様々な場所で働くことのできるテレワークを支えるのは、近年発達したICT技術です。インターネットを介することで様々な情報にアクセスことが可能になったことで、オフィスにいるときと同じように仕事を進めることができます。その一方で、欠かせないのはリスク回避の視点です。管理が甘いと情報漏えいやサイバー攻撃による損害が出ます。特に、顧客情報を取り扱うIT企業などではその被害は致命的です。機密データが入ったUSBを持ち歩く社員やPCにロックをかけない社員、ウィルスソフトを使わない社員などが現れないようにセキュリティーの観点からも適切に従業員を管理する必要があります。
この記事では、「テレワークにおけるセキュリティ対策の考え方」についてご紹介します。
テレワークには働く場所によって「在宅勤務」「モバイルワーク」「サテライトオフィス勤務」に分けられます。この記事では、セキュリティの基本的概念である「脅威」と「脆弱性」について、それぞれのテレワーク形態で何が問題となるのかご紹介します。また、すべてのテレワーク形態に共通で気を付けるべき4つのポイントについてご紹介します。
Contents
3つのテレワークの形態とは?
はじめに、3つの勤務形態について簡単にご説明します。
在宅勤務
在宅勤務とは従業員が自宅で仕事をする場合のことです。会議参加や顧客訪問などといった外出もしません。所属先の上司に許可を取ればちょっとした私用(荷物の受け取りや家事など)に時間を割くことができます。介護問題や育児問題を解決するために導入されつつある柔軟な勤務形態です。企業からすると、交通費を節約できるというメリットもあります。
モバイルワーク
勤務先からの外出時に任意の場所で必要に応じて仕事する勤務をモバイルワークと呼びます。カフェや顧客先で時間の許す限り仕事ができます。商談前や納品前に適した勤務形態です。また、オフィスに戻るまでの時間も浪費しなくて済みます。
サテライトオフィス勤務
サテライトオフィスとは企業の本拠地から離れたオフィスです。サテライトは衛星を意味しています。本拠地を取り囲むオフィスの様子が衛星のようであり、サテライトオフィスと呼ばれるようになりました。自社グループ専用の施設として利用する「専用型」と複数企業が共同で利用する「共用型」に種類が分かれます。交通費の削減だけでなく新規顧客や地方人材の確保がしやすい利点があります。
各種テレワーク形態における「脅威」と「脆弱性」
セキュリティの課題を解決するために覚えておくべき言葉があります。「脅威(きょうい)」と「脆弱性(ぜいじゃくせい)」です。
脅威は損害を与える要因のことを表します。例えば、ウィルスによる攻撃です。一方、脆弱性はその脅威に対するセキュリティの欠陥をいい、安全性が低い状態を意味します。ウィルスという脅威に対してウィルス対策ソフトを導入していない状態をセキュリティの欠陥といえます。
つまり、脅威を一つでも多く洗い出し、それに対する脆弱性に対策を打つことがセキュリティ対策といえます。ここでは、セキュリティー課題についてより理解を深めるために、在宅勤務、サテライトオフィス勤務、モバイルワークの危険性と脆弱性について一例を紹介していきます。
在宅勤務における脅威と脆弱性
在宅勤務での代表的な脅威は家族によるPC操作です。勝手に会社のPCに無料ソフトをダウンロードして、ウィルスに感染してしまうケースなどが考えられます。
脆弱性としては、パスワードがかかっていない、PCがリビングに置いてある状態などが挙げられます。つまり、打つべき対策はPCの使用禁止を家族に周知する、パスワードを難解なものにする、仕事部屋にPCを置くなどがあります。
モバイルワークにおける脅威と脆弱性
モバイルワークでの脅威はデバイスの持ち運びによる紛失が大部分を占めるといえます。PCの置き忘れは少ないでしょうが、ハードディスクやUSBなど小物はちょっとの油断で置き忘れてしまいがちです。
このようなことから、社員の持ち運びに関する管理方法が徹底されていないという脆弱性が問題点として浮かび上がります。対策として、データは持ち運ばず、PCから会社のシステムに直接ログインして仕事を行うように徹底することが重要です。
サテライトオフィス勤務における脅威と脆弱性
先ほど紹介したサテライトオフィスの特徴には脅威が含まれていたのにお気づきでしょうか?他社と共有型のオフィスでは情報資産の盗聴や盗難の脅威が潜んでいます。
ここでの脆弱性は、PC画面のスクリーンセーバーがない状態、顧客との相談を他社の社員が通りかかる場所で行っている状態、機密事項が明確に周知されていない状態などがあります。対策としては、セキュリティー意識を高める会議を定期的に行って機密事項を共有する、データが他社の目に触れないようPC周辺環境を整えるなどの案が考えられます。
テレワークにおけるセキュリティ対策で気を付けるべき共通ポイント4つ
それぞれのテレワークのセキュリティーの課題がわかってきたところで、3形態共通のセキュリティ課題についても考えていきましょう。共通して課題解決のために気を付けるポイントは4つあります。
SNSはガイドラインを共有したうえで使用する
テレワーカーにとってもSNSは連絡手段として活用しやすいですが、セキュリティーの観点から気を付けなければならない点があります。まず、業務内容の誤送信です。業務とは無関係のグループに間違えて送信してしまうことがあります。
また、公開範囲を間違えるという危険性もありがちです。知らない間に不必要な関係者に機密事項が公開されてしまいます。会社として、SNSの利用を許可するのはかまいませんが、利用時のガイドラインを社内で共有するといった対策は必ずおこないましょう。
クラウドサービスの使用は徹底管理
ドロップボックスなどのネット上のデータ共有サービスは企業でも取り入れている場合があります。しかし、暗号対策をしないでファイルをやり取りすることは情報漏えいにつながる可能性があります。
テレワークでは便利だからという勝手な判断でこのようなクラウドサービスを使用してしまいがちです。システム管理者が気づかないところで危険なサービスを利用されていては手がつけられません。
システム管理者は安全なサービスをあらかじめ指定しておく、ファイルの暗号化を徹底する、あるいは、受け手がファイルをダウンロードしたらクラウド上のファイルを削除するよう指示するなどの対策を打つ必要があります。
被害が拡大しないように回復体制を整える
セキュリティーの課題には被害を受けた後のバックアップ体制まで含まれます。PCウィルスの一種であるランサムウェアはPCを乗っ取りアクセスを制限します。制限の解除と引き換えに金銭を脅すために投入されるウィルスです。金銭を払っても直してもらえない場合があるため非常に厄介といえます。
このような事態に備え、日ごろから重要なデータはハードディスクなどのネットワークから切り離せるものにもバックアップすることをお勧めします。
ウィルス対策ソフトだけでは不十分
どの形態のテレワークであれウィルス対策が基本です。テレワーカーが起こしやすい失敗として、普段使わないサイトへアクセスしてウィルス感染し、不要な広告が頻繁に出るようになってしまうことがあります。これでは作業効率がさがります。
対策としてウィルス対策ソフトを入れていてもまだ不十分です。ウィルス対策ソフトや、OS、ブラウザなどをアップデートしていないとウィルスの種類が更新されておらず、検知することができない場合があるからです。
システム管理者はメンバーのPC環境が常にアップデートがなされているかチェックし、テレワーカーは外部のサイトに必要最小限しかアクセスしないように意識するとよいでしょう。
まとめ
今回は、テレワークにおけるセキュリティ対策の考え方について、テレワークの形態によって異なるポイント・共通のポイントについてご紹介しました。より深く様々なケースについて知りたいかたは、総務省の作成している「セキュリティガイドライン」を一読することをお勧めします。