テレワークにおけるセキュリティ対策

新型コロナウイルス感染拡大を受けた緊急事態宣言発令をきっかけに、日本におけるテレワークは一気に加速しました。

しかし、十分な準備のないまま、急ごしらえで対応した企業も少なくないでしょう。
オフィス勤務時と比較しても生産性を落とさず、なおかつセキュアにテレワークを実施できる環境を実現するには、システムやツール、社内の仕組みづくりなど、整備すべきことは広範にわたります。

本コラムでは、その中でも特に「セキュリティ対策」に的を絞って、ポイントをご紹介いたします。

1.テレワークは緊急事態宣言をピークに減少？

2.テレワークにおける情報セキュリティリスク

3.テレワークのセキュリティ対策　3つのポイント

4.まとめ

テレワークは緊急事態宣言をピークに減少？

厚生労働省は新型コロナウイルス感染拡大を受け、LINE株式会社と協定を締結し、3月31日から8月13日までの間に5回の「新型コロナ対策のための全国調査」を実施しました。

これによると、4月12日～13日に実施された第3回の調査結果で、テレワークの導入率は27％でした。
第1回（3月31日～4月1日）の14％、第2回（4月5～6日）の16％に続き、上昇を続けていることがわかります。

さらに、第4回（5月1～2日）では、オフィスワーク中心の労働者が「仕事はテレワークにしている」と回答したのは40.8％、しかし、第5回（8月12～13日）では、23.5％へと減少しています。

調査項目が同じではないため単純な比較はできませんが、全都道府県で緊急事態宣言が解除された2020年5月25日前後で、「増加」「減少」と正反対の動きがあることが伺えます。

また、第1回から第3回の調査結果からテレワーク実施割合を都道府県別に見ると、東京を中心に緊急事態宣言が最初に発令された７都府県でテレワークの導入が進んだことがわかります。

以上を総合的に判断すると、今回のテレワーク増加は緊急事態宣言による一時的な対応であり、大半は定着していないとみられます。
テレワークが定着しづらい大きな要因としては、テレワークの導入により、業務・勤怠・労務などの管理や、情報セキュリティ対策が難しくなることが挙げられます。

【関連記事】
2020東京五輪テレワークは必要？メリットとデメリット

テレワークにおける情報セキュリティリスク

テレワークを導入することで、ネットワークが広がりデバイスも増えるため、セキュリティ対策は複雑化し、困難になります。

しかし、テレワーク実現のためには、ICT機器の利活用が欠かせません。
これらを結ぶ通信ネットワークとともに、端末に対してもセキュリティ対策を施す必要がありますが、オフィス環境のように限られた場所を管理すれば良いというわけにはいかなくなるため、対策はより複雑・困難になります。

ここでは、テレワークにおける情報セキュリティリスクを3つの視点から確認します。

サイバー攻撃のリスク

サイバー攻撃は、年々、高度化・巧妙化しており、オフィス環境でも対策が欠かせません。
もしもセキュリティが破られ、攻撃されてしまった場合、情報漏えいのほか、データの損失や破損、改ざん、身代金の要求といった被害を受ける可能性があります。

従業員の過失による情報漏えいリスク

外部からの攻撃を受けなくても、従業員のミスや怠慢によって情報が漏えいしてしまうリスクがあります。

メールやFAXの誤送信などもありますが、テレワークの場合は特に、ノートPCや社用携帯、書類等の紛失や管理ミスによる盗難、公共の場所で部外者から画面をのぞき見されていることに気づかなかったり、システムからの警告メッセージを無視したりといった要因による情報漏えいリスクが高まります。

また、テレワーク時に限りませんが、会社所有のデバイスを公共の場で提供されているフリーWiFiにつなぐのも危険で、情報を窃取されたりマルウェアをインストールされる恐れがあります。

従業員の故意による情報漏えいリスク

現在、勤務している従業員というよりも「元従業員」のケースが多いのですが、悪意ある従業員が故意に情報を持ち出したり漏えいさせたりした事例も国内外で過去に起きています。

特に、一般の従業員よりも多くの情報にアクセスできる権限を持つ従業員が内部犯行を起こしやすく、環境要因・心理的要因の両面から対策を取る必要があります。

テレワークの場合、オフィス環境とは異なり、上司の目が行き届かなくなったり帰属意識が薄れやすくなったりすることから、もともと会社に対する不満を抱えていた従業員が行動を起こすきっかけとなってしまう恐れもあります。

テレワークのセキュリティ対策　3つのポイント

上記のようなリスクを回避するためにも、やはりセキュリティ対策は重要で、考え方は基本的にオフィス環境におけるセキュリティ対策と共通します。

ルールによるセキュリティ対策

一点目は、従業員のセキュリティに関する意識・知識を向上させることです。
まずは、テレワーク時のセキュリティに関するガイドラインの策定や、社内規定の変更を行いましょう。その後、周知・研修を行います。

研修では、テレワークにおけるセキュリティリスクの基礎知識を指南するとともに、秘密保持契約（NDA）の再確認なども盛り込み、故意による漏えいを防止しましょう。

インシデント事例なども引き合いに出しながら、業務の中での具体的なリスクのポイントを提示し、「自分ごと」として捉えてもらう必要があります。

また、公共の場で提供されているフリーWiFiの危険性については、従業員一人ひとりが認識したうえで、基本的に会社から借り受けているデバイスはつながない、つなぐ際は必ずVPNを使用するなどの徹底が必要です。

技術によるセキュリティ対策

二点目は、データの暗号化、セキュリティ対策専用ソフトの活用といったテクノロジーによるセキュリティ対策についてです。

社外へ持ち出すデバイスは、ウィルス対策ソフトを入れて認証を複雑化した上でハードディスク内のデータを暗号化する必要があります。

デバイスを通信ネットワークにつなぐ際も、安全な回線を使用した上でVPNなどを使ってアクセスする必要があります。
また、ウェブアプリを安全に利用するためにセキュアブラウザの活用なども必要です。

物理的なセキュリティ対策

最後に、作業環境や、情報を記録している媒体といった物理的な対象物へのセキュリティ対策です。

オフィスのように入退室管理が行われているわけではない場所（自宅など）で作業を行うテレワークでは、個室での就業が好ましく、場合によっては会社支給で施錠環境を用意するなどの対策も求められます。

また、書類やUSBメモリといった記憶媒体は紛失や持ち出しなどのリスクが高いため、ペーパーレス化や使用制限などの対応も必要です。

まとめ

日本でも緊急事態宣言発令をきっかけに急速に広まったテレワーク。
導入のネックとなる要素の一つである情報セキュリティ対策は、「ルール」「技術」「物理的な側面」の3つの観点から固めていきましょう。

アイネスでは、現状の脆弱性診断、情報セキュリティポリシーの策定から、外部からの防御、内部対策、監視まで、さまざまな情報セキュリティ対策の実績を持っております。
また、ゼロトラストモデル導入の第一歩として着手したい「認証情報の徹底した管理」の一手段としてクラウド型ID管理"Okta"の提供も行っております。

【関連記事】
ゼロトラストネットワークとは

このように、テレワークに関連する様々なクラウドアプリケーションの活用やセキュリティサービスの豊富な導入実績をもとに、お客様のご要件や状況に合わせ、各種サービスを組み合わせた最適なテレワークソリューションをご提案いたします。

「テレワークソリューション」について、詳しくは以下のページよりお気軽にご相談ください。
テレワークソリューション

※ 本文に掲載されている会社名・団体名および製品名は各社または団体等の商標または登録商標です。