テレワークは働き方を多様化させ、働きやすい環境を作れる施策の 1 つです。しかし、テレワークの実施はさまざまなセキュリティリスクに晒される可能性があり、万全の対策を施す必要があります。
そこで当記事では、テレワークにおけるセキュリティ関連のリスクや具体的な対策法などについて紹介します。
テレワークにおける 3 つの種類
テレワークは、データの持ち出し方によって大きく次の 3 種類に分かれます。
- オンライン持ち出し型
- オフライン持ち出し型
- シンクライアント型
これからテレワークの導入を検討するにあたっては、それぞれの種類における特徴を正しく把握しておく必要があります。ここでは各種類の特徴に関する内容について、詳しくみていきましょう。
1.オンライン持ち出し型
オンライン持ち出し型とは、テレワークで利用するパソコンやモバイル端末からインターネットを経由し、社内システムへアクセスする方法のことです。
オンライン持ち出し型の場合、社内にあるデータをパソコンやモバイル端末、USB メモリーなどに保存する必要がなく、いつでもアクセスができます。よって、物理的な端末の盗難や紛失を防ぐことができます。
ただし、外部から社内システムへアクセスするため、ネットワークに関するセキュリティの確保が必要です。さらに、テレワークで利用する端末自体の安全性も確保しなければなりません。
2.オフライン持ち出し型
オフライン持ち出し型とは、テレワークで利用する端末から社内システムにインターネットを経由してアクセスをせず、紙媒体や端末自体に保存する形式で業務を行う方法です。
オフライン持ち出し型の場合、データを端末などに保存した後は基本的に社内システムには接続しません。よって、災害や通信障害などによって社内システムにアクセスができない状況であっても、テレワーク先で通常どおりに業務が可能です。
ただし、社内データを保存したパソコンやモバイル端末、USB メモリー、紙媒体などを携帯しなければならないため、物理的な紛失や破損などに十分注意する必要があります。
3.シンクライアント型
シンクライアント型とは、専用のアプリケーションをテレワークで利用する端末にインストールし、インターネットを通じて社内システム上で業務を行う方法です。
シンクライアント型の場合、オフライン持ち出し型のようにデータを端末に保存する必要がなく、物理的な紛失や盗難を防げます。
ただし、インターネットに接続できない環境下では業務ができません。さらに、社内システムにトラブルなどが生じた際も業務ができなくなる点には注意が必要です。
テレワークにおけるセキュリティ関連のリスクは 4 つ
テレワークの実施には、セキュリティに関連する次の 4 つのリスクが生じる可能性があります。
- 持ち出した端末の盗難や紛失
- ネット環境を原因とした通信傍受
- ウイルスやマルウェアへの感染
- 内部不正の誘発
いずれも一度発生してしまうと、情報漏えいや内部不正などを引き起こしかねません。それぞれのリスクを正確に把握し、テレワークを実施する際は一つひとつの項目を慎重に確認しましょう。
1.持ち出した端末の盗難や紛失
テレワークの実施によって、社内から持ち出した端末や USB メモリー、HDD などの盗難や紛失が起こる可能性があります。テレワークを行う場所は自宅だけとは限りません。
カフェやコワーキングスペース、サテライトオフィスなど、不特定多数の人が出入りする場所で業務を行う場合も多いでしょう。もし、このような場所で顧客の個人情報や機密情報などが保存されている端末が盗難に遭えば、内部データが外部に漏れる可能性が否定できません。
また、本体が小さな HDD や USB メモリーなどの記録媒体は紛失の可能性が高く、取り扱いには十分注意が必要です。
2.ネット環境を原因とした通信傍受
テレワークで利用する場所のネット環境を原因として、通信傍受を受けるケースもあります。特に、出先で利用できる公共のフリー Wi-Fi は、通信傍受の可能性が高い接続方法の 1 つです。
テレワークで利用される場所の多くは、このフリー Wi-Fi を設置しています。しかし、一般に開放されたフリー Wi-Fii は、通信内容を暗号化していない場合も少なくありません。通信内容を暗号化していない場合は、端末内の「ID やパスワード」、「メール」、「機密データ」などが筒抜けになる場合があるのです。
また出先だけではなく、自宅のインターネット回線から情報が漏えいする可能性もあります。自宅のネットワーク内に設置した Wi-Fi 機器などが原因となることもあるので注意してください。
3.ウイルスやマルウェアへの感染
テレワーク で利用する端末がウイルスやマルウェアに感染することで、情報漏洩などを引き起こす場合もあります。マルウェアとは、あらゆる種類の悪意あるソフトウェアの総称です。
テレワークの場合は社外のネットワークを利用するため、セキュリティ対策が難しくなります。テレワークで利用している端末でマルウェアやウイルスの感染を誘発する Web サイトやメールなどを開いてしまうと、不正アクセスの原因となるのです。
その結果として、個人情報や社内の機密情報などが外部に流出する恐れがあります。特に、リモートワークで私物のパソコンなどを利用する場合は、セキュリティ対策が十分でないこともあるため注意が必要です。
4.内部不正の誘発
テレワークの導入によって、内部不正を誘発するケースも少なくありません。社内とは異なり、テレワークの環境下では周りの目がなくなります。
システムへのアクセスログが取得できていなかったり、必要以上にアクセス権限を与えたりすると、企業に不満を持つ従業員によって内部不正が発生する可能性が高まります。事実、過去には社員による「顧客情報の持ち出し」が起きた企業もあります。
もし、このような事態が起これば、漏えいした情報への賠償や業務停止、お客様の信頼損失など企業への影響は計り知れません。
テレワークの際にとるべきセキュリティ対策は 5 つ
テレワーク導入によって懸念されるリスクを抑えるには、次の 5 つに関するセキュリティ対策が必須です。
- セキュリティ意識を向上するための教育
- ウイルス対策ソフトの導入とアップデート
- 遠隔による端末管理
- セキュアな通信インフラを構築
- セキュリティに関するルールを設定
業務の遂行に要する端末やインフラだけではなく、従業員の意識にも対策を講じる必要があります。それぞれの対策について詳しく内容をみていきましょう。
1.セキュリティ意識を向上するための教育
テレワークの実施にあたっては、まず従業員のセキュリティ意識を向上するための教育を施しましょう。元々セキュリティに関する教育を行っている場合も、テレワークに即した内容でなければ改めて実施する必要があります。
具体的には「ウイルスソフト」や「端末等の紛失」、「不正アクセス」、「内部不正」といった内容や、情報漏えいなどが起きた際の責任の所在、影響なども認識してもらわなければなりません。テレワークの希望者には研修を義務づけるなど、一人ひとりがリスクを必ず認識できる仕組みを社内に構築しましょう。
2.ウイルス対策ソフトの導入とアップデート
ウイルスやマルウェアへの感染を防ぐためにも、ウイルス対策ソフトの導入やOSのアップデートを実施しましょう。
ウイルスやマルウェアの脅威に備えるには、パソコンなどの端末にセキュリティ対策を施す必要があります。不正アクセスや不正プログラムを検出するウイルス対策ソフトを導入し、情報漏えいのリスクを回避しなければなりません。
また、ウイルス対策ソフトの導入後もソフトのアップデートを定期的に行ったり、パソコンやモバイル端末の動作させるOSを定期的にバージョンアップしたりなど、日々多様化するマルウェアやウイルスに万全の対策を講じてみてください。
3.遠隔による端末管理
テレワークの実施によってさまざまな環境で端末を使うようになれば、当然セキュリティリスクが増大します。その対策のひとつとして、遠隔によって端末を管理できるツールの導入をおすすめします。
遠隔から端末を管理できると、異なる環境にある端末の一元管理や遠隔による端末操作が可能です。具体的にはパソコンを紛失した際に位置情報を見つけたり、遠隔操作によって機能のロックやデータの削除を実行したりすることもできます。社内データを危険にさらす前の早期の復旧や対応が可能です。
4.セキュアな通信インフラを構築
ネット環境を原因とした通信傍受などを防ぐためにも、セキュアな通信インフラを構築しましょう。前述のとおり、テレワークは業務を行う場所によってインフラ環境が異なります。
フリー Wi-Fi やポケット Wi-Fi 、携帯 SIM などさまざまな環境が考えられます。これらすべてに対応するのは現実的ではなく、プライベートネットワークを構築する通信インフラなどを企業側が導入することで、インターネットを通じた外部からの不正アクセスを防げます。
具体的には、「インターネット VPN」や「IP-VPN」といった方法がセキュアな通信インフラとして挙げられるでしょう。詳しい内容を後述しています。そちらを確認してみてください。
5.セキュリティに関するルールを設定
会社から離れたところで仕事を行うテレワークにおいては、セキュリティに関するルールの設定も欠かせません。具体的には「許可のないアプリケーションの利用制限」や「業務に必要のない Web サイトの閲覧禁止」など、組織内におけるルールを策定して周知します。
また、パソコンや USB メモリーなどの故障、紛失などが発生した際の対応方法も明らかにしておきましょう。社内のルールを策定するとともに、連絡体制についても整備することで万が一の場面で迅速に対応できます。
おすすめのセキュリティ対策サービスやツール 3 選
テレワークの実施においておすすめするセキュリティ対策サービスやツールは次の 3 つです。
現状の自社の体制やセキュリティ対策への進捗状況などを考慮しつつ、セキュリティ対策に関するサービスやツールを導入することをおすすめします。ここでは、各サービスとツールの特徴について詳しく解説していきましょう。
1.VPN
VPN(Virtual Private Network)とは、インターネット上に仮想の専用線を設けることで、特定の人のみが利用できるようにした専用のネットワークです。
VPN の導入でセキュアなアクセスに必要な「トンネリング技術」や「通信情報の暗号化」などの機能を持つことができます。その結果として、テレワークなど離れた場所からでも社内のサーバーやシステムに安全にアクセスできるのです。
VPN は主に「インターネット VPN」と「IP-VPN」、「広域イーサネット」の3種類に分かれます。それぞれにセキュリティや通信品質、コストなどの違いがあるため、自社の目的や課題に合った種類を選ぶようにしましょう。
2.MDM
遠隔による端末管理を行う場合は、「MDM(Mobile Device Manegement)」をおすすめします。 MDM とは企業などで利用する端末を一元的に監視、管理するためのツールです。MDM は大きく分けて、次の3つのセキュリティ機能を持ちます。
- 端末の紛失や盗難時のリモート制御
- 機能の一元管理
- 各種ポリシーの一斉配布による効率化
特に、端末の紛失や盗難によるリスクを低減するための「リモートロック機能」はテレワークに欠かせません。リモートロック機能があると、紛失や盗難時に端末を遠隔操作でロックできます。
また「リモートワイプ機能」によって、遠隔地にある端末内のデータを消去することも可能です。さらに、機能の一元管理によって Wi-Fi や Bluetooth、カメラなどの端末機能を制限でき、私的な端末利用も防げます。
3.クラウドサービス
業務を各端末やサーバー内で行わず、インターネットを通じてクラウド上で処理するクラウドサービスもおすすすめです。数あるクラウドサービスの中でも、セキュリティに関するサービスに次の3つが挙げられます。
- クラウドストレージ
- ポリシー管理ツール
- バックアップツール
クラウドストレージとは、インターネットを通じてファイルを保管する場所のことです。保管だけではなく、URL を共有することでファイルを共有できます。
また、企業ごとの方針や規定、ルールなどを管理する「ポリシー管理ツール」やパソコンやファイルフォルダの破損などに備えてデータと情報を保存する「バックアップツール」 などを利用することで、あらゆる業務をクラウド上で完結できます。
これらクラウドサービスは一般的に高いセキュリティレベルを保持しており、専用システムを独自に構築するよりも安価です。さらに、セキュリティ対策はベンダー側が行うため、安心してリモートワーク環境を整備できます。
テレワークの実施にはセキュリティを万全に
テレワークの実施で懸念されるリスクを抑えるには、万全なセキュリティ対策は欠かせません。端末や通信インフラに関する対策はもちろんのこと、人に対する教育を施し、ルールを定めて周知徹底する必要があります。
人では防ぎきれないリスクは、セキュリティ対策に関するサービスやツールを導入してカバーしましょう。セキュリティに対する危機感を企業全体で持つことが、テレワークを安全に実施するカギになるのです。
テレワークにおけるリスク管理の詳細については、ブログに登録してご覧ください!