テレワークはICT(情報通信技術)を活用した柔軟な働き方の一つで、働き方改革の一環として注目を集めたことにより、導入する企業が増加傾向にあります。また、出社せずに業務遂行が可能なことから、新型コロナウイルス感染拡大を防ぐことを目的としテレワークを導入する企業が急速に増加しています。
テレワークを活用し柔軟な働き方が実現できれば、自然災害などの非常時による業務継続はもちろん、ライフワークバランスの側面から社員満足度を高めることができるなど多くのメリットを持つ反面、導入に対しては課題点や不安点も存在するでしょう。
今回は、テレワークを導入するにあたって理解しておくべきセキュリティリスクと、その対策について紹介します。
テレワークにおけるセキュリティリスクとは
テレワークを実施するうえで、考えられるセキュリティリスクはどんなものがあるでしょうか。
実際にテレワークを行う社員の観点から、どのような情報を社外の環境で扱うのかを把握し、起こりうるリスクを洗い出すことが大切です。
紛失・盗難のリスク
テレワーク導入にともない、パソコンや携帯電話などの業務用端末が持ち出しが可能になると、紛失や盗難による情報漏えいのリスクが発生します。
持ち出す際に注意を促すことも大切ですが、紛失や盗難が発生したことをふまえて外部に情報が漏れないようにする対策も必要です。
ネットワーク通信のリスク
ネットワーク通信のセキュリティ対策が十分に備わっていない環境でテレワークを行うと、悪意を持った第三者により、不正侵入や通信内容を不正に閲覧・使用される可能性があります。
公共Wi-Fiの使用を許可しないなど、指定されたネットワーク以外には接続できないといった制限を施すことが有効な手段といえるでしょう。
マルウェア感染のリスク
インターネットを経由して社内ネットワークに接続するテレワークでは、業務に無関係なWebサイトの閲覧や、不必要なソフトウェアのインストールによるマルウェア感染のリスクがあります。
マルウェアに感染してしまうと、業務停止や情報漏えいなどさまざまな被害を引き起こす可能性があるため、セキュリティ対策製品などを利用しマルウェアの脅威に備えることも重要です。
さらに、業務時間に関わらずテレワーク端末では、業務に無関係なWebサイトの閲覧禁止や、ソフトウェアのインストール制限などを行う必要があります。
個人端末利用のリスク
十分なセキュリティ対策がされていない個人端末をテレワークに使用することで、すでにマルウェアに感染している端末で社内ネットワークに接続してしまう可能性や、社内情報が端末所有者の家族や知人に漏れてしまう可能性があります。
企業が見直すべきセキュリティの基本
テレワークを活用する企業では「情報セキュリティ対策」は不可欠です。
情報セキュリティ対策とは、企業の情報システムを取り巻くさまざまな脅威から情報資産を正常に維持することで、基本の3要素と拡張された4要素の計7要素で成り立っています。
情報セキュリティ対策基本の3要素
情報セキュリティ対策基本の3要素はそれぞれの頭文字からCIAと略され、「情報セキュリティのCIA」とよばれることもあります。セキュリティ対策の基本として情報セキュリティのCIAを満たした運用が重要になるといえるでしょう。
■機密性(confidentiality)の確保
機密性は情報が漏れないように対策ができている状態かということを指し、情報資産を正当な権利を持った人だけが使用できる状態にしておくことが大切です。
具体的な対策として、アクセス権の設定・暗号化・IDやパスワード管理の徹底などがあげられます。
■完全性(integrity)の確保
情報やデータが最新で正確な状態が保たれていることを表し、正当な権利を持たない人により情報資産が改ざんされないように対策をしておくことが必要です。
■可用性(availability)の確保
可用性とは情報資産を必要なときに使用できる状態にしておくことです。
具体的な対策は、電源対策・システムの二重化・バックアップ・災害復旧計画などがあげられます。
情報セキュリティ対策の拡張された4要素
近年では情報セキュリティ対策基本の3要素に加え、真正性・責任追跡性・信頼性・否認防止の4要素が追加されました。
この7大要素の各視点からリスク管理を行うことで、セキュリティ対策がさらに強固になるといえるでしょう。
■真正性(authenticity)
真正性は「ある主体または資源が、主張どおりであることを確実にすること」で、なりすましや偽の情報でないことを証明・認証できるようにすることです。本人を認証するシステムや二段階認証を備えていることなどを指します。
■責任追跡性(accountability)
「ある対象の動作が、その動作から動作主の対象まで一意に追跡できることを確実にすること」を指し、特定の行為がいつ・誰によって行われたを追跡できるようにすることです。
データベースやネットワークのアクセスログを取得し、保存しておく対策が有効でしょう。
■信頼性(reliability)
信頼性とは「意図する行動が結果に対して正しいかどうか」で、情報システムを稼働させたときの処理に欠陥や不具合がなく確実に行われることを指します。
■否認防止(non-repudiation)
「ある活動や事象が起きたことを、後になって否認されないように証明する能力」で、特定の行われた事象について証明できるようにすることです。
デジタル署名などの活用で、情報の作成者が作成した事実を後から否定できないようにすることなどを指します。
【出典】「情報セキュリティポリシーに関する ガイドライン 」
システム管理者が実施すべきセキュリティ対策について
システム管理者は企業のシステム全体を管理する立場ですので、テレワークのセキュリティ維持に関する技術的対策を行うとともに、定期的に実施状況を監査する必要があります。
ここでは考えられるセキュリティの脅威を踏まえて、システム管理者が実施すべきセキュリティ対策を5つ紹介します。
システム管理者が実施すべきセキュリティ対策
①情報セキュリティ保全対策の大枠の理解
情報のレベルに応じて、データのアクセス制御・暗号化・印刷可否などの設定を行い、情報セキュリティ事故の発生に備えて迅速な対応がとれるように連絡体制を確認します。
②端末の紛失・盗難に対する対策
テレワーク端末の複数認証設定、取り扱うデータの暗号化、データの保管場所やアクセス者などの管理を徹底しましょう。
③マルウェア対策
テレワーク端末のウイルス対策ソフトやシステムは常に最新バージョンをインストールし、不必要なソフトの使用やWebサイト閲覧ができないよう設定します。
また、個人端末利用を許可する際は、必要な情報セキュリティ対策が施されていることを確認しましょう。
④不正アクセス対策
社外から社内システムへアクセスするための認証は、なりすましや不正アクセスを防ぐため複数の認証を導入し、社内システムへのアクセス用パスワードに有効期限を設けましょう。
さらに社内システムへのアクセス方法を指定し、アクセス状況を監視するとともに不必要なアクセスを遮断します。
⑤外部サービス利用に対する対策
勤務で使用する外部サービスの利用ルールを設定したり、SNS(ソーシャルネットワークサービス)に関する従業員向けの利用ガイドラインを整備し、その中でテレワーク時の利用上の留意事項を明示しましょう。
【出典】「総務省|テレワークセキュリティガイドライン 第4版」
テレワークにおける情報セキュリティ保全対策とは
総務省の「テレワークセキュリティガイドライン 第4版」では、「ルール・人・技術」といった3つの観点からバランスの良いセキュリティ対策を実施する重要性が指摘されています。
テレワークにおける情報セキュリティには単一部分のセキュリティ強化ではなく、総合的な対策を行うことが大切です。
ルールによるセキュリティ対策
テレワークではオフィスとは異なる環境で仕事を行うことになるため、 セキュリティ確保のために新たなルールを定める必要があります。
情報を取り扱う際の基本方針や行動指針などのルールを定め、テレワーカーがそれに基づいて情報を安全に扱えるように研修などを実施すると、ルールを意識しながら業務に取り組めるようになり安全に仕事を進めることができるでしょう。
人によるセキュリティ対策
テレワーク勤務は同僚や上司の目の届きにくいところで業務を行うことが多くなるため、ルールが守られているかどうかを確認するのが難しい場合があります。
ルールを定着させるため、トレーニングを通じてその目的を理解し、遵守することがテレワーカーにとってメリットになることを自覚してもらうのが重要です。
また、テレワーカーひとりひとりが情報セキュリティに関する必要な知識を習得していれば、フィッシング被害を受けにくくなりリスク軽減につながります。
技術的なセキュリティ対策
「ルール」や「人」で対応できない部分は、技術的対策で補う必要があります。具体的にはウイルス対策ソフトやサービス、情報の暗号化、ログインの複雑化等によりシステムやアプリケーションのセキュリティを強固にすることが可能です。また技術的対策では、それぞれのテレワーク環境に合わせた対策をしておくことが大切といえるでしょう。
技術的なセキュリティ対策とは
「技術的なセキュリティ対策」とは、本人認証システムを導入しアクセス制限をを行うのに加え、3つの対策を行いシステムやアプリケーションのセキュリティを確保することです。
データの暗号化
テレワーク勤務には「外部への流出リスク」への対策が不可欠です。
社外で作業をする場合は、パソコンやスマートフォンなどの端末を紛失したり、盗難に遭う可能性もゼロではありません。万が一こうした事態に遭遇した場合、データを暗号化しておくことで情報漏えいのリスクを減らすことが可能となります。
運用上のセキュリティ
ウイルスや不正アクセスなど、悪意ある攻撃の手口は日々変化し複雑化しています。こうした脅威に備えるために、情報を直接取り扱う機器(パソコンやサーバーなど)のセキュリティ対策を常に備えておく必要があるでしょう。
ウイルス感染による端末の不具合や情報漏えいのリスクを回避するために、不正アクセス検知や不正プログラム検出などを搭載したウイルス対策ソフトを導入し、導入後も定期的なアップデートを行うことが重要です。
ネットワークのセキュリティ
パソコンやサーバーなどの機器だけではなく、「ネットワークのセキュリティ」の構築にも注意をはらう必要があります。
ウイルス感染や不正アクセスのリスクにさらされる可能性の低い安全な回線を選択し、テレワーク業務を行う際に安心してネットワークにアクセスできる環境を構築することが求められます。
テレワークのセキュリティ対策に必要な5つの施策とツール
テレワークのセキュリティ対策はあらゆる観点で必要なのはもちろん、システム管理者とテレワーカーの双方が正しく理解をし運用していく必要もあります。
ここではテレワークのセキュリティ対策に必要な5つの施策と有効なツールを紹介します。
テレワークのセキュリティ対策5つの施策
①情報セキュリティ保全対策
テレワークを行う際は情報セキュリティポリシーが定める技術的・物理的・人的対策の基準に沿った業務を行い、情報セキュリティ事故が起きた場合の連絡方法を確認しておきましょう。
②マルウェア対策
テレワークに利用する端末のOSやソフトは最新バージョンに保ち、新たにソフトのインストールが必要な場合は管理者の許可を得てから使用するようにします。
③不正アクセス対策
社内システムにアクセスする際は指定された方法のみ使用し、パスワードは強固なものを使用しましょう。
④外部サービス利用に対する対策
ビデオ会議用の招待メールやURLなどは公開せず、不必要なサービスを無許可で利用しないようにします。
⑤重要情報の盗難対策
機密性が求められるデータは暗号化し、公共の場所で業務を行う場合は作業場所を考慮して覗き見防止に努めましょう。
セキュリティ対策に有効な会議ツール
セキュリティ対策に有効なテレワーク会議におすすめのツールを3つ紹介します。
■Zoom
会議参加者に招待用のURLを送るだけで簡単にオンライン会議を開催することが可能で、セキュリティ向上のために頻繁にシステムアップデートが行われています。
■FleshVoice
一般企業をはじめ、銀行や行政機関などでも利用されています。強固なセキュリティが求められる業種に選ばれているシステムですので、セキュリティの信頼性は高いといえます。
■WebEx Meeting
メッセージやドキュメントの内容が、さまざまなデバイス間で”暗号化”されて通信するようにしているため、ユーザ情報を保護できます。
まとめ
テレワークはさまざまな働き方や非常時などに柔軟な対応がてきるため業種を問わずあらゆる企業にとって今後さらに重要になっていくでしょう。
そんな中テレワークにおけるセキュリティ対策を見直し・改善していくことは、非常に大切なポイントです。
現状のセキュリティ対策の実施範囲を把握し、何に気を付けるべきかなどを見極めながら、テレワーク環境の構築を進めて行きましょう。
この記事は役に立ちましたか?
ご不明点がございましたら、
以下のフォームにてお気軽にお問合せください!
記事についてのご質問
この記事について、あなたの「もっと知りたい!」にお答えします
