テレワークのセキュリティ対策|潜むリスクへの対処


テレワークでは端末を社外に持ち出し、もしくは社員の手持ちの端末を使って作業をおこなうため、セキュリティ面でさまざまなリスクが生じます。

今回は、テレワークを実施するに際して取り組んだほうが良いセキュリティ対策について解説していきます。

テレワーク実施の課題は「情報セキュリティの確保」

2017年に三菱UFJリサーチ&コンサルティング株式会社が、テレワーク導入中または導入可能な企業を対象に実施したアンケートでは、「テレワーク導入にあたっての課題、導入するとした場合の課題」を尋ねる質問に、「情報セキュリティの確保」と回答した企業が50%となりました。

テレワークにおけるパソコン・タブレットなどの端末やネットワーク面のセキュリティ対策は、社員任せになってしまう部分が大きいです。

社員がセキュリティ対策を怠っていたり、端末の取り扱いに問題があったりすれば、マルウェア感染や機密情報の漏えいなどにつながり、経営面で打撃を受けてしまう可能性も大いにあります。

それを防ぐために、テレワークを導入するのであれば、事前に会社として最低限のセキュリティ対策を講じておくことが重要です。

テレワークのセキュリティリスク

上記で解説したように、テレワークは情報セキュリティの確保が大きな課題です。では、具体的にどのようなリスクが想定されるのか、紹介していきます。

マルウェア感染での情報漏えい

社員の自宅にある端末を使って作業する場合、セキュリティソフトが入っているか、且つ常に最新の状態にアップデートされているか分かりません。

また、会社がセキュリティソフトの入ったパソコンを支給した場合でも、OSやよく利用するソフトが最新の状態にアップデートされていないと、これもマルウェア(ウイルス)感染のリスクを高めます。

端末の盗難や紛失

端末を会社から自宅に持ち帰る際、もしくは出先で作業して持ち運ぶ際など、目を離した隙に盗難に遭う、置き忘れて失くしてしまう、といったトラブルもよくあります。

端末の盗難に遭う、もしくは紛失してしまえば、保存されている内容を閲覧され、情報の漏えいや悪用といった被害も考えられます。

第三者による盗み見や盗み聞き

電車内や飲食店などの出先で作業をしている場合、近くにいる人物が端末の画面を盗み見る可能性もあります。機密情報の操作中やサイトにログイン情報を入力していた場合、悪用のリスクがあります。

このほかにも、インターネット会議や電話で機密情報や個人情報を口にしてしまい、それを第三者に聞かれてしまう場合もあります。

ネットワーク環境の脆弱性

社員の自宅のインターネット回線で作業させることは多いですが、このネットワークにファイアウォールが設置されていない、ルーターのファームウェア(ソフト)が更新されていない、可能性もあります。

また、外出先でセキュリティ対策のされていない無料Wi-Fiに接続して作業をおこなう場合もあるでしょう。このような場合もマルウェア感染や情報漏えいのリスクがあります。

外部サービス利用による情報漏えい

テレワークでの会議に利用されることの多い遠隔会議システム「Zoom」ですが、ログイン情報を盗み見られる、任意のファイルを実行させられる、などセキュリティ面での脆弱性が発見されました。

これはZoomだけに限った話ではなく、外部のサービスを利用することで、ログイン情報やその内部に保存していた機密情報を漏えいしてしまう可能性は大いにあります。

また、社員がTwitterやInstagramなどのSNS上でテレワーク中の写真や映像などを投稿し、そこに機密情報などが映り込むことで情報漏えいしてしまうケースも発生しています。

テレワークで実施すべきセキュリティ対策

では、それぞれのセキュリティリスクにはどのように対処することが望ましいのか、対策方法を解説します。

情報セキュリティポリシーの作成

会社としてセキュリティ対策に取り組むうえで、最初に実施すべきは「情報セキュリティポリシー」=「情報セキュリティに関する方針や行動指針」の作成です。

テレワークに係るさまざまな場面で、それぞれどう対応すべきかルールを文書化し、社員に周知徹底することで、情報セキュリティレベルを全社で統一する必要があります。

情報セキュリティポリシーの構成

基本方針:セキュリティ全体の根幹の部分
対策基準:基本方針をベースに、実施すべきことや遵守すべきことの規定
実施手順:対策基準の事項を具体的に実施するための手順

情報セキュリティポリシーの内容としては、たとえば以下のような事柄について記載しておくことが望ましいです。

  • 自宅においての作業端末の管理方法、作業環境について
  • 自宅においての離席中の作業端末の管理方法(ログオフだけでよいか、保管すべきかなど)
  • 社内から作業端末を持ち出す際の端末の管理(暗号化、BIOSパスワードを設定すべきかなど)
  • 外出時の作業においての作業端末の管理方法(体から離さない、ストラップを装着など)
  • 外出時においての情報管理(共有スペースでの情報管理、紙情報の管理など)

情報セキュリティ教育や啓発活動

情報セキュリティポリシーを作成しても、社員が内容を知らなかったり、守らなかったりすれば意味がありません。

そのためには定期的に研修をおこない、情報セキュリティポリシーの内容の共有と教育、情報セキュリティの知識を身に付けさせるための啓発活動をおこなう必要があります。

会社として一定レベルの情報セキュリティに対する管理体制が確保され、正しく運用できているか判断するため、情報セキュリティマネジメントシステム(ISMS)認証 (ISO/IEC 27001)を活用するのもよいでしょう。

マルウェア感染の予防、情報漏えい対策

作業端末がマルウェア感染してしまうと、端末内に保存された機密情報などが漏えいしてしまう可能性があるため、感染予防としてまずセキュリティソフトが入っていないならインストールは必須です。

そのうえで、OSやセキュリティソフト、よく使用するソフトの最新バージョンが公開されたら、早めにアップデートを適用しておくことで、セキュリティを高めることができます。

ただし、セキュリティソフトが入っていればマルウェア感染しないわけではありません。メールでURLやファイルが添付されていても無闇に開かない、怪しいサイトを閲覧しない、などはセキュリティ対策の基本です。

端末の管理徹底、データ保護

端末を置いたままその場を離れない、置き忘れないよう注意するというのは基本ですが、万が一盗難・紛失に遭った場合も内部のデータを盗み見られたり、悪用されたりしないような対策も必要です。

たとえば、重要なデータはUSBや外付けHDD・SSDなどに保存するようにする、もしくは端末に情報を保存しない「シンクライアントPC」をテレワーク専用端末として貸与するという方法もあります。

また、盗難・紛失対策アプリをインストールしておけば、端末の位置情報を送信したり、遠隔操作でのロックやアラート発報をしたりすることができます。

第三者ののぞき見、盗聴を防止

第三者が画面をのぞき見できないよう、出先で作業をおこなう際は壁を背にして着席したり、正面の角度以外から画面を見えにくくする「プライバシーフィルター」を貼ったりするとよいでしょう。

また、電話で仕事の話をする際は人の多い場所を避け、周囲に機密情報が聞こえてしまわないよう、社員に注意してもらう必要があります。

ネットワーク環境のセキュリティ強化

自宅のインターネット回線で作業する場合、ファームウェアを最新の状態にアップデートするのが望ましいです。Wi-Fiの場合はパスワードを設定し、通信経路をWPA2という暗号化の形式に設定するように徹底します。

また、出先で無料Wi-Fiを利用する場合、会社側で通信の暗号化ができるVPN環境を用意し、これを経由して利用するようにするとよいでしょう。

テレワークのセキュリティに重要なのは「ルール・人・技術」

情報資産を守るには、適切な社内「ルール」の設定と教育、それを「人」が遵守し、セキュリティ対策ソフトやシステムの「技術」で防御する、これら3要素すべてが高い水準であることが重要です。

たとえば、優れたルールがあってもそれを人が守らなかったり、技術面で不足があったりすれば意味がありません。1要素でも欠けるとほかがいくら強固であっても補うことはできません。

そこで、自社の状況に最適なルールを設定して、場合によってブラッシュアップし、社員に定期的な教育を実施して、技術面でも不足がないよう、つねに三位一体のバランスを保てるよう継続していくことが重要です。

まとめ

テレワークは通勤や移動の時間とそのコストを減らし、社員も負担を軽減して柔軟に働くことができる、会社と社員が互いにwin-winとなる勤務形態です。

テレワークが可能となれば、営業社員も時間とお金を掛けて出張せずにインターネット会議で商談ができ、遠隔地で優れた人材を雇うことができるといったメリットもあります。

まずは情報セキュリティポリシーを作成して共有し、試しに実施して課題を挙げていき、さらにブラッシュアップすることで、適切なテレワークの方法を模索してみてはいかがでしょうか。

無料資料ダウンロード

自分でできるサイトのセキュリティチェック14選

自分でできるサイトのセキュリティチェック14選

無料ダウンロード

ホームページ健康診断

ホームページ健康診断

無料ダウンロード




RELATED