リモートワークとは、オフィス以外の場所で社員が働ける環境を整えて、多様なワークスタイルを提供することで労働生産性の向上や、社員のモチベーションアップなどを図るための施策です。近年は「働き方改革」の一環として取り組む会社が多く、人材を繋ぎとめるための施策として活用し、離職率を低下させたりなど、さまざまな成功事例が目に入ります。
そんなリモートワークを実現するにあたり、大切なセキュリティ対策があります。本稿ではそのセキュリティ対策について解説し、これからリモートワークを導入しようと考えている方の助けになればと思います。
リモートワークはなぜセキュリティが大切なのか?
リモートワークで従来とは違ったセキュリティが必要になる理由は単純です。それは、「リモートワークを実践することで情報漏えい等のリスクが増えるから」です。大方のリモートワークでは、社員が個人的に端末を管理し、インターネット回線等をよく利用します。従って、リモートワークを実践している環境では、社内LANの守られた環境ではなく、外部ネットワークを利用したリスクのある環境で仕事をすることになります。
そのため、リモートワークを実践している会社では従来とは違ったセキュリティが必要になり、新しいセキュリティ対策環境を整える必要があります。
リモートワークに必要なセキュリティ対策
では、リモートワークに必要なセキュリティ対策について一覧でご紹介し、1つ1つその概要を解説していきます。
セキュリティポリシーの作成及び見直し
セキュリティ対策を実施する上で基本となるのが、セキュリティ対策に関する方針や行動方針をまとめた「セキュリティポリシー」です。これを作成したり、見直すことで組織として一定水準のセキュリティレベルを満たし、リモートワークを実践した際のセキュリティを強化することができます。
端末利用・データ持ち出しに関するルールの作成及び見直し
リモートワークではオフィスとは異なる仕事環境になるため、端末利用やデータ持ち出しに関するルールが必要です。そのルールに違反した場合の罰則規定を就業規則に設けて、抑止効果を生むことも大切です。
社員個人のパスワード管理
リモートワークでは端末を利用する社員個人にパスワード管理が委ねられます。単純なパスワードを使わないようにしたり、30日周期など定期的にパスワードを変更するようにしたり、パスワード管理を徹底するだけでも高いセキュリティレベルを維持することができます。
サービスログイン時の多要素認証
何らかのサービスにログインする際は必ず多要素認証を設定しましょう。多要素認証とは、IDとパスワードの認証だけではなく別の認証を追加することで、端末のセキュリティレベルをアップする対策です。特に社内システムにログインする際は、必ず多要素認証を行うよう設定しましょう。
端末紛失時のアカウントロック
リモートワークでは端末を外に持ち歩く機会が多くなるため、それによって端末紛失のリスクも増えます。もしも機密情報が管理されている端末を第三者に見られてしまえば、情報漏えいは必至でしょう。そのため、万が一端末を紛失してしまった時のことを想定して、遠隔でアカウントをロックできる機能を備えておきましょう。
ハードディスク暗号化
端末内のデータはハードディスクという領域に管理されます。そのため、端末を紛失してしまった場合、アカウントをロックしたとしてもハードディスク自体の中身を見られてしまうと、それも情報漏えいに繋がる可能性があります。端末内のハードディスクは必ず暗号化しておき、もしも盗難等に遭った際は端末内の情報を遠隔で商況できる機能もあるとより安心でしょう。
ウイルス対策ソフトの導入
セキュリティ対策の基本とも言えるウイルス対策ソフト。リモートワークの場合、各端末に軽量なウイルス対策ソフトをインストールして、端末保護を行う必要があります。最近ではクラウドサービスとして提供されている超軽量のウイルス対策ソフトもあり、リモートワーク時の端末管理としても活用できます。
スリープモード解除時のパスワード設定
端末を一定時間操作しない場合にはスリープモードになるよう設定し、その解除のためのパスワードを設定すると、少しながらセキュリティレベルを向上できます。
端末ごとのアクセス制御
機密情報を社内のファイルサーバーで管理している場合は、情報の重要レベルに応じて端末ごとのアクセス制御を行いましょう。
端末管理台帳の作成及び活用
会社から社員に端末を貸与する場合は、端末管理台帳を必ず作成します。誰がどの端末を、いつから利用しているのかをしっかりと管理することで、利用者を管理していることにもなるセキュリティレベルを向上できるでしょう。
セキュリティ事故が発生した際のマニュアル作成
リモートワークのセキュリティ対策では、万が一セキュリティ事故が発生した際のマニュアルを作成することも大切です。理由2つあります。1つ目の理由は、セキュリティ事故が発生した経緯や被害状況などを迅速に確認し、素早い対処で被害を最小限にとどめることです。2つ目の理由は、セキュリティ事故発生時にパニックになりがちな社員の気持ちを落ち着かせ、適切な対処を取らせることで2次被害などを食い止めるためです。そのために、セキュリティ事故が発生した時のことを想定してマニュアルを作成しておきましょう。
クラウドサービスの利用検討
クラウドサービスとはインターネット経由で提供されているサービスの総称であり、リモートワーク実践の必須サービスとしても注目されています。クラウドサービスの多くは提供事業者が堅牢なセキュリティ環境を構築しているため、クラウドサービスを利用すること自体がセキュリティ対策に繋がるとされています。既存の業務システムやコミュニケーション基盤をクラウドサービスに置き換えると、セキュリティレベルだけでなく業務効率が向上するきっかけにもなるでしょう。
電子メールセキュリティに関する注意喚起
昨今のセキュリティ事故の傾向として、電子メールを介した事故が多くなっています。最も警戒すべきは「標的型サイバー攻撃」であり、これは特定のターゲットに偽装した電子メールを送信し、そこに添付されたファイルを実行させることで、端末をウイルスに感染させるというものです。ウイルスに感染した端末から内部ネットワークに侵入され、ファイルサーバーに格納されている機密情報を抜き取られる可能性があります。ただし、電子メールを介したサイバー攻撃の場合はセキュリティ意識を高めるだけで十分効果があるので、社員に注意喚起を呼びかけ、セキュリティ意識を向上するための教育等を実施しましょう。
リモートワークのリスクを熟知し、適切なセキュリティ対策を!
以上のように、リモートワークにはたくさんのセキュリティ対策が必要です。それはつまり、リモートワークには多数のリスクが隠れており、それらのリスクを管理する必要があるということです。この機会に、リモートワークに必要なセキュリティ対策について改めて考えてみましょう!
すでにマイクロソフト製品を利用されている方であれば、Microsoft 365やOffice 365が標準で持っているセキュリティ機能を利用することも可能です。
新たにセキュリテイ製品の導入を検討する前に、マイクロソフト製品を活用することで、どこまで対応できるか検討されてはいかがでしょうか。
