テレワークで見落としてならないセキュリティ対策を解説

テレワークのセキュリティ
2020年は世界中が新型肺炎という大きな災害に見舞われ、経済活動にも大きな影響を与えています。企業の活動で見ると、新型肺炎の流行拡大を阻止するため在宅ワークやテレワークがこれまで以上に普及していくことが予想されます。企業としても、こうした時代の流れに乗り遅れてしまうと事業面や採用面で不利益を被ることになりかねません。

そのため多くの企業がテレワークの導入を検討していますが、テレワークや在宅ワークでは顧客情報などの情報が漏えいする可能性が高くなります。そこで、本記事ではテレワークのセキュリティ対策について解説します。

テレワークによる情報セキュリティの必要性


企業は顧客情報や商品の情報などさまざまな情報を保有しており、外部に情報が漏れないよう細心の注意を払っています。

万が一顧客情報が流出すれば、損害賠償を請求されたり、信頼が失墜する可能性があります。そのため情報セキュリティの強化は企業にとって非常に重要な課題です。

現代において、情報資産はウイルス・ワームなどの感染、テレワーク端末や記録媒体の紛失・盗難、通信内容の盗聴などの「脅威」にさらされやすくなっています。それぞれの脅威について詳しく見ていきましょう。

悪意のソフトウェア(ウイルス・ワームなど)

まずテレワークにおいて最も脅威となるものの1つが、悪意のあるソフトウェアです。会社で仕事を行っているのであれば、セキュリティ対策が講じられているため悪意のあるソフトウェアに侵入されることはないでしょう。しかしテレワークでは自宅などセキュリティ対策が脆弱な場所で仕事をする機会が多くなります。

もし従業員の自宅のセキュリティシステムが強固でなければ、コンピュータウイルスや単体で存在できるワームなどの侵入を許してしまい、従業員の自宅のパソコンから情報が流出してしまう可能性が出てきます。

ワームがバックドアを開いてしまい、そこからさらなる脅威がパソコンに侵入することもあるかもしれません。

端末の紛失・盗難

悪意のあるソフトウェアのほかにも、テレワーク端末の紛失・盗難も起こり得るトラブルです。

社内でデータをハードディスクやUSBメモリーにコピーして持ち帰る途中で紛失してしまったり、盗まれてしまったりすることは十分考えられます。

もちろんデータがコピーされたDVDディスクなども同様に紛失・盗難の危険性があります。

重要情報の盗聴

加えてテレワークにおいては盗聴による被害も考えられます。当然盗聴は犯罪ですが、従業員の自宅などが盗聴されている危険性は排除できません。

テレワークのために自宅に重要な情報を持ち帰り、ウェブ会議などでその情報に言及することがあれば、盗聴によって重要な情報が他者に漏れてしまう恐れはあります。

盗聴器が年間30万台以上販売されていることを考えると決して油断はできません。特に管理職や機密情報を扱っている従業員がテレワークを行うときには一層の注意が必要です。

不正侵入

さらに脆弱なセキュリティシステムでは、パソコンのシステムへの不正侵入、さらにそのシステムを踏み台とした会社へのハッキングなどの恐れもあります。

攻撃者からテレワークをしている従業員のパソコンにバックドアが作られ、そこから会社の貴重な情報が奪われてしまうかもしれません。

さまざまな攻撃の方法があることを考慮すると、テレワークにおけるセキュリティは万全にしておく必要があります。

テレワーク時の情報セキュリティ対策

remote-work-security3
ではテレワークを実施する際の対策方法にはどんなものがあるのでしょうか。大きく分けて、テレワーク時に使用する端末を貸与にするのかBYODにするのかという選択となります。

BYODとは従業員の私物であるタブレットやスマーフォンを職場に持ち込んで業務にあたる手法です。

どちらにもメリットがあるため、自社にどちらのスタイルが合っているのかを考慮したうえで決定するとよいでしょう。総務省は3つのパターンに分類しています。具体的な方法について解説します。

オフライン持ち出し型

1つ目の方法は、オフライン持ち出し型です。これはテレワーク端末から社内システムにアクセスするとき、インターネット回線を使用しない形です。

たとえばUSBメモリーやハードディスクに情報をコピーして従業員が自宅に持ち帰り、自宅のパソコンで作業を行えます。これで災害時など社内システムにアクセスできなくても、作業が滞ることはありません。

さらに従業員のパソコンから社内システムに攻撃が行われるという事態も防ぐことができます。

ただし、USBメモリーやハードディスクの破損、紛失、盗難には十分な注意が必要です。持ち出した場合には会社にしっかり申告し、無断での持ち出しは禁止する必要があります。さらに紛失・盗難の際にどうするかも事前に決めておくべきでしょう。

オンライン持ち出し型

オフライン持ち出し型に対して、オンライン持ち出し型という情報セキュリティ対策もあります。

これはオフライン持ち出し型の逆で、自宅にあるテレワーク端末から社内システムにアクセスする方法です。記憶媒体を使用しないため、情報の紛失、盗難が起こらないのが特徴です。

インターネット回線さえあればどこでも実際の職場と同じ作業が行えるため、高い作業効率を実現できます。ただしハッキングや情報漏洩などの危険が常につきまとうため、セキュリティ対策はしっかり行っておく必要があります。

パスワードの定期的な変更や二段階認証などに加え、従業員にも一定のウイルス対策ソフトのインストールを義務付けるなどして、情報をしっかり守ることができます。

シンクライアント型

さらにテレワークの別の手法がシンクライアント型です。VNP、仮想専用線と呼ばれる技術で、物理的に遠く距離が離れているネットワーク同士をインタネット回線を通じて接続することができます。

専用のアプリケーションをテレワーク端末にダウンロードすることで、社内システムにアクセスできるというものですが、データをテレワーク端末に残す必要がないためセキュリティ対策を行いやすいというメリットがあります。従業員の私物のパソコン、タブレット、スマーフォンでも利用可能です。

参考
テレワークセキュリティガイドライン(第3版)|総務省

安心安全なセキュリティがテレワーク成功のカギ

テレワークは、ただ単に従業員が在宅で仕事をするということを意味しているのではありません。企業が働き方改革という時代の流れに沿って行動しているのか、を示す指針でもあります。

さらに新型肺炎の流行によって在宅勤務を検討する企業が急増するなか、テレワークは今後オプションではなく必須となっていくでしょう。

しかしその一方で、企業も従業員も情報の漏えいには注意しなければなりませんし、テレワークを採用する場合には万全のセキュリティ対策を講じなければなりません。

企業は研修などを通して従業員に教育を施し、セキュリティに対する意識を高めることが必要になります。

日本パープルでは、企業を対象に情報セキュリティ教育研修を行っています。機密情報の管理や社員への教育に興味がある方は、ぜひお問い合わせください。