ワークスタイル
テレワーク導入におけるセキュリティ対策のポイント
企業がテレワークを導入する際には、セキュリティ対策が欠かせません。テレワークで問題となるセキュリティリスクとはどのようなもので、リスクを回避するには何をすれば良いのか、押さえておきたいポイントについて解説します。
- テレワークとは
- テレワークにおけるセキュリティ対策の必要性
- 個人の端末か、会社支給の端末か? テレワークの形態
- テレワークによるデータの流出・紛失のリスク
- テレワークにおけるセキュリティ対策のポイント
テレワークとは
テレワークとは、tele(離れた場所)とwork(働く)を合わせた造語であり、働く場所や時間にとらわれない新しい働き方の総称です。新型コロナウイルスの流行を機に、多くの企業がテレワークの導入を進めました。テレワークについてより詳しく知りたい方は、こちらの記事も併せてご覧ください。
テレワークにおけるセキュリティ対策の必要性
テレワークを導入・実施する際には、セキュリティ対策が欠かせません。テレワークではオフィス外に情報(データ)を持ち出すことになり、外部から社内ネットワークなどに接続して業務を行うため、特に情報漏えいや不正アクセスに気をつける必要があります。
情報処理推進機構(IPA)が公開する「情報セキュリティ10大脅威2023」においても、組織部門の5位に「テレワーク等のニューノーマルな働き方を狙った攻撃」が挙げられています。いまやテレワークは一般的な働き方として普及しており、テレワークのセキュリティの隙を狙った攻撃も増えているため、注意が必要です。
普及したとはいえ、まだしっかりと対策ができていない場合も多いため、狙われやすいといえます。従来のセキュリティ対策をそのまま活用するだけでは不十分であり、テレワークに合わせたセキュリティ対策が欠かせません。
個人の端末か、会社支給の端末か? テレワークの形態
テレワークで使用する端末や使用する際の形態として最も手軽なのは、社内のパソコンから必要なデータをUSBメモリーにコピーして持ち出し、テレワーク時には個人所有のパソコンを使って作業するという形態でしょう。
現在ではUSBメモリーを使わず、クラウドサービス(オンラインストレージ)を利用して、社内パソコンと個人所有パソコンでデータを共有する形態も一般的です。
個人所有の端末ではなく、持ち出し用ノートパソコンを従業員に支給してテレワークに活用する会社も増えています。個人所有のパソコンを業務に使用するのはリスクが高いという判断によるものです。
さらに、テレワーク時にそれらのパソコンを使い、インターネット経由で社内ネットワークに接続して作業を行う形態もあります。代表的なのは「リモートアクセス」と呼ばれる方式で、その場合には「VPN(Virtual Private Network)」と呼ばれるセキュリティ強度の高いネットワーク技術を使って安全性を高めることが一般的です。
また、シンクライアント端末を使用する形態もあります。シンクライアント端末は通常のパソコンを使うのと同じ感覚で使用できますが、その機能は必要最低限にとどめられており、多くの処理をサーバー側で行います。そのため、端末内にデータが残らないのが特長です。シンクライアント端末を、リモートアクセスと同じように遠隔地から社内ネットワークに接続すれば、テレワーク用端末として使用することが可能です。
テレワークによるデータの流出・紛失のリスク
テレワークで特に気をつけなければならないのは、データの流出や紛失のリスクです。どのような形でデータが流出・紛失してしまうのか、代表的なケースを見てみましょう。
私物端末からのウイルス感染
テレワークで私物のパソコンやスマートフォンなどを業務利用する場合、社用デバイスのようにしっかりと管理されているわけではないため注意が必要です。従業員ごとにセキュリティ対策の強度も異なり、場合によっては私物端末からウイルスなどに感染し、ネットワークを通じて感染が広がってしまうかもしれません。ウイルスなどに感染することで、重要なデータが知らないうちに盗まれたり、破壊されたりすることが考えられます。また、ウイルスなどへの感染が、不正アクセスのきっかけになることもあるでしょう。
これらのリスクはテレワークだけでなく、私物端末や許可されていないクラウドサービスなどを勝手に利用する「シャドーIT」でも同様のことがいえます。シャドーITについては、こちらの記事をご覧ください。
USB利用によるウイルス感染
ウイルスに感染したUSBメモリーをパソコンに接続すると、不正なプログラムが自動で実行され、パソコン内部の情報が盗まれてしまうことがあります。こうしたUSBメモリー経由のデータ流出は、ウイルスに感染していた別のパソコンでUSBメモリーを使用したときに、USBメモリーにウイルスが自動コピーされることなどで起こります。
フリーWi-Fi利用による不正アクセス被害
無料で使用できる、パスワードの入力が不要なWi-Fiの中には、通信内容が暗号化されていない、または古い暗号化方式を採用しているために、第三者が通信内容を覗き見できるものがあります。また、不特定多数のユーザーが共通パスワードを使用するタイプのWi-Fiは、たとえ暗号化されていても同じパスワードで接続しているユーザーであれば、簡単に通信内容を傍受できてしまう可能性があります。
さらに、適切なセキュリティ対策が行われていないWi-Fiルーターも不正アクセスの対象になります。自宅でテレワークを行う場合など、パソコンだけではなくWi-Fiルーターにも十分なセキュリティ対策を実施することが望ましいです。
のぞき見による情報流出被害
「ショルダーハッキング」と呼ばれるパスワード入力時の手の動きを背後から盗み見て、不正にパスワードを入手する手法もあります。営業先やサテライトオフィスなど不特定多数がいる場所でログインする場合は、背後に気をつける必要があります。
端末や記憶装置の紛失・盗難
USBメモリーやパソコンは、持ち運び中に物理的に紛失する危険性も想定しなければなりません。置き忘れや盗難によってデータが紛失・流出するケースも過去に多く起きています。
テレワークにおけるセキュリティ対策のポイント
テレワークを導入する際には、事前にしっかりと対策を検討しておくことが重要です。ここでは、テレワークにおけるセキュリティ対策のポイントについて解説します。
テレワークに合わせた社内ルールの見直し
テレワークは新しい働き方であり、従来の働き方とは大きく異なります。そのため、テレワークに合わせて社内ルールも見直す必要があります。データの取り扱いや社内ネットワークへアクセスする際のルールなどを事前に定め、従業員に周知徹底することが重要です。テレワークを導入したことで働きづらくなっていないか、などを随時確認して社内ルールを定期的に見直すことも重要になります。
セキュリティソフトやサービスの導入
従来の働き方はオフィス内で完結していたため、社外ネットワークとの出入り口を中心としたセキュリティ対策が一般的でした。しかし、テレワークの導入によって社外から社内ネットワークに接続したり、クラウドサービスを利用したりする機会が増えています。アクセス方法が多彩になり情報(データ)の保存場所もさまざまであるため、従来型のセキュリティ対策では不十分になってきています。
そのため、自社におけるテレワークの使い方を把握し、必要に応じて新たにセキュリティソフトやセキュリティ対策のサービスの導入を検討しましょう。VPNの利用をはじめ、クラウドサービスの利用状況を可視化・制御する「CASB(Cloud Access Security Broker)」や、デバイスの状況・状態を監視する「EDR(Endpoint Detection and Response)」などの導入を検討します。
従業員教育
テレワークにおけるセキュリティ対策で求められるのは、まずテレワークを実施する従業員に対する教育・啓発活動の徹底です。従業員がデータの流出・紛失の危険性とセキュリティの必要性について正しく知り、ウイルス感染などを防ぐ方法を心得ていることで、セキュリティリスクを効果的に低減させることができます。
暗号化によるセキュリティ強化
テレワークで利用するハード、ソフト両面のセキュリティを強化することも重要です。社内のパソコン、サーバー、ネットワーク、持ち出し用パソコン、USBメモリー、テレワークで使用する場合は個人所有パソコン、Wi-Fiルーターなどあらゆる機器をセキュリティソフトや暗号化でしっかりと守りましょう。
たとえ機器を物理的に紛失することがあっても、第三者が内部のデータに簡単にアクセスできないように、ログイン制限やワンタイムパスワードなどの対策を講じておくべきです。
OSやアプリケーションのアップデート
システムや使用ソフトウェアのアップデートも欠かさず管理、実行しておきましょう。このような基本的なセキュリティ対策こそ最も高い効果を発揮します。OSなどのぜい弱性に気を配り、常にカバーするための作業を行っておくことがリスクの回避につながります。
テレワークの導入・運用を成功させるにはセキュリティ対策の実施が必須だといえます。どのようなリスクがあるのかを正しく理解し、データ流出・紛失を防ぐ環境を整えていきましょう。