許可したままだと、仮想デスクトップから社外端末へデータをコピーできてしまい情報漏えいの可能性が生じます。
逆に社外からVDI内部にマルウェアが持ち込まれるリスクもあります。
また、仮想デスクトップで処理しきれない作業をユーザがローカル端末で行ってしまうと、その作業データが端末上に残存してしまうケースも考えられます。
さらに、VDI環境を安全に保つには相応のサーバ投資や運用コストが必要であり、利用者数の増加に応じたスケーラビリティ確保も課題です。
総じて、VDI方式は高セキュリティだが運用設計を誤ると情報漏えいや生産性低下につながるため、ポリシー設定やインフラ整備を適切に行うことが重要です。
3. ゼロトラストネットワークアクセス(ZTNA)方式
ゼロトラストとは、「社内外のネットワークを問わず、あらゆるアクセスを常に信頼しない(Never Trust, Always Verify)」という考え方に基づく最新のセキュリティモデルです。
リモートワーク時代の新たな潮流として注目されており、VPNに代わるソリューションとして金融業界でも導入検討が進んでいます。
ZTNA方式では、利用者のデバイスの状態やユーザ認証、アクセスするアプリケーションの種類などに応じて動的にアクセスを許可・拒否します。
従来のように一度VPNで社内に入れてしまうのではなく、ユーザごと・端末ごとに必要なリソースへの最小限アクセスのみを個別に許可するため、万一認証情報が漏洩した場合でも被害が局限化できる利点があります。
また、クラウド上のSaaSサービス利用にも適しており、場所を選ばない柔軟な働き方を支えつつセキュリティを強化できる点が評価されています。
実際、日本の金融機関でもゼロトラスト導入の事例が出始めています。
たとえば仙台銀行では、高いセキュリティが求められるリモートアクセス環境としてIIJ社のゼロトラストネットワークアクセスサービスを採用し、「場所を問わずに社内システムへ安全にアクセスできる環境」を実現しました。
これにより、セキュアで安定した在宅勤務を可能にしつつ業務効率化や営業力強化にもつなげたと報告されています。
また大手証券会社では、クラウド型セキュリティサービスやID管理ソリューションを組み合わせてゼロトラストを推進し、従来のVPN/VDI中心の体制から「脱VPN・VDI」への移行を図る動きもあります。
ゼロトラスト導入にはネットワークや認証基盤の抜本的見直しが必要で、短期的なコストは高めですが、長期的にはサイバー攻撃リスクの低減や管理負荷軽減につながると期待されています。
4. その他の手法・施策
上記の他にも、金融業界では様々な工夫でリモートワーク環境の安全性と生産性向上を図っています。
一例として、リモートデスクトップ方式(社内のオフィスPCに遠隔操作でアクセスする方法)も一部で用いられます。
コロナ禍ではVDI環境が整っていない企業が急遽、自席PCへの遠隔アクセスを許可することで在宅勤務に対応したケースもありました。
リモートデスクトップ方式は比較的安価に導入できますが、常時社内PCを起動しておく必要があることや、自宅PCから社内PCへの通信経路の暗号化・認証を厳格に行わないとセキュリティ上の穴となる可能性があるため注意が必要です。
また、近年ではクラウドサービス活用の拡大に伴い、クラウド上の業務システムへのアクセスセキュリティも重要になっています。
例えば、顧客管理システム(CRM)やコラボレーションツールなどをクラウド化する場合、アクセス元IPアドレスによる制限(IPフィルタリング)を掛けることが一般的です。
しかし自宅やモバイル環境からアクセスする際は、利用者のグローバルIPアドレスが固定でないケースも多く、IP制限との両立が課題となります。
その対策として注目されるのが固定IPアドレスを付与するVPNサービスの活用です。
後述する「ロリポップ!固定IPアクセス」のように、どこからでも社内と同じ固定IPを利用可能にするサービスを導入すれば、自宅やカフェからでも社内システムやクラウドサービスへのアクセス元を特定のIPに限定でき、不正なアクセスを効果的にブロックできます。
このように、新しいツールやサービスも活用しながら、金融機関各社はリモートワーク環境のセキュリティ強化と運用効率化に取り組んでいます。
生産性とセキュリティを両立するためのベストプラクティス
リモートワーク下でコンプライアンスを守りつつ高い生産性を維持するには、単に技術を導入するだけでなく運用面での工夫も重要です。
以下に、金融業界の事例を踏まえたベストプラクティスをまとめます。
- コミュニケーション環境の整備: 在宅勤務では同僚との対面コミュニケーションが減少しがちであり、「行員同士の連携が取りにくい」という声も聞かれますShift↵ これを補うために、高品質なビデオ会議システムやチャットツールを導入し、円滑に情報共有できる環境を用意しましょう(実際にある銀行では専用回線を用いたビデオ会議でコミュニケーション低下をカバーしました)Shift↵
定期的なオンラインミーティングや朝会の実施、VPN経由でなく直接クラウド会議サービスにアクセスできる設定(必要に応じてセキュリティを確保した上で)も有効ですShift↵
- 業務プロセスのデジタル化と見える化: リモート環境でも滞りなく業務を回すには、紙や対面に依存した従来プロセスを見直す必要がありますShift↵
電子契約やワークフローシステムの導入、オンラインでの稟議・承認手続きの整備によって、場所に依存しない業務フローを確立しますShift↵
また、各社員の業務進捗や成果を適切に把握・評価する仕組み(タスク管理ツールの活用や定期的な進捗報告など)を導入し、在宅でも公正な人事評価が行えるようにしますShift↵
これにより従業員のモチベーションを維持しつつ、生産性向上につなげることができますShift↵
- 柔軟な働き方とガバナンスの両立: コンプライアンスを理由にリモートワークを過度に制限すると、かえって社員の士気低下や人材流出を招きかねませんShift↵
金融業界でもテレワーク制度を積極活用し、多様な働き方を支援する動きが出ていますShift↵
一方で、自宅での勤務態度や労働時間を適切に管理するガバナンスも必要ですShift↵
勤務時間の記録・管理システムや業務端末の操作ログモニタを用いて労働実態を把握しつつ、成果で評価する風土を醸成しましょうShift↵
従業員との信頼関係を維持しながら規律を保つことが、ひいては高い生産性とコンプライアンス遵守の両立に寄与しますShift↵
以上のような取り組みにより、単に「やらされるリモートワーク」ではなく組織にとっても従業員にとっても価値のあるリモートワークを実現できます。
金融機関にとってリモートワークは今や感染症対策に留まらず、優秀な人材確保やBCP(事業継続計画)の観点でも重要な経営課題です。
セキュアなIT環境と健全な企業文化の双方を整備し、競争優位につながるリモートワーク体制を築いていきましょう。
⇒【ロリポップ!固定IPアクセス】 月額490円、すぐに使えて最大2ヶ月間無料!
ロリポップ!固定IPアクセスとは
最後に、先述した固定IPアドレスによるセキュアなリモートアクセスを手軽に実現できるサービスとして、「ロリポップ!固定IPアクセス」をご紹介します。
これはレンタルサーバー大手のGMOペパボ株式会社が提供するクラウド型固定IPアドレス付与サービスです。
利用者のPCやスマートフォンからVPN接続を行うことで、在宅やカフェ、出張先などどこからでも会社と同じ固定グローバルIPアドレス使用可能にします。
その結果、社内システムやクラウドサービス側ではアクセス元IPを特定の固定値に制限でき、許可されないIPからの接続をブロックすることで不正アクセス防止や情報漏えいリスク低減が期待できます。
ロリポップ!固定IPアクセスの主な特徴:
- 低コスト・迅速な導入: 月額539円(税込)という国内最安水準の価格で利用開始でき、最大2ヶ月の無料お試し期間もありますShift↵ オンラインで申し込み完結し、専用アプリ(対応プロトコルは高速・安全なWireGuard)をインストールして設定ファイルを読み込むだけで、即日から固定IPでの接続が可能ですShift↵
新たな専用回線契約や複雑な機器設定は不要で、スモールスタートに適していますShift↵
- 柔軟なライセンス供給と共有利用: 固定IPアドレスごとにライセンス数を1単位から追加でき、必要に応じて増減可能ですShift↵
例えば1つの固定IPを複数名のチームメンバーで共有し同時接続するといった運用もできるため、小規模事業から大企業まで無駄のないライセンス管理が行えますShift↵
- 個人利用から企業導入まで対応: 個人・法人を問わず契約可能であり、自宅から社内システムへアクセスしたい個人エンジニアから、多拠点展開する企業のネットワーク統制まで幅広いニーズに応えますShift↵
たとえば「社外からIP制限のある社内ツールにアクセスしたい」場合や「複数店舗で利用する固定IPを一元管理したい」場合などに有効ですShift↵
「ロリポップ!固定IPアクセス」を活用すれば、金融機関が求める堅牢なアクセス制御を安価かつスピーディーにクラウド上で実現できます。
既存のVPNやVDI環境にも付加して利用できるため、現在のリモートワーク運用にセキュリティ強化策をプラスしたい場合にも検討する価値があるでしょう。
金融業界でリモートワークの定着が進むこれからの時代、同サービスのような新しいソリューションも積極的に活用し、コンプライアンス遵守と生産性向上を両立した働き方改革を推進していきましょう。
