テレワークの導入にはさまざまなセキュリティリスクが伴います。どのようなセキュリティリスクが潜んでいるのか、具体的な事例とともにリスクを解消するための方法を解説します。総務省のガイドラインとともに見ていきましょう。
テレワークで懸念されるセキュリティリスク
コロナウィルスの流行に伴う形でテレワークを導入する企業が増えています。テレワークでは、オフィスで働くときとは異なったセキュリティリスクが懸念されています。
セキュリティリスクに対するユーザーの不安や、総務省の取った対策についてまずは見ていきましょう。
漏えいやウィルス感染に不安の声
総務省が2020年7~8月に行った調査によれば、「テレワークを導入しない理由」として、15.4%が「情報漏えい等のセキュリティが心配だから」と回答しています。
テレワークでは、パソコンやスマホなどの情報管理を社員1人1人が行わなければならず、企業の監視が行き届きにくい状況が発生します。その結果、セキュリティに不安を抱く企業も少なくないようです。
出典:テレワークセキュリティに係る実態調査|総務省
総務省もガイドラインを作成し対策促す
テレワークを導入する企業が増加している一方、テレワークに伴うセキュリティリスクや対策についてのノウハウがない企業も多くあります。
そこで総務省では、テレワークにおいてどのようなセキュリティリスクが発生するのか、またその対策をまとめたガイドラインを作成し、企業に対して注意喚起を促しています。
出典:テレワークセキュリティガイドライン第4版|総務省
テレワークでのセキュリティ対策の要点
テレワークでのセキュリティ対策の要点について解説します。基本的な考え方や注力すべきポイントについて見ていきましょう。
総務省はルール・人・技術の重要性指摘
総務省のセキュリティガイドラインでは、セキュリティ対策を施すにあたって「ルール・人・技術」の3要素が重要であると指摘しています。
業務を行うに当たって、その都度リスクについて確認するのは効率的ではありません。そこで、「セキュリティリスクを伴わない安全な仕事の進め方」をルールとして定めておけば、従業員はルールを守ることで、安全に仕事を進めることができます。
一方でルールを敷いても、従業員がそれを守らなければ意味がありません。なぜそのルールが存在するのか、ルールを守らないとどうなるのかを、従業員(人)にしっかりと教育することも重要です。
ルールと人だけでは、サイバー攻撃やスパイウェアに対処することはできません。セキュリティソフトなどの技術の普及も、セキュリティを守る上で重要な要素です。
経営者・システム管理者・従業員の連携も大切
セキュリティリスクを回避する上では、経営者・システム管理者・従業員がそれぞれ一体となってしっかり取り組むことも重要です。
『経営者』は、設定したルールに無理がないか、情報の重要度と取り扱い方が見合っているか、適切な人材や予算を編成することが求められます。
『システム管理者』は、システム全体を管理する立場であることを理解し、暗号化やIP制限、アクセスログの監視、プログラムのアップデートなどを行うことが役割です。
『従業員』は定められたルールを守るとともに、重要な情報を扱う端末から怪しい外部サイトにアクセスしない、のぞき見などに注意するといった普段からできる対策をしっかりとることが求められます。
三者がそれぞれの役割を理解してセキュリティに向き合うことで、企業内のセキュリティレベルを向上させることが可能です。
テレワークで起こりうるセキュリティ問題
テレワークを導入するに当たり、どのようなセキュリティ問題が起きうるのかを、具体的に解説します。
マルウェア感染と情報漏えい
マルウェアとは、パソコンやスマホなどの端末に対して不正・有害な操作を実行するために作成された悪意あるコードのことです。
怪しいサイトやメールのリンク先にアクセスするなどして感染してしまうと、端末内の情報を抜き取られてしまうだけでなく、システムの改変や、勝手に操作されてデータを書き換えられるといった被害にもつながります。
従業員の端末を辿って企業のデータベースなど重要なシステムにアクセスされてしまう危険性もあります。テレワークを導入する企業の増加に伴いマルウェアの生成も活発化しているため、企業としては十分な対策を取る必要があります。
紛失・置き忘れや盗難
テレワークでは、社員に会社から端末を貸し出したり、社員が自らのノートパソコンやスマホを携帯して業務に当たることになります。
そのため社内で業務に当たるよりも、紛失や置き忘れ、盗難に遭うリスクが高くなります。
悪意のある第三者に盗難された場合、会社の重要情報が外に漏れてしまうかもしれません。こうしたリスクを防ぐために、社員は個別に端末をしっかり管理することが求められます。
公衆の場でのアクセスやのぞき見
カフェや駅などの公衆でのWi-Fiの中にはセキュリティレベルが低いものがあり、第三者に情報を盗み見られてしまう可能性が高まります。特に鍵の掛かっていない接続先はリスクが高くなっています。中には、のぞき見のためにわざと認証制限を付けていない悪質なWi-Fiもあります。
また、端末をのぞき見る第三者にも注意しなければなりません。不審な人物が背後に経っていないかの確認や、ディスプレイにフィルターを付けて自分以外の角度からは見えにくくするといった工夫を、従業員に行ってもらいましょう。
セキュアなテレワーク実現ための4カ条
安心かつ安全にテレワークを行うための4つのポイントを紹介します。自社の従業員がテレワークを行う際に、以下のことを守ってもらうよう徹底しましょう。
端末やUSB、書類などの管理の徹底
物理的な対策として、パソコンやスマホなどの端末や社内データの入ったUSB、書類などの資料の管理を徹底させることをルール化しましょう。
重要な書類やデータは持ち出さない、データはダウンロードせずに直接ストレージにアクセスして閲覧するといったことを行い、重要なデータを社員が管理しない体制作りが必要です。
また端末やUSBは万が一、第三者に拾われたとしても安易に覗かれないように、ロックを掛けることを徹底しましょう。
安全なネットワークへの接続
社内のサーバーにアクセスする場合に、安全に接続できる環境を構築しましょう。
VPN(Virtual Private Network、仮想専用回線)による接続や、鍵の掛かった安全なWi-Fiから接続するようにルールを作成します。会社がテレワークを行う従業員にWi-Fiルーターを貸し出すのも有効です。
セキュリティが低い公衆のWi-Fiからの接続を行わない、自宅の回線でもパスワードの変更やVPN接続を行うなど、安全に接続してもらえるようにすることが重要です。
OSの更新やセキュリティソフトの導入
テレワークに使う機器のOSやアプリケーションは常に最新のバージョンにアップデートするようにしましょう。会社貸与の機器はもちろん社員自身の機器を使う場合も徹底することが必要です。OSの最新バージョンには、脆弱性の改善やセキュリティ強化の情報も含まれています。旧バージョンで放置してしまうと、この脆弱性を悪質なハッカーなどに突かれてしまう可能性が高まります。
セキュリティソフトの導入も必要です。その際、サポートがしっかり受けられるもの、情報の暗号化などウイルスチェック以外に必要な機能があるかどうかも考慮してソフトを選ぶと良いでしょう。
万一に備えた緊急措置や連絡体制の整備
情報漏えいやサイバー攻撃がないことが一番ですが、万が一、情報が漏えいしてしまったり、不正なアクセスによってデータが書き換えられるなどの被害にあってしまったりした場合のマニュアルを作成しておくことも大切です。
そうした被害にあった従業員がどのように行動すれば良いのか、誰に連絡すれば良いのかを明確化することで被害を最小限に防ぐことができます。
インシデントが隠蔽されず、速やかな初動とその段階で被害を抑えることが、会社を守ることにつながります。
まとめ
テレワークのセキュリティは社員個人で管理する比重が大きく、セキュリティ対策をしっかり行っておかないと、情報漏えいなどの被害につながってしまう恐れがあります。
経営者・システム管理者・従業員が協力し、それぞれがしっかりとルールに則ったセキュリティ対策に取り組むことで、起こりうる被害を未然に防ぐことが可能となります。