テレワークはICT（情報通信技術）を活用した柔軟な働き方の一つで、2019年4月より「働き方改革関連法」が順次施行されると、ワーク・ライフ・バランスの向上が期待されるとして注目を集めました。そして近年では、新型コロナウイルス感染拡大防止のため、多くの企業がテレワークの導入を急速に推し進めました。

テレワークを活用し柔軟な働き方が実現できれば、自然災害などの非常時による業務継続はもちろん、通勤による社員のストレスが軽減されたり多くのメリットを持つ反面、導入に対しては問題点や不安な点も存在するでしょう。

今回は、テレワークを導入するにあたって理解しておくべきセキュリティリスクと、その対策について紹介します。

テレワークにおけるセキュリティリスクとは

テレワークを実施するうえで、考えられるセキュリティリスクとは具体的にどういうことなのか。

実際にテレワークを行う社員の観点から、どのような情報を社外の環境で扱うのかを把握し、起こりうるリスクを洗い出すことが大切です。

紛失・盗難のリスク

テレワーク導入にともない、パソコンや携帯電話などの業務用端末が持ち出し可能になると、紛失や盗難による情報漏えいのリスクが発生します。持ち出す際に注意を促すことも大切ですが、紛失や盗難が発生する可能性も考慮して外部に情報が漏れないようにする対策も必要です。

ネットワーク通信のリスク

ネットワーク通信のセキュリティ対策が十分に備わっていない環境でテレワークを行うと、悪意を持った第三者が不正に侵入し、企業の機密情報や顧客の個人情報などを閲覧・使用するリスクがあります。公共Wi-Fiの使用を許可しないなど、指定されたネットワーク以外には接続できないといった制限を施すことが有効な手段といえるでしょう。

マルウェア感染のリスク

インターネットを経由して社内ネットワークに接続するテレワークでは、業務に無関係なWebサイトの閲覧や、不必要なソフトウェアのインストールによるマルウェア感染のリスクがあります。マルウェアに感染してしまうと、業務停止や情報漏など深刻な被害を引き起こす可能性があるため、セキュリティ対策製品などを利用しマルウェアの脅威に備えることも重要です。

さらに、業務時間に関わらずテレワーク端末では、業務に無関係なWebサイトの閲覧禁止や、ソフトウェアのインストール制限などを行う必要があります。

個人端末利用のリスク

十分なセキュリティ対策がされていない個人端末をテレワークに使用する場合、その端末が既にマルウェアに感染し、社内に感染を広げてしまったり、社内情報が端末所有者の家族や知人に漏れてしまう可能性があります。

 

企業が見直すべきセキュリティの基本

テレワークを活用する企業では「情報セキュリティ対策」が不可欠です。情報セキュリティ対策とは、企業の情報システムを取り巻くさまざまな脅威から情報資産を守り、安定した業務の遂行と社会的信用を保つための取り組みのことです。この対策は、基本の3要素と拡張された4要素の計7要素で成り立っています。

情報セキュリティ対策基本の3要素

情報セキュリティ対策基本の3要素はそれぞれの頭文字からCIAと略され、「情報セキュリティのCIA」と呼ばれることもあります。企業の機密情報や個人情報を外部の脅威から守るためには、この基本の3要素を満たした運用が重要になるといえるでしょう。

■機密性（confidentiality）の確保
機密性の確保とは、情報資産を正当な権利を持った人だけが使用できる状態のことです。不正アクセスや情報の漏えいを防ぎ、企業の信頼を得るのに必要です。具体的な対策として、アクセス権の設定・暗号化・IDやパスワード管理の徹底などがあげられます。

■完全性（integrity）の確保
完全性の確保とは、情報やデータが改ざん・消去されていない状態のことです。情報やデータが最新で正確な状態に保たれていることを表し、正当な権利を持たない人により情報資産が改ざんされないように対策をしておくことが必要です。具体的な対策として、定期的なバックアップ・データの変更履歴の追跡、監査などがあげられます。

■可用性（availability）の確保
可用性の確保とは、情報資産を許可された人が必要なときに使用できる状態にしておくことです。システム障害や自然災害、サイバー攻撃が発生しても、継続してサービスを利用できる状態を維持するために必要です。具体的な対策として、電源対策・システムの二重化・定期的なバックアップ・災害復旧計画などがあげられます。

情報セキュリティ対策の拡張された4要素

先に紹介した基本の3要素に、真正性・責任追跡性・信頼性・否認防止の4要素がその後新たに加えられました。

現在では「情報セキュリティの7要素」として各視点からリスク管理を行い、セキュリティ対策の有効性をさらに高めようとしています。

■真正性（authenticity）
真正性とは、情報にアクセスする人や端末が「本当に許可された者」であることを確実にし、なりすましや偽の情報でないことを証明・認証できるようにすることです。対策としてはアクセス制限を行ったり、生体認証システムや二段階認証を備えるといいでしょう。

■責任追跡性（accountability）
責任追跡性とは、企業組織や個人などのデータ使用の動きを追跡し、特定の行為がいつ・誰によって行われたかを可視化することです。データベースやネットワークのアクセスログを取得し、保存しておく対策が有効でしょう。

■信頼性（reliability）
信頼性とは、情報システムの動作や結果が、意図した通りの結果を出すということです。データや情報システムを稼働させたとき、その処理が欠陥や不具合を起こすことなく確実に行われることを指します。そのためには、システム設計時の不具合を徹底的にチェックして、バグをおこさないよう対策が必要です。

■否認防止（non-repudiation）
否認防止とは、情報資産に関する問題が発生した際に、その原因となる人が後から否認できないよう防止することを指します。対策として、アクセス・操作ログの保存やデジタル署名などの活用が有効でしょう。

 

テレワークにおける情報セキュリティ保全対策とは

システム管理者は企業のシステム全体を管理する立場ですので、テレワークのセキュリティ維持に関する技術的対策を行うとともに、定期的に実施状況を監査する必要があります。ここでは考えられるセキュリティの脅威を踏まえて、システム管理者が実施すべきセキュリティ対策を5つ紹介します。

システム管理者が実施すべきセキュリティ対策

①情報セキュリティ保全対策の大枠の理解
情報のレベルに応じて、データのアクセス制御・暗号化・印刷可否などの設定を行い、情報セキュリティ事故の発生に備えて迅速な対応がとれるように連絡体制を確認します。

②端末の紛失・盗難に対する対策
テレワーク端末の複数認証設定、取り扱うデータの暗号化、データの保管場所やアクセス者などの管理を徹底しましょう。

③マルウェア対策
テレワーク端末のウイルス対策ソフトやシステムは常に最新バージョンをインストールし、不必要なソフトの使用やWebサイトの閲覧ができないよう設定します。また、個人端末利用を許可する際は、必要な情報セキュリティ対策が施されていることを確認しましょう。

④不正アクセス対策
社外から社内システムへ接続する場合は、なりすましや不正アクセスを防ぐために、複数の認証を導入し、パスワードには有効期限を設定します。さらに社内システムへのアクセス方法も指定し、アクセス状況を監視するとともに不必要なアクセスは遮断しましょう。

⑤外部サービス利用に対する対策
勤務で使用する外部サービスの利用ルールを設定したり、SNS（ソーシャルネットワークサービス）に関する社員向けの利用ガイドラインを整備し、その中でテレワーク時の留意事項を明示しましょう。

【出典】「総務省|テレワークセキュリティガイドライン 第5版」

 

テレワークにおける情報セキュリティ保全対策とは

 総務省の「テレワークセキュリティガイドライン 第5版」では、「ルール・人・技術」といった3つの観点からバランスの良いセキュリティ対策を実施する重要性が指摘されています。テレワークにおける情報セキュリティには単一部分のセキュリティ強化ではなく、総合的な対策を行うことが大切です。

ルールによるセキュリティ対策

テレワークではオフィスとは異なる環境で仕事を行うことになるため、 セキュリティ確保のために新たなルールを定める必要があります。情報を取り扱う際の基本方針や行動指針などのルールを定め、テレワーカーがそれに基づいて情報を安全に扱えるように研修を実施するなど、ルールを意識しながら業務に取り組めるようになり安全に仕事を進めることができるでしょう。

人によるセキュリティ対策

テレワーク勤務は同僚や上司の目の届きにくいところで業務を行うことが多くなるため、ルールが守られているかどうかを確認するのが難しい場合があります。ルールを定着させるため、トレーニングを通じてその目的を理解し、遵守することがテレワーカーにとってメリットになることを自覚してもらうのが重要です。

また、テレワーカーひとりひとりが情報セキュリティに関する必要な知識を習得していれば、フィッシング被害を受けにくくなりリスク軽減につながります。

技術的なセキュリティ対策

「ルール」や「人」で対応できない部分は、技術的対策で補う必要があります。具体的にはウイルス対策ソフトの導入や情報の暗号化、ログインの複雑化等によりシステムやアプリケーションのセキュリティを強固にすることが可能です。また技術的対策では、それぞれのテレワーク環境に合わせた対策をしておくことが大切といえるでしょう。

 

技術的なセキュリティ対策とは

「技術的なセキュリティ対策」とは、本人認証システムを導入しアクセス制限を行うのに加え、3つの対策を行いシステムやアプリケーションのセキュリティを確保することです。

データの暗号化

テレワーク勤務では「外部への流出リスク」への対策が不可欠です。

社外で作業をする場合は、パソコンやスマートフォンなどの端末を紛失したり、盗難に遭う可能性もゼロではありません。万が一こうした事態に遭遇した場合、データを暗号化しておくことで情報漏えいのリスクを減らすことが可能となります。

運用上のセキュリティ

ウイルスや不正アクセスなど、悪意ある攻撃の手口は日々変化し複雑化しています。こうした脅威に備えるために、情報を直接取り扱う機器（パソコンやサーバーなど）のセキュリティ対策を常に備えておく必要があるでしょう。

ウイルス感染による端末の不具合や情報漏えいのリスクを回避するために、不正アクセス検知や不正プログラム検出などを搭載したウイルス対策ソフトを導入し、導入後も定期的なアップデートを行うことが重要です。

ネットワークのセキュリティ

パソコンやサーバーなどの機器だけではなく、「ネットワークのセキュリティ」の構築にも注意をはらう必要があります。ウイルス感染や不正アクセスのリスクにさらされる可能性の低い安全な回線を選択し、テレワーク業務を行う際に安心してネットワークにアクセスできる環境を構築することが求められます。

 

テレワークのセキュリティ対策に必要な5つの施策とツール

テレワークのセキュリティ対策があらゆる観点で必要なのはもちろん、システム管理者とテレワーカーの双方が正しく理解し運用していく必要もあります。

ここではテレワークのセキュリティ対策に必要な5つの施策と有効なツールを紹介します。

テレワークのセキュリティ対策5つの施策

①情報セキュリティ保全対策
テレワークを実施する際は、情報セキュリティポリシーが定める技術的・物理的・人的対策の基準に沿って業務を行い、情報セキュリティ事故が起きた場合の連絡方法も予め確認しておきましょう。

②マルウェア対策
テレワークに利用する端末のOSやソフトは最新バージョンに保ち、新たにソフトのインストールが必要な場合は管理者の許可を得てから行うようにします。

③不正アクセス対策
社内システムにアクセスする際は指定された方法のみ使用し、パスワードは強固なものを使用しましょう。

④外部サービス利用に対する対策
ビデオ会議用の招待メールやURLなどは公開せず、許可された必要なサービス以外は利用できないようにします。

⑤重要情報の盗難対策
機密性が求められるデータは暗号化する。そもそも重要情報を移動中や社外では閲覧しないなどルールを決めたりするとよいでしょう。公共の場所で業務を行う場合は作業場所を考慮して覗き見防止に努めましょう。

セキュリティ対策に有効な会議ツール

セキュリティ対策に有効なテレワーク会議におすすめのツールを3つ紹介します。

■Zoom
会議参加者に招待用のURLを送るだけで簡単にオンライン会議を開催することが可能で、セキュリティ向上のために頻繁にシステムアップデートが行われています。

■FleshVoice
セキュリティレベルが高く、一般企業をはじめ、強固なセキュリティが求められる銀行や行政機関などにも選ばれているWeb会議システムです。

■WebEx Meeting
メッセージやドキュメントの内容が、さまざまなデバイス間で”暗号化”して通信することが可能なため、ユーザー情報を保護できます。

 

まとめ

テレワークは、さまざまな働き方や非常時などに、柔軟な対応ができるため業種を問わず、あらゆる企業にとって今後さらに重要になっていくでしょう。

そんな中テレワークにおけるセキュリティ対策を見直し・改善していくことは、とても大切なポイントです。

現状のセキュリティ対策の実施範囲を把握し、何に気を付けるべきかなどを見極めながら、テレワーク環境の構築を進めて行きましょう。

 

【関連記事】

テレワーク導入は事前準備が大切！業務環境構築のポイント

テレワーク5大メリットと課題！ツールを活用した解決のポイントとは？

記事についてのご質問

この記事について、あなたの「もっと知りたい！」にお答えします