テレワークの導入を検討するにあたって、テレワークにおけるセキュリティ対策について詳しく知りたいと考えている企業担当者の方もいることでしょう。
本記事では、そのような方に向けてテレワークにおいて想定されるあらゆるセキュリティリスクや、検討したいセキュリティ対策について解説しています。ぜひ参考にしてみてください。
テレワークにおいて想定されるセキュリティリスク
テレワークを導入することにより利便性が向上するメリットはあるものの、さまざまなセキュリティリスクも発生してしまいます。
ここでは、テレワークにおいて想定される4つのセキュリティリスクについて解説します。
マルウェアの感染リスク
マルウェアとは「悪意のあるソフトウェア」の意味を持つ「malicious software」を略した用語で、コンピュータやサーバーなどに損害を与えるためなど、悪意を持って設計されたソフトウェアを指します。企業の機密情報や金融情報が狙われることもありますので、気を付けなくてはいけません。
マルウェアの種類は、ファイルを介して感染させるウイルスや、プログラムのインストールにより感染するトロイの木馬、ユーザーのファイルやデータを暗号化するランサムウェアなどが挙げられます。
メールの中にあるURLをクリックしたり、Webサイトを見たり、ソフトウェアをインストールしたりすることによって、さまざまな経路から感染する可能性があります。同じネットワークを使用している他の端末に感染することもあり、社内や家庭内で被害が広がる例もあります。
企業のパソコンであればセキュリティ対策ソフトがインストールされていることが多く、安全性は高くなります。しかし個人のパソコンを使う場合、そのようなセキュリティ対策が施されていない、または十分ではないことも少なくないため、感染のリスクも高まってしまうのです。
通信の傍受リスク
自宅だけでなく、ホテルやカフェを利用して仕事をする人もいるでしょう。近年ではそのような場所でインターネットに接続するために、無線LANが用意されているところも多々あります。
モバイル通信回線がない端末でもインターネットを無料で使えるため、またはスマートフォンのパケット通信料の節約になるため、多くの人が活用しています。しかし、通信が暗号化されていない場合、第三者への情報漏えいが起こる危険があります。
特に不特定多数が利用する公衆無線LANを使う人の中には、他者の情報を意図的に盗む人がいる可能性があるため、注意が必要です。悪意で偽のアクセスポイントが設置されることもあります。
内部不正のリスク
情報漏えいの危険は外部からだけでなく、内部不正によってもたらされることもあります。企業は、社員による機密情報の持ち出しに注意を払い、管理を徹底しなくてはなりません。
IPA(情報処理推進機構)が発表した「情報セキュリティ10大脅威2020脅威ランキング」の中で、「組織」向け脅威の第2位に「内部不正による情報漏えい」がランクインしていることからも、リスクの高さが分かるでしょう。特にテレワークを導入することで周囲の目がなくなるため、内部不正を行いやすい環境を作り出す恐れがあります。
・参考サイト:https://www.ipa.go.jp/files/000081291.pdf
端末の紛失・盗難リスク
テレワークを行うために、企業の貸出パソコンやUSBメモリなどの機器や記録媒体を外部に持ち出すこともあるでしょう。社員は、その際の紛失や盗難に気を付けなければなりません。また、会社から自宅に持ち帰るだけでなく、ホテルやカフェで仕事をするために持ち歩く場合は一層そのようなリスクに注意が必要です。トイレなどで離席する際などに画面を盗み見られる恐れもあるからです。
テレワークにおいて検討したいセキュリティ対策
テレワークでは、オフィスワークのとき以上にセキュリティ対策を講じる必要があります。
ここからは、上記で紹介したリスクを踏まえて、検討すべき対策について見ていきましょう。
端末に関するセキュリティ対策
まず、貸与する端末と個人IDを紐づけ、管理することが大切です。端末管理ツールを利用すれば、遠隔で端末の操作ができます。誤ってデータを削除したり、不要なアプリケーションをインストールしたりしたときの感知機能もついているため、そのような事態が起きても迅速な対応が可能です。
また、社員自身も借りている端末の置き忘れなど、紛失しないように気を付けることはもちろんですが、不正ログインを防ぐためにも、IDとパスワードだけでなく、生体認証など複数の認証方法を組み合わせる多要素認証を取り入れたり、ハードディスクを暗号化したりするなどの対策をとりましょう。
さらに、定期的なOSの更新を徹底させることや、ウイルス対策ソフトの導入も効果的です。OSの更新をしないままパソコンを使うと、ウイルスに感染しやすくなります。
通信に関するセキュリティ対策
公衆無線LANを利用する場合は、そのサービスが暗号化されているかどうかの確認が大切です。暗号化されていない場合は第三者が介入しやすいため、仕事に用いる端末でそのような無線LANに接続することは禁止しなければなりません。
また、VPNを導入して社内ネットワークにアクセスできるように設定しておくことも効果的です。VPNは「Virtual Private Network」を略した用語で、仮想専用回線とも呼ばれます。インターネット上に仮想の専用回線を作ることで、第三者による情報盗み見などの脅威を避け、安全なルートを介して情報のやり取りが可能になります。
VPNの導入によってデバイスや通信内容が暗号化されるため、安全性が高まります。オフィスでしかアクセスできない情報を安全に閲覧できるため、テレワークでも作業効率向上が期待できるでしょう。
データに関するセキュリティ対策
端末上のデータを暗号化したり、VDIを導入したりするなどの対策も効果的です。VDIは「Virtual Desktop Infrastructure」の略で、仮想デスクトップを意味しています。サーバー上に仮想のデスクトップを作り、ネットワーク経由でアクセスするものです。VDIを導入すれば、使用している端末にデータが保存されないため、USBメモリを紛失してデータが盗まれるなどの心配がありません。
また、セキュリティ対策ソフトのアップデートもサーバー側で一括管理できるため、個人の作業負担を減らせます。テレワークでパソコンを使う場合も、オフィスにあるパソコンを使うのと同様の作業を行える点が便利です。
アクセスに関するセキュリティ対策
アクセスログや操作ログの監視をすることで、社員による内部不正の早期発見につながるでしょう。また、社員に対して事前に監視することを伝えておけば、不正行為を牽制する効果もあります。
なお、異常が起きていることにいち早く気付くためには、常時のログを可視化して、その状態を確認しておくことが重要です。そうすることで、いつもと異なる状態の際に発見しやすくなります。
また、企業の情報資産へのアクセス権限を、必要最低限の付与にとどめるなど、アクセス制限することで、不要なアクセスを減らせます。この方法では、アクセス権限を持っている人からの内部不正を阻止することは難しいですが、上記のログ監視を併せて実行することで、不正アクセスの防止が可能です。
さらに、強度の高いパスワードを設定することで、第三者が社内システムに簡単にアクセスできないようにしましょう。
社内体制に関するセキュリティ対策
端末や通信へのセキュリティ対策は重要ですが、端末を使用して業務を行う社員一人ひとりのセキュリティ意識も大切です。
テレワーク導入に伴い改めてセキュリティ教育を行い、個人の意識を高めましょう。仕事で使う端末にツールやアプリケーションを勝手にインストールするなど、リスクを冒さないように徹底しなくてはいけません。
また、セキュリティガイドラインを定めて、それに沿った利用を行い、貸与端末や情報資産の管理に責任を持たせることが必要です。
さらに、セキュリティ事故が起きた場合に備えて連絡体制を整えましょう。そうすることで、万が一の際も迅速な対応が可能になり、被害を最小限に抑えられます。
ワークフローとは?メリット・デメリットを解説
まとめ
社外で業務を行うテレワークには、マルウェアの感染や通信の傍受など、さまざまなセキュリティリスクが伴います。このようなリスクを最小限に抑えるために、社員一人ひとりのセキュリティ意識を高めたり、端末や通信に関するセキュリティ対策を施したりすることは不可欠です。
また、テレワークを実施するにあたり、社内申請・承認業務の効率化に貢献する「AppRemo」の導入を検討するようおすすめします。「AppRemo」は、パソコンだけでなく、スマートフォンやタブレットからも、システム上で書類の申請・承認作業が行えるワークフローシステムです。このシステムを活用することで、テレワーク中に書類を提出するためにオフィスに出社する必要がなくなるため、書類の紛失などのセキュリティリスクを減らすのにも役立ちます。
