近年では、働き方改革や生産性向上、コスト削減、BCP対策など、さまざまな目的でテレワークを導入する企業が増加しています。テレワークを導入するメリットは数多くありますが、セキュリティに脆弱性があると、不正アクセスによる社外秘の情報の漏洩や改ざんなど、トラブルにつながることもあります。当記事では、テレワークにおけるセキュリティリスクやセキュリティ対策について徹底解説します。
目次
テレワークとは
テレワークとは、「tele = 離れた」と「work = 働く」をあわせた用語であり、時間や場所にとらわれない柔軟な働き方のことです。テレワークには、さまざまな形態があります。たとえば、在宅勤務やモバイルワーク、サテライトオフィス勤務、ワーケーションなどが挙げられます。
テレワークを導入すれば、通勤のストレスがなくなったり、育児や介護と仕事の両立ができたりするなど、従業員の満足度の向上が期待できます。また、労働生産性の向上や多様な人材の確保、コストの削減など、企業側にも多くのメリットがあります。ただし、勤怠管理の問題やセキュリティリスクが高まることが懸念されています。
テレワークにおけるセキュリティリスク
ここでは、テレワークにおけるセキュリティリスクについて詳しく紹介します。
セキュリティリスク①:端末の紛失や盗難
テレワークを実施する場合、オフィス外にノートパソコンやスマホなどのデバイスを持ち出すことにより、端末の紛失や盗難のリスクが高まります。とくに顧客情報などの機密性の高いデータの保存されている端末が紛失・盗難してしまうと、情報漏洩のリスクが高まり、企業の信頼性を損なう恐れがあります。
紛失や盗難を防ぐには、たとえ短時間の離席の場合でも、端末を常に持ち運ぶことが大切です。また、万が一端末が紛失・盗難してしまったとしても、社外秘の情報が漏洩しないように、パスワードを設定したり、必要以上のデータを端末に保存しないようにしたりすることが重要といえます。
そして、端末の管理者は、デバイスの管理を徹底し、テレワーカーに対して、利用方法をきちんと周知することも大切です。
セキュリティリスク②:社外ネットワークからの情報漏洩
カフェやレンタルスペースなどでテレワークを実施する場合には、公衆Wi-Fiの利用方法について気を付ける必要があります。公衆Wi-Fiのなかには、通信の暗号化が施されていないものもあり、悪意のある第三者により、通信内容を盗み見られてしまう恐れがあります。なお、端末によっては、接続するWi-Fiが暗号化されているかどうかを確認できる場合もあるため、公衆Wi-Fiを使用する際には、十分に注意しましょう。
また、自宅でテレワークを実施する場合には、家庭内ネットワークのセキュリティ強度についてきちんと確認することが大切です。企業内ネットワークは、セキュリティ対策に注意を払って構築していることが多いですが、家庭内ネットワークは、従業員それぞれの構築方法でセキュリティ強度は異なります。そのため、セキュリティに脆弱性があると、不正アクセスやウイルス感染の原因となる可能性もあります。
このように、テレワークでは、オフィス環境と異なるネットワークを利用する場合、情報漏洩などのセキュリティリスクが高まることに注意しましょう。
セキュリティリスク③:クラウドサービスの脆弱性
クラウドサービスは、オンプレミス環境のように、自社でセキュリティ体制などを細かくカスタマイズするわけでなないため、ベンダーやサービスによってセキュリティ強度は異なります。また、テレワークを導入すると、クラウドサービスを利用する従業員は増加します。そのため、クラウドサービスに脆弱性があると、不正アクセスによる情報漏洩のリスクが高まります。
そして、クラウドサービスのアクセス権限や共有設定においてミスがあると、セキュリティリスクは高まるため、クラウドサービスの運用者は注意して管理する必要があります。
このように、クラウドサービスはベンダー先によって、セキュリティ強度は異なるため、事前にセキュリティ体制についてきちんと確認しておくことが大切です。また、クラウドサービスの利用方法について、事前にルールを定めておくのがおすすめといえます。
セキュリティリスク④:マルウェアへの感染
インターネット上には、ウイルスやワーム、トロイの木馬などのマルウェアが数多く存在しています。テレワークを実施するうえで、インターネット環境を使用する機会は増加するため、マルウェアに感染する可能性も増加します。
マルウェアに感染すると、PCの動作が遅くなったり、データの破損や流出が発生したりすることがあります。そのため、企業の信頼性や労働生産性の低下を招く可能性があります。
そこで、マルウェアに感染させないために、セキュリティ対策ソフトをインストールすることが大切です。また、マルウェアは常に進化を続けているため、頻繁にセキュリティ対策ソフトをアップデートすることが重要といえます。さらに、従業員のITリテラシーを高めるための社内教育を実施するのがおすすめです。
テレワークにおけるセキュリティ事故の事例
ここでは、テレワークにおけるセキュリティ事故の事例についていくつか紹介します。
USBメモリの紛失
テレワークを導入すると、オフィスから顧客情報や社内情報などが記録されたUSBメモリを持ち出す機会が増加する企業もあります。ただし、USBメモリの不適切な管理により紛失してしまい、個人情報の流出に関するセキュリティ事故に発展した事例があります。
テレワークにより、USBメモリを持ち出す機会が増加することにより、紛失が発生するリスクも高まります。そのため、USBメモリに保存するデータを必要最低限にすることが大切です。また、遠隔制御により、データの消去ができるようにしておくなど事前に対策を練っておくことも重要といえます。
アクセス権限の設定ミス
テレワークを推進するにあたって、クラウドサービスなど、新しいITツールを導入する機会があるかもしれません。たとえば、電子決済サービスを提供している企業のアクセス権限の設定の誤りにより、取引先情報を保存しているデータベースに対して不正アクセスが発生したという事例があります。
テレワークに必要なITツールを運用する際に、アクセス権限の管理が徹底されていないと、外部から不正アクセスを受ける可能性があります。そのため、アクセス権限の設定に関するルールをあらかじめ決めておくことが大切です。また、クラウドサービスを導入する際は、セキュリティ強度について事前に調べておくことが重要といえます。
公衆Wi-Fiからの情報窃取
オフィスや自宅以外でテレワークを実施する際に、公衆Wi-Fiを利用する機会があるかもしれません。ただし、公衆Wi-Fiは、ユーザー側から認証が十分にできず、公衆Wi-Fが正規のものかどうかを把握するのが難しいことも少なくありません。たとえば、公衆Wi-Fiにアクセスしてきたユーザーを狙い、アカウント情報や機密性の高い情報が窃取されたという事例があります。
テレワークでは、信頼できるネットワークしか利用しないようにするのが安全でしょう。万が一、公衆Wi-Fiを利用する場合は、通信の暗号化がきちんと施されているかを確認することが大切です。また、テレワーク勤務者に公衆Wi-Fiの利用方法についてきちんと周知することが重要といえます。
テレワークにおけるセキュリティ対策のポイント
ここでは、テレワークを導入・運用するうえで、セキュリティ対策のポイントについて詳しく紹介します。
セキュリティガイドライン・ルールを策定する
テレワークを実施するにあたって、自社の社風や業務にあわせたセキュリティガイドラインを策定することが大切です。
総務省では、企業が安心してテレワークを推進するための指針として、セキュリティ対策の考え方や対策例を示した「テレワークセキュリティガイドライン」を策定し公表しています。自社のセキュリティガイドラインを策定するにあたって、総務省の資料を参考にするのがおすすめです。また、定期的に見直しをおこなうことで、テレワークのセキュリティ体制を高めることができます。
セキュリティガイドラインが策定できたら、具体的なルールを策定しましょう。ルールが細かく決められていれば、テレワーク勤務者は安心して業務に取り組むことができます。そして、セキュリティガイドラインやルールは策定するだけではなく、従業員にきちんと周知する機会を設けることが大切です。
セキュリティ対策ソフトを導入する
マルウェア感染の対策をおこなうために、セキュリティ対策ソフトを導入することが大切です。また、マルウェアは日々進化しているため、定期的にセキュリティ対策ソフトをアップデートすることも重要といえます。
ただし、セキュリティ対策ソフトの導入やアップデートに時間や手間がかかり、本来の業務に集中できない可能性もあります。そのため、セキュリティ対策と労働生産性のバランスを考慮して、セキュリティ対策ソフトの導入・運用をおこなうことが大切です。
トラブル発生時の対応方法を決めておく
あらゆるセキュリティ対策を講じても、トラブルが発生する可能性をゼロにすることは難しいです。そこで、セキュリティに関するトラブル発生時の対応方法を事前に決めておくのがおすすめといえます。
まずは、過去のセキュリティ事故の事例を参考に、自社で発生する可能性のあるトラブルの洗い出しをおこないましょう。そして、一つひとつのトラブルに対して、対応方法を定めておくと、実際にトラブルが発生したときでも、スムーズに対応できます。
テレワークで実施したいセキュリティ対策・ツール
ここでは、テレワークを導入・運用するうえで、おすすめのセキュリティ対策ツールについて詳しく紹介します。
ログ管理・ログ監視ツール
ログ管理・ログ監視ツールを導入すれば、ユーザーの不正アクセスを検知できるため、情報漏洩の対策をおこなうことができます。たとえば、ツールによっては、異常なログが発見されるとアラートとしてメールを送信する機能があります。そのため、不正アクセスを早期発見し、素早く対応することが可能です。
また、ログ監視を随時おこなっていれば、不正アクセスを受けた時間や機器、情報を特定することができます。そのため、セキュリティトラブルの証拠を収集して原因を追究し、同様の事象が発生しないように対策を練ることが可能です。
ウィルス対策ソフト
テレワークを実施するうえで、ウイルス対策ソフトは必須ともいえます。ウイルス対策ソフトを導入すれば、スパムメールを自動で振り分けたり、ウイルス感染をチェックして機能を制限したりすることが可能です。また、 マルウェアの種類や被害の範囲を特定できるソフトもあります。
自社のセキュリティ対策のニーズにあわせて、十分な機能の搭載されたウイルス対策ソフトを導入することが大切です。
暗号化ソフト
テレワークを実施する場合、デバイスの紛失や盗難のリスクは高まります。そこで、暗号化ソフトを利用し、通信やデータを暗号化すれば、解読されない限り、第三者に情報を盗まれる心配はありません。
ただし、データ・ファイル・メールなど、暗号化が必要となる情報は広範囲にわたります。そのため、自社のセキュリティ課題から、暗号化すべき情報の範囲を明確にし、適切な暗号化ソフトを導入することが大切です。
MDM
MDMとは「Mobile Device Management」の略称であり、スマホやタブレットなどのモバイル端末を一括で監視・制御・操作を実施できるモバイルデバイス管理ツールのことです。
MDMを活用すれば、端末が紛失・盗難したときに、遠隔操作でデータを消去したり、ロックをかけたりすることができます。また、設定を一元管理できるため、適切にアクセス権限を設定したり、アクセスログ・操作ログを取得したりすることが可能です。
セキュリティ対策をして安全なテレワークを!
テレワークを実施するにあたって、端末の紛失や盗難、公衆Wi-Fiの利用による情報漏洩、マルウェアの感染など、さまざまなセキュリティリスクがあります。デバイスやツールに脆弱性があり、不正アクセスを受けると、重要な情報は流出し、企業の信頼性を損なう可能性があります。そのため、セキュリティ対策のポイントを押さえ、自社に適したツールを導入して、安心かつ安全なテレワークのできる環境を整備することが大切です。