昨今、新型ウイルス感染対策や東京オリンピックの影響で、テレワークを導入する企業が増加しています。
テレワークは、時間や場所を有効に活用した就労・作業形態を可能にし、少子高齢化対策や経済再生、雇用創出、地域振興、防災・環境対策などさまざまな目的でも効果があることが認められました。テレワークが今後より普及することで、就労者は創造的な能力を効率的に発揮し得る社会の実現が期待されています。
このようにメリットが多くあるテレワークですが、導入の際にはセキュリティ対策を抜きにはできません。サイバー攻撃やコンピュータウイルスの感染経路も巧妙になっているほか、使用端末の盗難・紛失などにも備える必要があります。オフィスとはまた少し違う、テレワーク導入でのセキュリティ対策についてご紹介しましょう。
テレワーク導入によるセキュリティ面のリスク
これからますます普及率が上がるとされるテレワークですが、セキュリティ面ではリスクが発生することを管理者・テレワーカーの両者が理解しておかなければなりません。
まず、テレワークでは、業務をおこなう上でインターネットへの接続環境が必須となります。オフィスではなく自宅など強固なセキュリティを施した環境での作業ではなくなるため、情報漏えいやコンピュータウイルス感染などのリスクが上がるのです。
また、テレワーカーの不注意によるセキュリティ事故も発生しており、情報セキュリティに対する意識付けも非常に重要となります。そのほか、テレワーカーが使用する端末の紛失や盗難事故への対策も取らなければならないでしょう。
管理者が押さえておくべき情報セキュリティの考え方
情報セキュリティという面でのテレワークとオフィス勤務との違いは、常にインターネットに接続する必要があるという点です。テレワーカー自身が所有する端末をテレワークで使用する場合は、コンピュータウイルスの感染を防ぐ対策や、情報漏えいを防ぐために機密情報の取り扱いにも注意をしなければなりません。
また、テレワークで使用する端末の、紛失や盗難のリスクにも備えておく必要があります。
これらの万一のリスクを踏まえて、管理者は未然にセキュリティ対策を施さなければなりません。そこで、まずは対策実施の基礎となる情報セキュリティの考え方についてご紹介しましょう。
情報資産を脅威から守る対策は必須
企業で管理をする紙資料や電子データ、情報システムなどは「情報資産」と呼ばれます。多くの場合、情報資産はオフィス内で管理されており、外部の目に触れることはありません。
しかし、テレワークを行う場合はインターネットが主な情報資産の保管場所となるほか、持ち運びに便利なノートパソコンなどの端末が利用されます。
そのため、インターネット経由でのサイバー攻撃を防御する対策がなされたオフィスとは異なり、情報資産はコンピュータウイルスの感染、テレワーク端末や記録媒体の紛失・盗難、通信内容の盗聴など、「脅威」にさらされやすいといえます。
さらに、使用端末や設定、テレワーカーの使い方において、脅威に対する「脆弱性」(情報セキュリティ上の欠陥のこと)が存在すると、情報漏えいや消失などセキュリティ事故の発生につながります。
全体のセキュリティレベル向上が不可欠
企業が情報セキュリティ対策を効率的に行うには、まず保護すべき情報資産を洗い出す必要があります。そして、セキュリティ面でどのような脅威が考えられ、テレワークシステムに潜む脆弱性やリスクがあるのかを把握・認識することが必須となります。
さらに、重要度に応じた情報のレベル分けを行い、レベル分けから体系的な対策を実施することが重要です。
情報セキュリティ対策には「最も弱い部分が全体のセキュリティレベルになる」という特徴があります。どこか1箇所に弱点があれば、他の対策をいくら強化しても全体のセキュリティレベルの向上にはつながりません。
そこで、情報資産を守るためには、「ルール」「人」「技術」の三位一体のバランスがとれた対策を施し、全体のセキュリティレベルを落とさないようにする必要があります。
テレワークで必須となるセキュリティ対策3つ
テレワーク導入時に行うべきセキュリティ対策は、テレワークの方法によっても変わります。細かな対策は、それぞれ自社の情報資産の扱い方などによっても変わりますが、すべてのテレワークの方法において必須となる3つのセキュリティ対策をご紹介します。
コンピュータウイルス対策
インターネットへの接続がほぼ必須といえるテレワークでは、コンピュータウイルス感染のリスクが高まります。オフィスでもサイバー攻撃に備えたセキュリティ対策を施すのと同様に、テレワーカーの使用端末などにもウイルス対策ソフトを導入しましょう。
また、OSやアプリケーションのバージョンアップを適宜行い、システム上の脆弱性の穴を埋めていく必要もあります。さらに、テレワーカーが危険なウェブサイトなどへのアクセスをしないようにフィルタリングソフトの導入もおすすめです。
テレワーカーがアプリケーションを使用端末にインストールする必要がある場合には、申請をさせて、セキュリティ管理者の承認を得てからインストールさせるようにするとセキュリティレベルはさらに向上します。
端末の紛失・盗難対策
テレワーク端末はさまざまな場所での利用が想定され、その分悪意のある第三者が近づきやすく、無意識のうちに情報漏えいしていたというリスクにさらされやすい環境でもあります。
テレワーカーはそうしたリスクを自覚して、公共の場では機密性が求められる電子データを扱わなくて済むような業務のやり方を工夫する必要があります。
カフェや交通機関、待合室などの第三者と共有する環境でテレワーク作業を行う場合、テレワーク端末を他者に利用されないようにするために、パスワードや指紋・顔認証によるユーザ認証、操作画面の自動ロックの設定を行いましょう。
鉄道や公共の待合室などで離席する場合は、端末を一緒に携帯することが望ましいですが、難しいときは画面の確実なロック、盗難防止用のワイヤーの設置などの対策が有効です。
機密情報の漏えい対策
機密性の高い情報資産を多く取り扱うテレワーク端末は、端末内の電子データを暗号化するなどして、他人によるテレワーク端末の不正操作を防ぎましょう。また、データの暗号化を施すことで、万一電子データの窃取及びテレワーク端末などの紛失・盗難が発生しても情報漏えいを防止することができます。
保存されているデータに関する暗号化の方法としては、ドライブやUSBメモリ全体を暗号化する方法とファイル単位で暗号化する方法の2通りがあります。情報の機密性の高さや利用方法に応じて選択しましょう。極めて重要な情報の場合は両方を併用することでセキュリティレベルを引き上げられます。
また、テレワークで使用した端末やUSBメモリ等を廃棄・譲渡する場合は、テレワーカーの判断で行うのではなく、システム管理者から廃棄・譲渡をするようにしましょう。このとき、必要に応じてデータ消去ソフトなどを使用し、端末内のデータをすべて削除しておくと安心です。
セキュリティ対策を外部委託する方法もおすすめ!
テレワーク導入はとても便利な反面、セキュリティ対策も自社に応じた対策を講じる必要があります。「どんな対策が必要か分からない」「情報セキュリティ管理者が常駐していない」などセキュリティ対策で不安がある場合は、外部委託をする方法がおすすめです。
Mamasan&Company株式会社
https://mama-sun.com/jp/telework/
2008年からテレワーク導入を行っており、10年以上の実績があります。さらに、テレワーク導入支援も行っており、導入未経験の企業へクラウド型の業務環境を構築・提供しています。セキュリティ対策においてもノウハウがあり、各企業に応じたサポートを提案してくれるので安心して委託できるでしょう。
シスコシステムズ合同会社
https://www.cisco.com/c/m/ja_jp/solutions/remote-solutions.html
アメリカに本社を置き、ウェブ会議システム「Cisco Webex Meetings」などITサービスを多く展開している企業です。10年以上のテレワーク支援実績を誇り、Web会議システムからチャットツール、リモートアクセスやネットワーク関係などテレワークに必要となる環境づくりをサポートしてくれます。
株式会社テレワークマネジメント
https://www.telework-management.co.jp/services/consulting/
業務内容を入念にヒアリングし、テレワーク導入やセキュリティ対策などについて最適な方法を提案してくれます。どの業務をテレワークでできるのか分からない場合でも、可視化をして業務割合や方法の最適化を行うので、導入後スムーズにテレワークに移行できます。
まとめ
インターネットが普及した現代だからこそ実現するテレワークという働き方は、働き手であるテレワーカーはもちろん、企業にとっても柔軟に変化させることができる就労形態です。まずは情報セキュリティに対する教育を実施し、自社に最適なセキュリティ対策を施していきましょう。
自社でのセキュリティ対策に不安がある場合は、外部委託をすることで専門的なセキュリティ対策が施せるほか、プロのコーチングも受けられるので活用を検討しましょう。
【出典】テレワークセキュリティガイドライン第4版総務省別紙3
この記事は役に立ちましたか?
ご不明点がございましたら、
以下のフォームにてお気軽にお問合せください!
記事についてのご質問
この記事について、あなたの「もっと知りたい!」にお答えします