職場以外の場所で仕事をする「テレワーク」を導入する企業が増えています。社員側にも企業側にもメリットがある働き方ですが、悪意がある第三者からの侵入や情報漏洩といったリスクもあるため、セキュリティには十分な注意が必要です。本記事ではテレワークにおけるセキュリティリスクや対策例を解説します。
テレワークで注意すべきセキュリティリスク
まず、自社でテレワークを導入することによってどのようなセキュリティリスクがあるのかを考えてみましょう。
まずは、データの紛失です。職場PCに保存されているデータをUSBメモリに保存して持ち帰ろうとして失くしてしまったり、移動中に業務用のノートパソコンを置き忘れてしまったり、といったことが考えられます。
物理的な紛失以外にもデータ損失の危険はあります。移動中に紙の資料を確認していたら横から盗み見され業務上の秘密を知られてしまう、カフェで仕事をしていたらスキミングされIDが盗み見される、といったことが考えられます。また、職場メールを転送しているフリーメールが不正アクセスされてしまい、個人情報や機密情報が抜き取られてしまうリスクもあります。
いずれも会社側が事前に十分な準備を行い、社員がセキュリティ意識をしっかり持っていれば防げるものです。
テレワーク環境におけるセキュリティ対策
テレワークを実施するにあたっては、会社には社員が安全に仕事できる環境を用意することが求められます。では具体的にどのような対策が必要になるのか、本記事では特に重要な6つの対策を紹介します。
デバイス管理に関する対策
外部から業務データを扱う方法としては主に3つのパターンがあります。1つ目はデータをUSBメモリやノートパソコンのハードディスクに保存して自宅などに持ち帰る方法です。2つ目はVPNの設定をしたノートPCを貸与し、そこから職場ネットワークにアクセスする方法です。3つ目は各端末からサーバー上に置かれたデータを操作する、シンクライアントと呼ばれる方法です。
1つ目の方法は物理的にデータを移動して外部から職場ネットワークには接続しないため、ネットワーク上のセキュリティは安全性が高くなります。その一方で、社員が重要なデータを持ち歩くことやデータを管理することで、紛失や漏洩のリスクが生じるため、2つ目と3つ目の方法を選択したほうが安全です。
どの方法を取った場合でも、社員が仕事をするためにはPCなどのデバイスが必要になります。会社からPCを貸与する場合と、私用PCの利用を認める場合があります。私用PCなど個人が所有するデバイスを業務に利用することをBYOD(Bring Your Own Deviceの略)と呼びます。BYODはテレワークの導入コストを下げるメリットがある一方で、デバイスのセキュリティ対策が個人によってばらばらであったり、PCのスペックが業務利用には足りなかったりするなどのデメリットがあります。そのため、可能な限り会社から端末を貸与するほうが望ましいとされています。やむを得ない理由で私用PCを業務利用させる場合には、利用するPCにきちんとセキュリティ対策がされていることを確認した上で許可する必要があります。
PCを貸与する際には、貸出台帳を用意して持ち出し期間や利用目的、OSのアップデートやウイルス対策ソフトのパターンファイル更新の実施有無などを記録するとよいでしょう。誰がどのPCを持っているのかといった基本的な情報だけでなく、それぞれの管理状況が一目で把握できるため、希望があったときに条件が合ったPCをすぐに貸し出しできるメリットがあります。
デバイスを安全に管理するためには、社員に対して貸与したPCの私的利用を禁止する、マルウェア感染のリスクを防ぐためスマートフォンの充電やUSBメモリの利用はしない、などを周知することも必要です。推測されやすいパスワードや複数のサービスで同じパスワードを使わない、移動中にPCから目を離さず常に持ち歩くようにする、といった基本的な対策も定期的に確認しましょう。
ソフトウェアに関する対策
会社から貸与する端末には、必ずウイルス対策ソフトを導入して最新の状態にしておくようにします。利用する社員にはパターンファイルの更新や定期的なアップデート、定期的なウイルスチェックなどを行うようにルール化したうえ、怪しいメールは開封しない、不審なWebサイトは閲覧しないなどを指導しましょう。ソフトウェアのインストールも事前申請式として、社員が勝手にインストールしないようにすることがポイントです。
なお、このような対策は社員側に任せることになるので全ての社員が完璧に対応することは困難です。そのため会社側でそもそもソフトウェアを勝手にインストールできないように設定したり、パターンファイル更新をシステム管理者が一斉に行えたりするような設定をする方法もあります。
社内システムに関する対策
テレワーク先から職場のネットワーク環境にアクセスする方式を選択した場合には、接続する手順をあらかじめ定めておくことが大切です。さらに第三者に侵入されないよう、本人認証を行う際にワンタイムパスワードを利用したり、多重認証や多要素認証を導入したりするなど、認証機能を強化する対策も有効です。
また基本的な対策ではありますが、パスワードを推測されにくいものにするようにしましょう。過去には定期的にパスワードを変更することが良いとされていましたが、現在では推測しにくい一定の長さを持ったパスワードを変更せずに使用するほうが安全性は高いといわれています。
通信に関する対策
テレワーク用のPCからインターネットに接続する際には、万が一通信を盗聴されても機密情報が漏れないようにする対策が必要になります。
まず職場ネットワークにアクセスするのはVPNによる接続が基本です。VPN(Virtual Private Networkの略)とは仮想の専用線環境を構築する仕組みで、安全に通信ができる方法として広く利用されています。また空港のロビーやカフェなどの公衆Wi-Fi接続する際には、暗号化されていないものは避けるようにしましょう。暗号化されていたとしても解読される危険が高いWEPや、WEPの強度を上げた方式で脆弱性が指摘されているWPA-TKIPはリスクが高いので利用しないようにしたほうが安全です。
なお、誤解されやすい点ではありますが、インターネット経由での電子メールは、一般的に暗号化は行われていません。機密情報をやりとりする場合には注意するようにしましょう。
会社の体制に関する対策
テレワークを導入する場合には、ハード面での対策だけでなくソフト面での対策も欠かせません。社内で安全にテレワーク勤務を行うルールを含めたセキュリティポリシーを定めるとよいでしょう。テレワークの実施方法や、事故が起きた場合の報告義務などを規定します。既に自社でセキュリティポリシーを策定済みの場合は、テレワークに対応した内容を追加するとよいでしょう。
社員のセキュリティ意識を高めるため、研修などによる教育も必要です。ただ1回行っただけでは不十分なため、定期的かつ継続的に実施しましょう。短い標語などを載せたポスターの掲示や、啓発メールなどによって日常的に意識させる取り組みも有効です。
事前の対策だけでなく、実際にトラブルが起きた際の対策も準備しましょう。緊急時の連絡先や対処方法などが書かれた資料を配布したり、避難訓練のようにチーム内でシミュレーションを行ったりする方法があります。
また、悪意がある社員が個人情報や機密データを外部に漏洩するリスクも考慮しましょう。機密保持に関する規定および違反した場合の罰則を設けるなど、不備が発生しない体勢づくりも必要になります。
社員の働き方に関する対策
情報セキュリティに教育を実施し、社員のセキュリティ意識を向上させる体勢づくりがポイントです。インターネットセキュリティはマルウェア感染などに1人でも陥ると、そこから社内ネットワーク全体に問題が発生する可能性もあるからです。
カフェや電車などではPCを利用しないなど、働く場所や行動について社員に注意を促すようにすると良いでしょう。またテレワークから復帰した際には、社員に自宅等で使用していたPCのウイルスチェックを必ず行ってから接続するよう徹底させることも必要です。
セキュリティ対策を考えたテレワークには「Azure Virtual Desktop(旧Windows Virtual Desktop)」を検討
テレワーク環境から安全に職場ネットワークに接続する手段として、マイクロソフト社が提供している「Azure Virtual Desktop(旧Windows Virtual Desktop)」を導入する企業が増えています。これは先述の「テレワークで業務データを扱う方法」として紹介した3つ目の方法にあたります。シンクライアント方式によって、社員が操作するPCと職場ネットワークとを直接繋がないため、テレワーク側のPCのセキュリティリスクを考慮せずに済むのがメリットです。
Microsoft Azureとは何か?入門から応用まで徹底解説
まとめ
十分な準備をせずに見切り発車でテレワークを開始してしまうと、データの破損や情報漏洩などの危険性が高まり、会社側に損失が出てしまいます。テレワーク環境におけるセキュリティ対策は、利用するPCや通信などの物理的な対策と、ルール策定や社員への教育など、ソフト的な対策の両方が必要です。
