中小企業経営者にとって急務とされているのが、2020年4月より適用される働き方関連法案の時間外労働規制への対応です。2019年4月から大企業では適用されており、労働時間削減に対する各社の取り組みが注目されました。
こうして政府推進の働き方改革が進む中、機運が高まっているのがリモートワークです。ITが進化する中、オフィスに縛られない働き方を考えるのは必然とも言え、多くの企業がリモートワーク成功の道を模索しています。
導入にあたりネックになるのが「利便性とセキュリティの両立」です。リモートワークでは遠隔地で仕事をするのにあたり、コミュニケーションツールを拡充させて様々な利便性を向上する必要があります。しかしそれは、従来とは異なるセキュリティシステムの構築と、新しいセキュリティリスクの発生を意味しています。
要するに、リモートワークを適切に導入して成功を収めるためには、セキュリティについて慎重に検討する必要があるのです。本稿では、導入に際し求められるセキュリティ対策についてご紹介します。ぜひ、参考にしてください。
リモートワークで発生するセキュリティリスク
セキュリティ対策についてご紹介する前に、企業がリモートワークを導入することが発生するセキュリティリスクについて整理しておきます。
<リモートワークのセキュリティリスク一覧>
- マルウェア対策が施されていない私用端末を利用するかもしれない
- 会社が許可していないクラウドサービスを利用するかもしれない
- 無料の公共Wi-Fiから通信が傍受されるかもしれない
- USBなどの持ち歩きが多くなり紛失するかもしれない
- 公共の場で仕事をすることでパソコン画面等をのぞかれるかもしれない
- 家庭内ネットワークのセキュリティが不十分かもしれない
- アカウントIDやパスワードが流出するかもしれない
- OSやソフトウェアが適切に更新されていないかもしれない
いかがでしょうか?ほんの少し考えるだけでも、様々なセキュリティリスクが想定されます。企業はそれらのセキュリティリスクを課題と捉えて、解決していくための対策を講じる必要があるのです。
セキュリティ対策のポイント
リモートワークを導入するにあたり、セキュリティ対策を実施するポイントは「いかに対応コストを少なく、複雑化しない方法でセキュリティシステムを構築するか?」です。前述したセキュリティリスクを回避するために、さまざまなセキュリティツールを導入すると問題が発生します。
まずは管理コストです。異なるセキュリティツールを導入することで運用管理面での複雑化は免れませんし、単純に利用コストもアップします。さらに、セキュリティシステムが複雑になることで対策範囲が抽象的になってしまうので、意図せずセキュリティホールを作ってしまう可能性も考えられます。
そのため、セキュリティシステムを構築する際は1つ1つの課題に対して個別のソリューションを用意するのではなく、スイート製品に注目して全体をカバーしたセキュリティ対策を講じていきます。スイート製品には特定の範囲で必要なセキュリティ対策を包括的に備えているので、セキュリティシステムを複雑化させることなく、また管理コストを肥大化させることなくセキュリティ対策を実施できます。
リモートワークで実施したいセキュリティ対策
セキュリティポリシーの見直し
リモートワークにおけるセキュリティ対策の基本なのが、セキュリティ上の行動や考え方に関する方針である、セキュリティポリシーです。これを作成することで、会社のセキュリティレベルと統一して、一定のセキュリティを保てます。
端末管理のセキュリティルール
リモートワークではオフィス以外のさまざまn場所で仕事をすることになるので、端末管理やデータの持ち出しなどに関する新しいセキュリティルールが必要になります。就業規則にそれらのルールを明記して、違反した場合の罰則も設けて強制力を高めましょう。
パスワード管理の徹底
リモートワークでは今まで以上に厳しいパスワード管理が必要です。情報システムの管理下に置かれない従業員に関しては、パスワードを複雑なものにして、定期的に更新するよう徹底させましょう。サービスのアカウントIDやパスワードが流出し、社内システムに不正アクセスされた事例はたくさんあります。
ログイン時の多要素認証
パスワードの複雑化や定期的な更新でも、防ぎきれないサイバー攻撃もあります。それらに有効なのがログイン時の多要素認証です。アカウントIDとパスワードでのログインに比べて、タイムリーに発行されるセキュリティコードの入力などをシステムに搭載すれば、不正アクセスの可能性はグンと下がります。
端末紛失時のアカウントロック
リモートワークでは会社の重要情報を搭載した端末を持ち歩くことが多くなります。もしも端末を紛失すれば、第三者による社内システムへの不正アクセスや、端末内の機密情報を覗かれる可能性があります。もしも端末を紛失した場合は、システム管理者からアカウントをロックできるようにしましょう。
USB等の暗号化
USBを持ち歩く際は、必ず暗号化が必要です。端末内のハードディスクやSSD、USBの暗号化は必ず行いましょう。そうすれば、USB等を紛失しても情報が流出するリスクは軽減できます。
マルウェア対策などの基本セキュリティ
アンチマルウェアなど、マルウェア感染を防ぐための基本セキュリティはやはり重要です。保護できる範囲は限定的であっても、古典的なサイバー攻撃を防ぐことはできますし、私用端末ごとにアンチマルウェアを導入することが大切です。
スリープ解除時のパスワード入力
端末は一定時間操作しないとスリープ状態に入ります。スリープ状態から操作を再開する場合は、必ずパスワードが入力されるように設定しておきましょう。席を離れて端末がスリープ状態になっても、パスワードを設定してれば情報ののぞき見を防げます。
情報ごとのアクセス権限設定
VPNを利用したファイルサーバーの構築や、クラウドストレージを使用する場合には情報管理を徹底するために、情報ごとのアクセス権限を設定しておきましょう。内部要因によって情報流出が起きる可能性もあるため、アクセス権限を必ず設定します。
クラウドサービス利用検討
リモートワーカーが社内システムへアクセスするにあたり、有効なセキュリティ対策がクラウドサービスを利用することです。クラウドベンダーが独自にセキュリティ対策を実施しているため、ユーザー企業は小さい負担でセキュリティを強化できます。
いかがでしょうか?リモートワーク導入時は、特別なセキュリティシステムを構築せずとも、実施できるセキュリティ対策はたくさんあります。それぞれのセキュリティ対策について十分に検討した上で、実施の可否を判断しましょう。リモートワーク導入を成功させるカギがセキュリティ対策にあることを忘れないでください。
まとめ
いかがでしょうか。一口にセキュリティと言っても非常に多くのことを考慮して対策する必要があります。特に、リモートワークを積極的に取り入れている環境では、その度合いは高まってしまいます。
Windows 10を利用されている方では、マイクロソフトが提供する『Microsoft Defender Advanced Threat Protection』をご存知でしょうか。
企業で利用するネットワーク環境をセキュアに保つため、エンドポイントからクラウドセキュリティ、脅威インテリジェンスを組み合わせることで高度な脅威の防止、検出、調査、および応答をサポートします。
リモートワークの導入が進み、セキュリティ対策の見直しを検討されている方は、是非『Microsoft Defender Advanced Threat Protection』をご検討してみてはいかがでしょうか。
