テレワーク導入におけるセキュリティ対策を高めるための3つのポイント

働き方改革推進の一環として、各企業で導入が進んでいるテレワーク。
育児や介護をしながらの勤務や、満員電車など通勤時間の問題を解決手段として注目されています。

テレワークとは、情報通信技術(ICT)を活用した、場所や時間にとらわれない柔軟な働き方であり、自宅を中心にコワーキングスペースやサテライトオフィスなどで、自由度の高い働き方が可能です。

ノートパソコンやタブレット端末の普及などにより、インターネット環境が整備されていれば、どこでも業務を行えるようになっています。

新型コロナウイルス感染症の拡大により、感染を避けて自宅で業務ができるテレワークの注目度が増していることも、テレワークが注目を集める理由です。
テレワークの導入によって、緊急時にオフィスに出勤できない状況になっても、社員は自宅にて業務を継続できるようになります。

しかし、テレワークが比較的手軽に行えるようになった反面、セキュリティ面の問題を常に意識しておかねばなりません。

業務上の重要な情報の漏洩や、作業に用いる端末の紛失など、情報セキュリティ面のトラブルは絶対に避けたいものです。

今回は、テレワークの導入におけるセキュリティ面の課題と、その対策について説明します。

1. テレワークのセキュリティ面における3つの課題点


テレワークの導入は、企業と社員の双方にメリットのある働き方です。
企業側にとっては、社員の離職率の低下や遠方に住む人材の確保、交通費などの削減などのメリットがあります。
社員側にとっては、仕事と育児・介護の両立や、通勤時間の削減などが当てはまります。

テレワークの導入においては業種や職種が限られるなどの課題点はありますが、積極的に推進する企業が増加傾向にあります。

しかし、テレワークの導入はセキュリティの問題と常に隣り合わせであることを意識しなければなりません。

主に、以下の3つの課題点が浮かび上がります。

  1. パソコンが紛失・盗難に遭う可能性
  2. 情報漏洩の可能性
  3. インターネット環境の脆弱性

それぞれのセキュリティ面での課題点を順に解説します。

1−1. パソコンが紛失・盗難に遭う可能性

気分転換にと、コワーキングスペースやカフェ、図書館などでテレワークを行う場合、常に紛失・盗難のリスクがあることを理解しておきましょう。

外出先で目を離した隙にパソコンを盗難される、電車で移動中にノートパソコン入りの鞄を網棚に置き忘れて紛失する、などのケースが考えられます。

利用している端末ごと紛失してしまうと、個人情報だけでなく取引先の企業の情報までもが漏洩する恐れがあります
企業のイメージダウンや経営に深刻な影響を及ぼす恐れがあることを理解しておかなくてはなりません。

席を離れる際や移動中は常に、業務に使うノートパソコンやタブレット端末を持ち歩くようにすることで、セキュリティを高められます。

端末の紛失への対策ポイント
  • ノートパソコンなどの端末は常に持ち歩くようにする
  • ノートパソコンにログイン時のID・パスワードを設定する
  • 指紋や顔認証によるユーザ認証を設定する
  • ハードディスクドライブやUSBメモリのデータを暗号化する

1−2. 情報漏洩の可能性

自宅以外の環境でテレワークを実施する場合、常に情報漏洩の危険性が付きまといます。
大勢の人物が集まる飲食店や図書館などで作業をする場合、第三者による覗き見に注意せねばなりません。

ノートパソコンやタブレット端末を使用した業務を行う場合、作業中の画面から個人情報や企業情報が漏洩している可能性があるからです。

何気ないメールやチャットのやり取りだからと安心してはいけません。
プロジェクトの内容や取引先の情報など、外部に漏れてはまずい情報が多々あります。

情報漏洩への対策ポイント
  • 作業中は常に見られていることを意識する
  • 端末の画面に覗き見防止のフィルターを貼り、物理的に見られないようにする

1−3. インターネット環境の脆弱性

テレワークでは作業内容の共有や上司や同僚とコミュニケーションを取るために、インターネット環境が欠かせません。

ノートパソコンやタブレット端末など、業務に使う端末をインターネットに接続する際に、十分なセキュリティを施す必要があります。

セキュリティ対策が不十分だった場合、マルウェアやウイルス感染の被害に遭い、情報漏洩の可能性が高まるためです。

外部で作業をする際には、特にセキュリティ面に気を配らねければなりません。
飲食店や公共の場所で利用できるフリーの無線LAN(Wi-Fi)に接続した場合、思いもよらないトラブルに巻き込まれる可能性があります。

暗号化されていないフリーの無線LAN(Wi-Fi)は脆弱性が高く、通信を覗き見されてしまうリスクがあります。
また、フリーの無線LAN(Wi-Fi)の中には意図的に情報を盗むことを目的とした、なりすましのWi-Fiが含まれている場合があるため、安易に接続しないほうが賢明です。

インターネット環境の脆弱性への対策ポイント
  • ノートパソコンやタブレット端末にセキュリティソフトをインストールする
  • フリーの無線LAN(Wi-Fi)には接続しない
  • 企業側で安全性の証明されたWi-Fiを用意する

2. テレワークのセキュリティにおける考え方


主に自宅などで実施されるテレワークの場合、オフィスで業務を行うよりも厳重な情報セキュリティの構築が要求されます。

インターネットを経由した情報のやりとりや、社員以外の第三者の存在など、何らかの形で情報が漏洩する恐れがあるからです。

1章で説明した通り、データの管理方法や物理的な面など、セキュリティ面における3つの課題点が存在します。

企業の情報セキュリティ対策の実施においては、以下のポイントが重要です。

  • テレワークの実施時に保護すべき情報を把握する
  • 保護すべき情報の重要度に合わせてレベル分けを行う

情報セキュリティで注力すべき部分は、重要度のレベルが高く保護するのが難しい部分です。

保護すべき情報の中に一部分でも穴があると、他の部分のセキュリティをいくら強化したところで、情報の漏洩につながる恐れがあります。

2−1. セキュリティにはルール・人・技術の3つが大切

情報セキュリティ向上のためには、保護すべき全体のレベルを高めることが大切です。
そのためには、「ルール」・「」・「技術」の3つのバランスが取れていることが重要となります。
3つのポイントの詳細は、以下の通りです。

ルールとは

テレワークの業務の情報セキュリティ面において、その都度適切な判断を下しながら行うのは、社員個人の能力だけでは難しい部分があります。
情報セキュリティだけでなく、IT系の技術に対する知識や理解度には個人差があるためです。

そのため、情報セキュリティに対する明文化されたルールがあれば、社員はそれを厳守しながら業務を行うことができます。

テレワークはオフィスの業務と比べて、情報の扱い方や同僚とのコミュニケーションなどが大幅に異なります。テレワーク用に新たに整備されたルールを定めるのが効果的なのです。

情報セキュリティの扱いについては、社員個人の判断では限界があります。
そのため、社内で明文化されたルールを制定し、社員に厳守してもらうのです。
社内での勤務とは異なる情報の取り扱いにおいて、しっかりとルールを守ることが、リスクの低減につながります。

人とは

企業側で情報セキュリティにおける適切なルールを定めても、実行するのは人である社員です。
テレワークはオフィスとは異なり上司や社員同士の視線がないため、ルールがきちんと守られているかを把握するのは困難です。

そのため、情報セキュリティ対策における、「ルール」・「人」・「技術」の中でも、最も難しい部分とされています。

定めたルールをテレワークを行う社員がきちんと実行できるようにするには、資料による説明だけでなく、説明会を開くなど、一人ひとりに自覚を持ってもらうことが大切になります。

情報の漏洩によるリスクと、それを回避するための日常的な取り組みついての理解を深めてもらいましょう。

技術とは

上記の「ルール」と「人」だけでは、情報セキュリティは盤石とはいえません。
技術的な対策を導入することで、さまざまな脅威から貴重な情報を守ります。

マルウェアやウイルスへの対策、覗き見防止などの物理的な対策が含まれます。

このように、3つのポイントのバランスがきちんと保たれていることで、情報セキュリティのレベルの向上が期待できるのです。

反対に、いずれか一つでも問題があれば情報セキュリティの構築に穴が空き、思わぬトラブルにつながりかねません。3つのポイントのすべてを軽視せずに実施することが大切といえます。

根本的な社内コミュニケーション不足の問題は、〇〇にあり?!組織の生産性を下げる要因を除く方法とは

3. テレワークのセキュリティを高めるポイント【ルール】

2章で説明した、「ルール」についてさらに詳しく解説します。

テレワークを進めていくにあたって、情報セキュリティの問題で毎回頭を悩ましていたのでは、社員にとっての負担が増すばかりです。

情報セキュリティにおいては、専門的な知識を持つ人材でなければ判断を下せないような状況が多くあり、一般の社員に適切な判断を求めるのは、非常に難しいといえるでしょう。
そのため、情報セキュリティにおける明確なルールを設定します。

「不用意に外部のインターネットに接続しない」
「データのやり取りには最新の注意を払う」

上記のようなルールを作成することで、社員が厳守するだけでセキュリティ面の向上が期待できるのです。

3−1. 情報セキュリティポリシーを設定する

情報セキュリティの強化においては、基本となるルールである、「情報セキュリティポリシー」の設定が重要になります。 

情報セキュリティポリシーとは、情報セキュリティに関する方針や行動指針を文章としてまとめたものです。セキュリティガイドラインとも呼ばれます。

社員一人ひとりが熟知することで、企業における情報セキュリティを高いレベルで維持できるようになります。

参考:総務省・テレワークセキュリティガイドライン・第4版テレワークセキュリティ対策の解説

情報セキュリティポリシーは、上記の図のように構成されています。

  • 全体の基本となる「基本方針」
  • 基本方針に基づいて実施すべき内容を規定した「対策基準」
  • 対策基準で規定した内容の実行の手順を示した「実施内容」

これら3つの要素は、企業規模や経営理念、業界、業種によって異なるため、企業ごとに適切な情報セキュリティポリシーを設定する必要があるのです。

また、情報セキュリティポリシーは運用を通して常に改良を続けていく必要があります。
「PDCAサイクル」を回しつつ、常に最新のレベルに保ち続けることが重要です。

PDCAとは

Plan:計画、Do:実行、Check:評価、Action:改善の4つからなり、頭文字をとってPDCAサイクルと呼ばれる。
PからAを順番に回すことで、目的の改善や効率化が期待できる。

3−2. セキュリティポリシーの具体例

セキュリティポリシー(セキュリティガイドライン)にて設定すべきルールの一例を紹介します。

セキュリティポリシーの具体例

マルウェアへの対策
  • フィルタリングを用いて、危険なサイトへのアクセスを制限する
  • アプリのインストール時には申請を必要とする
  • テレワーク用の端末にはウイルス対策ソフトをインストールする
  • ランサムウェアの感染に備え、重要なデータのバックアップは社内データから切り離して行う

端末の紛失・盗難への対策
  • 台帳の作成など、貸し出す端末の管理を徹底する

不正アクセスへの対策
  • 無線LAN(Wi-Fi)へのアクセス時に十分に注意を払う
  • 社内システムへのアクセス時の認証方法を定める
  • インターネット経由で社内システムにアクセスする際の方法を定める
  • 社内システムのパスワードは強固なものにする

外部サービス利用の対策
  • チャットやSNSの利用ルールを明確にする
  • ファイル共有サービスの利用について制限をかける

出典:総務省・テレワークセキュリティガイドライン(第4版)におけるセキュリティ対策のポイント①

企業と社員の双方がルールを理解して厳守すれば、情報漏洩などのトラブル発生の可能性を大幅に低下させられます。
安心してテレワークを推進できるよう、ルールには漏れがないようにしておきましょう。

3−3. 定めたルールを厳守する意識づくりをめざす

セキュリティポリシーとして定めたルールを、テレワークを実施する社員のすべてが厳守できるような、徹底した意識作りを行わなければなりません。

そのためには、導入前の説明会の実施やマニュアルの配布、実施中におけるルールのリマインドが必須です。

テレワークの期間が長引くと、利用者の緊張の紐が解けてしまうかもしれません。メールやチャット、社内ポータルサイトを利用し、定期的な啓蒙活動を行うのが効果的です。

また、テレワークの利用者だけでなく、オフィスで業務にあたる社員もテレワークにおける情報セキュリティのルールを理解しておく必要があります。
社員全員でテレワーク実施の意図を理解し、ルールを明瞭なものにしておくのが大切であるといえます。

4. テレワークのセキュリティを高めるポイント【人】

情報セキュリティを高めるための2つ目のポイントである、「人」について解説します。

どれだけ適切なルールを定め、技術面で万全のセキュリティを施したとしても、実際にテレワークを行う社員の対応次第では、トラブルの可能性をゼロにはできません。

4−1. 企業内の立場ごとの認識を明確にする

テレワークの利用者が適切な判断と行動によって、スムーズに業務を遂行するためには、企業内における立場ごとの認識を明確にする必要があります。

テレワークの実施においては、経営層、システム管理を行う社員、テレワークの対象となるテレワークを行う社員のそれぞれの立場に合わせた、情報セキュリティに対する適切な認識が不可欠です。

4−2. 経営層の認識

企業を代表する経営層の認識としては、テレワークの情報セキュリティにおける、ルールの作成に重点を置くことが重視されます。

テレワークの最中に情報漏洩などのトラブルが発生すると、自社だけでなく取引先や顧客をも巻き込んだ大事件に発展する恐れがあります。
経営を揺るがす問題に進展する可能性があるため、経営層としてはトラブルを未然に防止するための対策を講じておく必要があるのです。

また、テレワーク実施のために必要な投資を惜しまないことも大切です。
十分な情報セキュリティが確保されるよう、導入や運用に必要な費用や人員の確保を優先しましょう。

4−3. システム管理を行う社員の認識

社内のシステム管理を担当する社員の認識としては、情報セキュリティの責任者としてさまざまなトラブルを想定し、対応策を練っておく必要があります。

テレワークの実施により、社員が自宅などから社内のシステムにアクセスすることは、情報漏洩のリスクと常に隣り合わせです。

フリーの無線LAN(Wi-Fi)への接続による不正アクセスや、ハードディスクやUSBメモリなどの記憶媒体へ接続した際にウイルスに感染する可能性があります。

社内のシステム管理者として、情報セキュリティの維持における技術面はもとより、社員への啓蒙活動などにも積極的に取り組みましょう。

4−4. テレワークを行う社員の認識

テレワークを行う社員の認識として、定められたルールの厳守と、情報セキュリティ技術の利用の徹底が重要です。

自宅で業務を行うテレワークの場合、オフィスで勤務している時よりも、コミュニケーションを取りづらいという問題が発生します。電話やメール、チャットによる報告や相談は、対面で話すよりも工数がかかる上に、ニュアンスが伝わりにくい場合があるためです。

特に、不審なメールを受信したり、ウイルス対策ソフトの挙動の不具合に気づいたりするなど、情報セキュリティ面の問題が発生した時には、システム管理者である社員に対して迅速な相談を行う必要があります。

また、テレワーク実施の最中は情報セキュリティ面においては自己管理できるよう、事前の説明会や配布されたマニュアルの内容を理解しておくべきです

5. テレワークのセキュリティを高めるポイント【技術】

情報セキュリティを高めるための3つ目のポイントである、「技術」について解説します。

システム管理を担当する社員が中心となり、テレワーク時の情報セキュリティにおける防衛の技術を導入しましょう。
以下の5つの技術的な対策は、テレワークの実施のために必須といえます。

  • 機密情報は暗号化しておく
  • マルウェアやウイルスへの対策を行う
  • 不正アクセスへの対策を実施する
  • 端末の紛失に備えておく
  • 無線LAN(Wi-Fi)の利用に注意する

順番に内容を確認しましょう。

5−1. 機密情報は暗号化しておく

テレワークを行う際には、個人情報などを含む機密情報を取り扱う場合があります。
可能な限り自宅で作業し、業務に使う端末を外部に持ち出さないことが重要ですが、もしもの際に備えて、データの暗号化を行いましょう。

データの暗号化により、第三者による不正操作や、端末が紛失・盗難に遭った際にも、情報の漏洩を防げる可能性が高まります。

ノートパソコンなどの端末内のデータを暗号化するには、以下の2つの方法があります。

  • ハードディスクドライブやUSBメモリ全体を暗号化する
  • ファイル単位で暗号化する

上記の方法の併用により、情報セキュリティの精度を高めることが可能です。

5−2. マルウェアやウイルスへの対策を行う

インターネットに接続する頻度の高いテレワークにおいては、マルウェアやウイルスへの対策を万全にしておく必要があります。

特に、テレワークを実施する社員のノートパソコンなどの端末には、ウイルス対策用のソフトをインストールするのは必須です。

私的な利用をしなくても、悪意のあるWebサイトへアクセスしたり、USBメモリなどの記憶媒体経由でウイルスに感染する可能性はゼロではありません。
情報漏洩のリスクを下げるためにも、技術面でのフォローが重要となります。

マルウェアやウイルスは常に進化し続けているため、防衛する側としては常に最新のバージョンにアップデートしておかなくてはなりません。

社員個人で対応するのが難しい場合も想定されるため、システム管理者によりタイミングを合わせて一斉に更新作業を行うのがよいでしょう。
各端末にインストールしたソフトの有効期間が切れていないかも、きちんと把握しておきましょう。

5−3. 不正アクセスへの対策を実施する

情報セキュリティ対策においては、利用端末やインターネット経由の不正アクセスの防止を徹底します。
テレワークを行う端末は、社内システムに対する不正アクセスの温床になる危険性があるためです。

テレワークを行う社員が社内システムにアクセスする際には、「多要素認証方式」の利用や、「電子証明書」を併用するのが効果的です。

多要素認証方式とは

IDやパスワードと定期的に更新されるワンタイムパスワードなどを利用し、「2段階認証」を実施することで、情報が漏洩した際の不正ログインを防ぐ。

また、「リモートデスクトップ方式」や「仮想デスクトップ方式」を利用する場合、テレワークを行う端末上ではデータの画像イメージのみで、実際のデータを扱っているわけではないため、端末が紛失・盗難に遭った際にも、情報が漏れる心配がありません。

リモートデスクトップ方式とは

テレワークを行う端末から、オフィスにあるパソコンのデスクトップ環境を遠隔操作したり、閲覧したりする方法。テレワークに用いる端末内に作業データが残らないメリットがある。

仮想デスクトップ方式とは

テレワークを行う端末から、オフィスのサーバ上にある仮想デスクトップにログインする方法。
オフィスに端末を用意する必要がない。

5−4. 端末の紛失に備えておく

何らかの理由で自宅でテレワーク業務ができない場合、飲食店や公共施設で行うケースがあります。
外部で業務を行う場合は、常に端末の紛失・盗難のリスクがあります。

万が一、第三者に端末が渡っても利用されないように、技術的なセキュリティを施しておきましょう。
以下のような対策を施すのが効果的です。

  • 端末にパスワードを設定する
  • 指紋認証、顔認証を設定する
  • 端末に一定時間触らないと自動ロックがかかるよう設定する

企業としては、社員に貸し出す端末は台帳を作成するなどし、きちんと管理することが望ましといえます。

そして何よりも、外部で業務を行う場合は、利用する端末を肌身離さず持ち運ぶことが大切です。
重要な情報を持ち歩いているという自覚を持ち、責任を持って情報を管理することを心がけましょう。

5−5. 無線LAN(Wi-Fi)の利用に注意する

テレワーク時のインターネット環境において、無線LAN(Wi-Fi)を利用するケースは多くあります。
特に、外部でテレワークを行う際には、暗号化されていない無線LANを絶対に利用しないことが大切です。

また、コワーキングスペースなどが提供している暗号化された無線LANの場合でも、パスワードが知られている場合は、第三者によるなりすましの可能性があることも否定できません。
外部の無線LANには不用意にアクセスしないことが大切ですが、やむを得ない場合は以下のポイントを厳守して利用しましょう。

  • VPN(公衆回線において、認証技術や暗号化の技術を利用し、保護された仮想的な専用線環境を構築する仕組み)を経由している
  • URLが「https:」で始まっているWEBサイトへのアクセスに限定する

また、自宅で無線LANを利用する場合も気をつけるべき点があります。

  • 無線LANルーターの通信を暗号化し、 推測されにくいパスワードを設定する
  • テレワークに用いる端末を更新して最新の状態に保つ

テレワークを行う場合は、どんな通信環境でも気を引き締め、常に情報漏洩の危険性がある点を意識しながら行う必要があるのです。

 

6. まとめ

各企業において、テレワークの導入へ向けての動きが加速しています。
社員のためにも迅速にテレワークの導入をめざしたいところですが、情報セキュリティ面の脅威やリスクを把握した上で、慎重に進めていきましょう。

テレワーク時の情報セキュリティを盤石なものにするためには、「ルール」・「人」・「技術」の3つのポイントが重要になります。

情報セキュリティを守るための厳格なルール、情報漏洩を防ぐための確かな技術。
そして、それを扱う人の判断力が合わさることで、情報セキュリティ対策が成立します。

悪意を持った第三者に情報を奪われないためにも、テレワーク中でも企業の一員であり、大切な情報を扱っているということを忘れずに、業務に取り組んでいきましょう。

組織に関する悩みを解消しませんか?改善するためのヒントや実践方法をご紹介!

テスト