2020.06.22
新型コロナウイルス感染防止のための外出自粛の影響で、テレワークを導入する企業が急増しました。2020年4月に発表された、従業員数1,000人以上の企業を対象にした調査によると、45%の企業が新型コロナの拡大をきっかけにテレワークを導入しています。
https://www.dreamarts.co.jp/news/press-release/pr200514/
(ドリーム・アーツ社調べ)
以前からテレワークは、ワークライフバランスの実現や少子高齢化時代における人手不足の解消につながる方法として期待されていましたが、新型コロナウイルスの影響で導入が加速したといえるでしょう。テレワークは時間や場所を有効活用できる働き方として注目される一方、セキュリティ面で注意すべき点が多くあります。本記事では、テレワーク導入に潜むセキュリティのリスクを挙げるとともに、取り入れるべき対策をご紹介します。
普段、会社で仕事をする時にセキュリティ面で気を付けているポイントはいくつかあると思いますが、テレワークという環境において一層注意しなければならないセキュリティリスクを挙げてみましょう。
テレワーク実施の際は、会社から支給された端末やスマートフォンなどのデバイスを社外に持ち出すことになり、資産の管理が難しい場合があります。会社から自宅への端末の運搬、サテライト環境での利用、自宅から会社への端末の運搬の際に意図せず置き忘れや紛失を起こしてしまうかもしれません。悪意を持つ人に持ち去られ、ハードディスクが抜かれると、端末内に保持されている機密データが漏洩してしまうリスクもあります。
テレワーク端末に私物の外部記録媒体やスマートフォンなどの外部デバイスが接続されると、機密データが持ち出されるリスクがあるだけではなく、外部デバイス自体を紛失してしまう恐れもあります。
また、外部デバイスの利用を禁止していない場合、自宅にある私物の端末と会社から支給されたテレワーク端末の両方で同じUSBメモリを利用することも考えられるでしょう。万が一私物の端末がマルウェアに感染している場合は、USBメモリを経由してテレワーク端末がマルウェア感染してしまうリスクもあります。
近年、ファイル転送やデータ保存に使える無料のクラウドサービスが普及していますが、セキュリティ対策が不十分なものも多く、注意が必要です。
駅やカフェなどの公衆無線LANスポットでは、通信内容が暗号化されていない場合があります。通信内容が暗号化されていないと、通信が悪意のある攻撃者などに盗聴され、パスワードなど重要なデータが漏洩してしまう恐れがあるのです。暗号化されていても、暗号化の方式によっては脆弱性がある場合もあり、テレワークで利用する際には注意が必要です。
そのほかにも、テレワークで利用する端末が古いバージョンのウイルス対策ソフトウェアを使用していたり、ウイルス対策ソフトウェアのパターンファイルやOSのセキュリティパッチが最新でない場合は、マルウェアに感染するリスクが高まります。最近はウイルス対策ソフトウェアが入っていても検知が難しい「未知のマルウェア」が攻撃に使用されており、テレワーク環境の端末がマルウェアの標的となり、そこからVPN(Virtual Private Network)やRDP(Remote Desktop Protocol)を経由して社内のネットワークにマルウェア感染が拡大することも考えられます。
企業や組織の特性に合わせて注意すべき項目はさまざまですが、ここでは総務省のガイドラインに沿って、テレワークをするにあたっての重要なポイントをご紹介します。
テレワークでは職場と異なる環境で業務を行うため、使用するツールやネットワークのセキュリティ、およびテレワークで働く際の情報の取り扱い方に、新たなルールを定める必要があります。情報の機密性と現場の運用両方に即した統一ルールを作成し、運用できるようにしましょう。
新たなルールを定めても、従業員一人ひとりがその重要性をしっかりと理解し、実際に守らなければ意味がありません。定期的な教育・訓練を通じて、セキュリティに対するリテラシーを高めることが重要です。
ルールや教育だけでは対応できない部分を補うため、情報システムの導入など技術的な対策も重要です。技術的な対策の基準は社内の情報セキュリティ部門や、セキュリティの専門家の支援も受けながら、適切に決める必要があります。
では実際にどのような対策を取り入れるべきか確認していきましょう。
テレワークで利用する端末のハードディスクやUSBメモリなどの外部記録媒体、端末内のデータを暗号化することにより、移動時にPCの紛失・盗難が起きたとしても第三者によりデータを窃取され漏洩するリスクを低減できます。ハードディスクやデータを簡単に暗号化できるツールを導入し、日常的に対策を行いましょう。
情報漏洩やマルウェア感染を防ぐために、業務上で必要ではない外部デバイスの利用は控えましょう。具体的には、私物のスマートフォンやUSBメモリ、外付けハードディスクなどです。ルールでの徹底が難しい場合は、物理的に利用制御を行うツールの導入も有効です。
テレワークでクラウドサービスを利用する際には、個人で契約するのではなく、会社が利用を許可している企業向けのクラウドサービスを利用しましょう。利用の際には、不特定多数のユーザーにアクセスが許可されていないかの確認も必要です。また、万が一攻撃者に不正アクセスされた場合にも情報漏洩が起こらないよう、クラウドサービスに保存するデータは暗号化するようにしましょう。ID/パスワードの窃取などクラウドサービスを標的としたサイバー攻撃も確認されているため、テレワークでの利用時にはルールを整備し、従業員に徹底する必要があります。
テレワークで利用する端末は、公衆無線LANなどセキュリティが十分に対策されていないネットワークに接続しないよう制御することが有効です。例えば、社内ネットワーク(VPN)を強制的に経由する仕組みにすることで、社内と同等のセキュリティレベルを適用することができます。万が一VPN回線が逼迫し業務効率に影響を及ぼすような場合は、テレワークで利用するPCから特定のクラウドサービスに直接接続する仕組み※の導入も検討しましょう。
インターネットブレイクアウト:ファイアウォールやゲートウェイ、VPNを通さず、直接インターネットやクラウドサービスにアクセスできるようにする仕組み。
テレワークが普及するにつれて、セキュリティリスクの問題も顕在化してきました。安心してテレワーク業務を行うためには、導入と同時に、適切なセキュリティ対策が求められます。有効なツールの導入に加え、従業員へのセキュリティ教育と訓練も定期的に実施しながら、安全なテレワークを推進しましょう。