2020年3月頃から、新型コロナウイルスの感染防止対策として自宅勤務が推奨されることとなり、テレワークの需要が急激に高まりました。しかし、テレワークによる勤務は社内のシステム運用部門などの保護下にあるネットワークに直接接続することができないため、注意しなければ情報漏洩などのリスクが高まる側面もあります。
今回は、テレワークのセキュリティにおける課題と対応策について解説していきます。
※この記事を書いているVector Venture Supportを運営している株式会社ベクターホールディングスが発行している「起業のミカタ(小冊子)」では、更に詳しい情報を解説しています。無料でお送りしていますので、是非取り寄せをしてみて下さい。
テレワークで生じるセキュリティ課題と対応策について
テレワークでは自宅や公共の場所でPCを広げて使うため、オフィス作業だと想定されていなかった課題が出てきます。具体的にどういったセキュリティリスク及び対応策について解説しますので、安全性を高めるためにもしっかり理解しておきましょう。
公共の場での覗き見による情報漏洩
テレワークのメリットの一つに、働く場所を限定されないことが挙げられます。そのため従業員が自宅やサテライトオフィス以外にも、移動中やカフェで作業をするケースも考えられるでしょう。しかし公共の場でパソコンやスマートフォンなどを使って仕事をする場合は、第三者から画面を覗き見され、そこから企業の機密データが意図せず流出してしまうことも考えられます。
対応策として、PC画面や利用端末に覗き見を防止する液晶保護フィルムを利用することを義務付けることを義務づけたり、公共の場で作業に制限をかけるなどの対策をとりましょう。
PCの紛失、盗難
PCやUSBメモリーなどを持ち歩くと、紛失や盗難のリスクにさらされます。他人の手に渡ってしまうと情報漏えいに直結します。
対応策として、盗まれたりしないよう用心するだけでなく、盗難防止ワイヤーの利用も検討しましょう。そのうえで、デバイスが盗まれた場合に備えてデータを暗号化しておけば情報漏えいを防げます。情報が漏えいしなくても、重要なデータを失うと取り返しのつかない事態に陥りかねません。そこで、データは随時バックアップして安全な別の場所に保管しておきましょう。バックアップがあれば、ある程度データを復旧できます。バックアップは、紛失や盗難に限らず、人為的なミスやPCのトラブル、ランサムウェア被害などでデータを失ったときにも役立ちます。
Wi-Fiやメールの盗聴
駅やカフェなどで提供されている無料の無線LAN(Wi-Fi)は便利ですが、誰でも接続でき、常に盗聴の危険がつきまといます。
対応策として、重要なデータを送受信する際は暗号化を心がけましょう。とりわけメールは基本的に暗号化されないので、暗号化した添付ファイルをやり取りするとよいでしょう。但し、暗号化した圧縮ファイルをメールで送り、別のメールで復号用パスワードを送るという暗号化プロトコルは、セキュリティ対策として意味がないので避けましょう。パスワードは、メール以外の通信手段で伝えなければなりません。ファイルそのものを暗号化するには、専用のソフトを使用するとよいです。そのほか、クラウドサーバー上へファイルを保管しダウンロードURLを共有する「ファイル転送サービス」や「オンラインストレージ」も有用です。無料サービスが広く使われているものの、セキュリティが懸念されるため、法人向け有料サービスの利用を推奨します。
紙媒体やUSBメモリの紛失による情報漏洩
紙媒体での情報資産や、データの共有や保存に用いられるUSBメモリには、紛失による情報漏洩の危険性があります。また、紙媒体の資料やUSBメモリが盗難に遭う可能性も否定できません。
対応策として、テレワークを実施する際には、できる限り紙媒体やUSBメモリの不必要な持ち出しを禁止するなどして、オフィスエリアから外に出さないといったルールを設けましょう。
クラウドサービスからの情報漏洩
インターネット上にデータを保存し、複数の端末で気軽にデータのやりとりができるクラウドサービスにおいても、便利な反面、情報漏洩のリスクを忘れてはいけません。クラウドサービス上のデータは、管理者によって安全に保全されてることがほとんどです。しかし、過度に信用をしすぎず、各従業員それぞれにできる限りの対策を行ってもらうことが情報漏洩の防止には必要です。
対応策として、クラウドサービスからのデータの流出を防ぐために、データの格納先や方法については、ドキュメントには必ずパスコードをかけるなど、会社全体で明確なポリシーやルールを設けましょう。
セキュリティガイドラインの策定やルールを遵守できる環境作りが大切
上記で説明した、テレワークで生じるセキュリティ課題に対して、いかに対応策を講じても、そもそも社内教育や環境作りであったり、会社としてのセキュリティガイドラインを決めておかなければ意味がありません。
セキュリティガイドラインの策定
まず重要なのは、情報セキュリティに関する、組織として統一のとれた基本方針や行動指針を定めるとともに、自社でその内容を明文化した「セキュリティガイドライン」を作成することです。「セキュリティガイドライン」とは、オフィス外からのアクセスや、メールの送受信などに関する制限、顧客との打ち合わせで発生するデータや端末の持ち出しの手続き方法など、業務を行ううえで遵守すべきセキュリティの考え方をまとめたものです。基本方針ならびに対策基準、実施手順の3つによって構成されます。
その内容は、企業理念や経営戦略、企業規模、保有する情報資産、業種業態によって、企業ごとに異なります。自社の企業活動に合致したガイドラインのあり方を工夫する必要があるでしょう。また、「セキュリティガイドライン」は一度策定したら終わりというものではありません。定期的に監査し、その結果に応じて、適宜、内容の見直しを行ったり、技術的な対策を講じたりする努力が欠かせません。PDCAサイクルを確実に回し、ルールを最新の状況にアップデートしていくことで、テレワークの情報セキュリティレベルを高めていく必要があるのです。
実践的なセキュリティルール・情報管理ルールの策定
「セキュリティガイドライン」の策定したら、次に具体的な行動ルールの策定を行
います。例えば、以下のように従業員がテレワーク時にとるべき行動をルール化します。
-
・紙ベースの資料の持ち出し
・自宅における作業環境やPCの保管・管理方法
・休憩中のPCの取り扱い
・オフィスから持ち出すPCの管理
・アプリケーションのインストールの可否や条件
・クラウド使用の可否や条件
・機密性が求められる電子データの保存の仕方
これにより、テレワーク勤務中の従業員が安全かつ安心して作業に取り組めるようにするとともに、情報資産の管理責任に対する意識を醸成することが大切です。また、現在では多くのクラウドサービスやメッセージアプリケーション、SNSなどが普及していますが、これらについても、従業員用のルールやガイドラインで留意事項を明示しておくことで、情報の漏洩をしっかりと防止することができます。さらに、テレワーク勤務者が、これらのセキュリティに関する必要な情報を、きちんと把握・習得していれば、なりすましやサイバー攻撃などの被害を阻止しやすくなります。
ガイドラインとルールを遵守できる環境作り
指摘するまでもないことですが、「セキュリティガイドライン」や「セキュリティルール」「情報管理ルール」を策定するだけでは何の意味もありません。制度や仕組みをつくるだけではなく、テレワーク勤務者がガイドラインやルールを確実に遵守し、セキュリティ対策を実効力のあるものとするためには、定期的な研修などの教育・啓発活動の実施や、イントラネット内での通知、ポスターの掲示などが必要です。
情報セキュリティの重要性について理解してもらい、従業員一人ひとりに浸透させていくことが欠かせません。特にテレワーク勤務者は、オフィスから目の届きにくい場所で作業をすることとなります。そのためにも、ルールの趣旨や、ルールを遵守することの重要性を自覚してもらうことが大切です。
まとめ
今後も、テレワークに向けた取り組みは加速化していくでしょう。オフィス勤務に慣れている方にとって、テレワークによる自宅勤務は戸惑うとともにセキュリティについて不安に感じるかもしれません。しかし、勤務先が定めるガイドラインを厳守するとともに本記事でご紹介した対策も実践していくことで、安全かつ快適な在宅勤務が可能になります。
早い段階でテレワークにおけるセキュリティを意識し、安心安全な在宅勤務が実現できる体制を会社任せ・他人任せにせず、それぞれ一人一人が考え、整えておくことが大切です。
