1. テレワークとセキュリティ
テレワークは働き方改革の進展やコロナ禍により導入する企業が着実に増えています。テレワークは、通勤などの移動時間が削減し、効率よく業務を展開できます。しかし、その一方でセキュリティ対策に不備があるままテレワークを実施している場合もあります。テレワークとは、在宅勤務を中心に、移動中のモバイル勤務やサテライトオフィスでの勤務です。テレワークで使用するPCやタブレット、スマートフォンなどの端末機器の盗難紛失や、利用するWi-Fi回線からの情報漏えいなど、セキュリティリスクが大幅に高まります。業務効率向上に効果を発揮するテレワークですが、セキュリティ対策を適切に施さないとトラブルや損失を発生させる可能性が出てきます。
このようなリスクを避けるために、経営者・システム管理者・テレワーク勤務者(従業員)が一体となって強固なセキュリティを構築していくことがテレワーク推進の大きな課題となります。
目次へ戻る
2. セキュリティ対策はどのように行うのか
テレワークのセキュリティ対策を行うためには、全社一体となった取り組みが必要となります。
そのために、企業内での役割を明確化して相互に協力し合う推進体制を整備します。
セキュリティ対策の基本方針、組織・体制の確立、従業員の教育など、全社的なセキュリティと管理・運用体制構築をけん引します。
経営方針に沿って、具体的なセキュリティシステムやルールを作成し、ルールの周知や必要な対策を実施します。
会社が定めたセキュリティルールを理解・順守し、自身が利用する端末(周辺機器含む)・ネットワークの管理を行います。事故発生時はルールに従って行動します。
テレワークに必要なセキュリティ対策の種類
テレワークに必要なセキュリティ対策は多岐にわたります。総務省のガイドラインでは、下図の項目を挙げています。一度に全てを整備できない場合は、一般的なセキュリティ対策として普及している容易な施策から実施し、業務内容に沿って必要度の高い対策から予算投下をして、セキュリティ構築を実施しましょう。
テレワークに必要なセキュリティ対策
| 対策分類 | 説明 |
|---|
| ガバナンス・リスク管理 | テレワークの実施に当たってのリスクマネジメントや、情報セキュリティ関連規定(ルール)の整備などに関する対策 |
|---|
| 資産・構成管理 | テレワークで利用するハードウェアやソフトウェアなどの資産の特定や、その管理に関する対策 |
|---|
| 脆弱性管理 | ソフトウェアのアップデート実施などによる既知の脆弱(ぜいじゃく)性の排除に関する対策 |
|---|
| 特権管理 | 不正アクセスなどに備えたシステム管理者権限の保護に関する対策 |
|---|
| データ保護 | 保護すべき情報(データ)の特定や保存されているデータの機密性・可用性の確保に関する対策 |
|---|
| マルウェア対策 | マルウェアの感染防止や検出、エンドポイントセキュリティに関する対策 |
|---|
| 通信の保護・暗号化 | 通信中におけるデータの機密性や可用性の確保に関する対策 |
|---|
| アカウント・認証管理 | 情報システムにアクセスするためのアカウント管理や認証手法に関する対策 |
|---|
| アクセス制御・認可 | データやサービスへのアクセスを、必要最小限かつ正当な権限を有する者のみに制限することに関する対策 |
|---|
| インシデント対応・ログ管理 | セキュリティインシデントへの迅速な対応と、ログの取得や調査に関する対策 |
|---|
| 物理的セキュリティ | 物理的な手段による情報漏えいなどからの保護に関する対策 |
|---|
| 脅威インテリジェンス | 脅威動向、攻撃手法、脆弱性などに関する情報の収集に関する対策 |
|---|
| 教育 | テレワーク勤務者のセキュリティへの理解と意識の向上に関する対策 |
|---|
- *総務省「テレワークセキュリティガイドライン(第5版)」2021年5月 55pを基に作成
テレワークに潜むセキュリティリスクとは
テレワークで発生するリスクはさまざまですが、利用環境で想定される主なセキュリティリスクは以下のとおりです。
移動勤務中の主なリスク
出張など、移動中にモバイル環境で業務を行う場合に発生する主なリスクは、端末機器の置き忘れなどの紛失や盗難のほかに、公共スペースでの無線LAN(Wi-Fi)環境にあります。今では、駅や空港、電車・飛行機、カフェ、コンビニ、ホテルなど、あらゆる場所で無線LAN(Wi-Fi)による通信サービスを利用することが可能になっています。しかし、誰もが自由に利用できるように暗号化キーが公になっていたり、暗号化されていないフリー無線LAN(Wi-Fi)となっていたりすることが多いのです。暗号化されていないと、取引先とのやりとりやパスワードなどの機密情報が容易に傍受されるリスクが発生します。また、マルウェアなどの不正で悪意のあるプログラム(一般的にコンピューターウイルスと呼ばれるもの)に感染する恐れも出てきます。公共の無線LAN(Wi-Fi)は使用しないルールを定めて通達するか、VPN(バーチャル・プライベート・ネットワーク)による暗号化などの対策を施しましょう。
サテライトオフィスでの主なリスク
サテライトオフィスで仕事をする場合は、ほかの人たちと同じ環境で業務を行うことになりますので、電話での会話やPCののぞき見に注意しましょう。また、プリンター(コピー含む)を利用する場合は用紙の取り忘れにも気を付けてください。自社のオフィスでは単なる忘れ物で済むことが、サテライトオフィスでは情報流出に直結する場合があるからです。
在宅勤務での主なリスク
自宅で業務を行う場合は、家族との協力関係も重要なセキュリティ対策となります。テレワーク中に席を離れた隙に子供が業務PCからゲームサイトにアクセスしてしまい、会社のシステム管理者から厳重注意を受けるといった笑い話のようなことも起きています。リモート会議や電話で新製品開発や人事・給与の打ち合わせをした際に、それを聞いた家族が友人に内容を伝えてしまい情報漏えいとなることも想定されます。
テレワーク、特に在宅勤務を行う場合は、PCなどの業務で使用する機器の扱いや守秘義務について家族の理解と協力を得ることが大切です。「テレワークご協力のお願い」といったお知らせを作成し会社から従業員の家族宛てに送付するなど、在宅勤務を円滑に行うための施策を検討することも大切です。テレワークのセキュリティは、従業員だけでなく同居する家族も対象として対策を行うことをおすすめします。
セキュリティ対策の基本
テレワークの形態にかかわらず、共通するセキュリティ対策として挙げられるのは以下の2点です。
- 従業員に割り当てるID管理
誰がいつ、どのような目的でサーバーにアクセスしているかを明確に把握するために、従業員に割り当てているIDの管理を厳重に行います。また、単純なパスワード設定では不十分なため、パスワード+指紋or顔認証などの多要素認証を徹底し、より強力なセキュリティを施します。 - テレワークで使用する機器は会社が貸与する
テレワークでは、従業員が自宅で利用している私物のPC、タブレット、スマートフォンの利用を認めている場合があります(BYOD)が、私物の場合は業務以外のアプリを会社で管理することができません。テレワークで使用する端末は会社が用意して、指定のアプリや暗号化設定などの管理も行います。そうすることで、ソフトウェア管理の安全性を飛躍的に高めることができます。
セキュリティが従業員と会社を守る
多様な働き方が浸透する現在、どのような環境でも業務を行うことができるように情報システムを整備することは不可欠であり、企業活動の生命線ともなっています。安心・安全に業務を行うセキュリティ環境を構築していくことは、これからの企業に課された必須課題です。経営者の方針と適切な管理、従業員とその家族が一体となって、不正や悪意を持ったあらゆる外部攻撃から自身そして会社を守りましょう。
目次へ戻る
3. ウイルス対策、端末管理、マルウェア対策をまとめたセキュリティサービス
ワンコイン・ビジネスセキュリティサービス2
企業に必要な基本的なウイルス対策やマルウェア対策、端末管理の機能を一つにまとめにしたセキュリティサービスです。PCの買い替え、買い増し時でもオンラインで簡単にクライアント追加ができるほか、複数端末を使用する場合でも、OSの違いを考えずにウイルス対策が可能です。さらに作業管理者が全デバイスのセキュリティ対策を一元管理することができます。
ワンコイン・ビジネスセキュリティサービス2
- *本記事中に記載の肩書きや数値、社名、固有名詞、掲載の図版内容等は公開時点のものです。
目次へ戻る
