「テレワークにはセキュリティ対策は必要なの?」
「テレワークでは、どんなセキュリティ対策をしなければならないの?」
テレワークを導入する企業が増えている中、セキュリティ対策が必要なのか気になるところですよね。
結論から言うと、テレワークにセキュリティ対策は必須です。
テレワークは社内とは違い自宅やカフェ、ワーキングスペースなどさまざまな場所で自由に仕事ができます。
社内のように守られた環境下で仕事をするわけではないので、コンピューターウイルスへの感染や盗難、情報の流出などが起こりやすくなるのです。だからこそ、テレワーク向けの細かなルールを定めてしっかりとセキュリティ対策実施することが欠かせません。
そこでこの記事では総務省が発表している「テレワークセキュリティガイドライン第4版」を参考に
◎テレワークのセキュリティ上の基礎知識
◎テレワークのセキュリティ対策の具体的な方法
◎テレワークのセキュリティ対策のチェックリスト
◎テレワークのセキュリティ対策の事例
◎テレワークのセキュリティ対策で使えるツール・サービス
をまとめてご紹介します。最後まで読めば、テレワークのセキュリティ対策がすぐに実践できるようになるはずです。
テレワークの導入が進むに連れて、セキュリティ対策不足による被害も出ています。しっかりとセキュリティ対策した上で、安心してテレワークができるようにしましょう。
目次
1.テレワークのセキュリティ対策をする上での基礎知識
まずは、テレワークのセキュリティ対策をするために知っておきたい基礎知識をご紹介します。テレワークのセキュリティ対策の基本がしっかりと把握できるので、チェックしてみてください。
1-1.テレワークにセキュリティ対策は必須
オフィスから離れた環境で仕事をするテレワークには、セキュリティ対策が欠かせません。
テレワークは自宅やワーキングスペース、カフェなど時間と場所を選ばれずに仕事ができるのは大きなメリットですが、その一方で情報漏えいやパソコンなどの盗難、コンピューターウイルスへの感染など新たなリスクが生まれます。
2020年1月~3月にはテレワークを標的にしていると思われるサイバー攻撃が約6,500件も発生しており、サイバー犯罪者やハッカー集団が目を光らせていることが伺えます。
また、2020年に情報処理推進機構が実施した「ニューノーマルにおけるテレワークとITサプライチェーンのセキュリティ実態調査」では取引先のセキュリティ対策に不安があるという声が51%と過半数を超え、円滑に仕事をするうえでも安心して取引ができるセキュリティ対策が必要です。
参考:情報処理推進機構「ニューノーマルにおけるテレワークと IT サプライチェーンのセキュリティ実態調査」
テレワークを導入する企業が増えているいますが慌ててテレワークを導入せようとせずに、セキュリティ対策に目を向けながら検討することが求められています。
参考:産経新聞「テレワーク標的か 国内でサイバー攻撃6500件超」
1-2.テレワークのセキュリティ上の5つの問題点
テレワークのセキュリティ上の問題点として
・パソコンやタブレットなどの盗難や重要な情報の紛失
・ウイルスに感染する可能性がある
・不正アクセスをされるリスクが高まる
・重要な情報が盗聴される可能性がある
・内部不正が起こりやすい環境となる
という5つがあります。それぞれどのようなところが問題点となっているのかご紹介します。
1-2-1.端末の盗難や重要情報の紛失
テレワークでは会社の機密情報が個人情報が入ったパソコンや書類、SDカードやUSBなどの記憶媒体を社外へと持ち出すため盗難や情報を紛失するリスクが高まります。
例えば、カフェやコワーキングスペースなどで仕事をしており目を離した隙に、パソコンやUSBカードが盗まれてしまう可能性がゼロではありません。
また、パソコンや記憶媒体、書類などが直接盗まれることはなくても、目を離したときに盗み見されてしまったりコピーされてしまったりして、個人情報が流出してしまうケースもあるようです。
社内のみで仕事をしていれば盗難や情報流出のリスクは抑えられますが、社外に持ち出すことによって情報資産やパソコンなどの備品が紛失するリスクが生まれます。
1-2-2.ウイルスに感染する可能性がある
テレワークでは自宅や公衆の場からインターネットにアクセスをするため、ランサムウェアやマルウェアなどのウイルスに感染リスクがあります。
社内のサーバーやパソコンは外部からウイルスが侵入しないよう一律のセキュリティ対策ができますが、社員が外部で社内の情報を取り扱うときに必ずしもセキュリティ対策が万全だとは限りません。
例えば
・パソコンを複数台所有しており、セキュリティ届出がされているものとそうでないものを併用している
・セキュリティの安全性が確保されていない公衆の無線LANに接続している
・安全性が確認されていない記憶媒体を使用している
・社内の情報クラウドに、社外からでも簡単にアクセスできる
・最新のウイルス対策ソフトをダウンロードしていないパソコンを使用している
といった場合には、ウイルスが侵入する隙を与えてしまいます。
2020年にパロアルトネットワークス株式会社が実施した「テレワークジャパンサーベイ2020年版」の調査を見てみると、テレワークをしている社員から見てもウイルス感染やインターネット環境に不安を抱いている人が多いことが分かります。
参考:パロアルトネットワークス株式会社「テレワークジャパンサーベイ2020年版」
このように、テレワークをするときにどのような環境下でもコンピューターウイルスに感染しないような対策をしなければならないことは大きな問題点となっています。
1-2-3.不正アクセスをされるリスクが高まる
セキュリティ対策が不十分なままテレワークを実施すると、不正アクセスされるリスクが高まります。
テレワークの場合は
・古いセキュリティソフトを利用している
・いくつものパソコンで同じパスワードを使い回している
・安全性が確認されていない公衆のインターネット接続で仕事をしている
ということが起こりやすくなります。古いセキュリティソフトを利用しているとセキュリティの隙を見つけて不正アクセスしやすくなり、重要な情報が流出してしまう可能性があります。
また、いくつものパソコンで同じパスワードを使用していると業務用のパソコンはセキュリティ対策ができていても、他の端末から情報が漏れてしまうことがあります。
実際に他の端末から情報が漏えいし、自分になりすまして社内の重要な情報にアクセスをするというケースが発生しているようです。
他にも、パスワード設定のない公衆インターネット接続をしたことで機密情報に不正アクセスがあり、競合他社に重要な情報が渡ってしまったという事例もあります。
不正アクセスにより使用している端末や情報資産がダメージを受ける可能性があるところも、テレワークの懸念点だと言えるでしょう。
1-2-4.重要情報の盗聴
テレワークによりウェブ会議やビデオ会議、カフェなど公衆の場での打ち合わせなどが増えると重要な情報が盗聴されるリスクが高まります。
2020年4月にはウェブ会議アプリ「Zoom」に第三者が介入し、荒らしを行う行為が話題となりました。社内の機密情報を扱う会議が盗聴されると、個人情報や社内情報が流出する恐れがあります。
総務省が発表している「c」でも、コワーキングやカフェなどの大衆の場で打ち合わせをすることで盗聴される危険性があると注意を促しています。
社内の限られたスペースで打ち合わせをするのとは違い、周囲の環境を考慮しながら打ち合わせをしなければならないのもテレワークならではの問題点です。
参考:日本経済新聞「在宅勤務でサイバー攻撃増加 「Zoom」会議荒らし多発」
1-2-5.内部不正が起こりやすい環境となる
テレワークは上司や部下などの周りの目がなく監視者もいないので、内部不正がしやすい環境となります。
・社内情報へのアクセス制限を設けていない
・どこからでも社内の機密情報にアクセスできる
・テレワークのルールが徹底されていない
といったセキュリティ状態だと、社内の機密情報を持ち出して不正を行いやすい環境になってしまうでしょう。
2020年に情報処理推進機構が実施した「情報セキュリティ10大脅威2020」では、組織が脅威だと感じていることの第2位に社内不正がランクインしています。
参考:情報処理推進機構「情報セキュリティ10大脅威2020」
2019年では「社内不正」は5位にランクインしていたため、それだけリスクを実感している企業が増えているといえるでしょう。
1-3.テレワークのセキュリティは総合的な対策が必要
テレワークは社内の環境とは大きく異なり起こりうるリスクや問題点が違うので、「今までと同じ運用でセキュリティ対策をする」というわけにはいきません。テレワーク向けの総合的なセキュリティ対策を検討することが大切です。
総務省が発表している「テレワークセキュリティガイドライン第4版」では、総合的なセキュリティ対策の柱となるのは「人」「ルール」「技術」の3つだと記載されています。
①人
テレワークは監視者の目が届く場所で仕事をしないので、セキュリティに対する認識不足が起こりやすいです。厳格なルールを設けて情報システム部や管理層の人たちが守っても、誰か一人のセキュリティが甘いとウイルスなどの攻撃にあう可能性は充分あります。
一人一人のセキュリティ意識を高めて必ずルールを守ってもらうこと、そしてルールを守ることが企業や自分にとってメリットとなることを理解してもらう必要があります。
②ルール
テレワークをするにあたって適切なセキュリティ対策ができているのか判断する基準として、細かなルールを設けることが大切です。
曖昧なルールしか用意されていない個人の判断に任せるという状態だと足並みが揃わず、情報漏えいやウイルス感染などの危険にさらされる可能性があります。
また、テレワークのルールが明確に決まっていることでルール違反にならないよう意識をしながら行動できるようになり、一人一人の情報リテラシー向上にもつながります。
③技術
セキュリティソフトや二重認証などの技術を導入することで、ルールでは補えない具体的なセキュリティ対策を実施できます。
どのような技術が必要となるのかはテレワークの実施状況や社内で扱っている情報によって変わるので、テレワークでも一定のセキュリティが維持できることを前提として必要な技術を取り入れていきましょう。
「人」「ルール」「技術」のどれか1つでも欠けてしまうと、セキュリティ対策のバランスが崩れて一定のレベルが確保できない状態となります。
「セキュリティソフトを導入しているから安心」「ルールを作成したから守ってくれるだろう」と一部のセキュリティ対策で満足せずに、この3つのすべてがしっかりと稼働している状態を作りましょう。
2.テレワークのセキュリティ対策方法
ここからは、テレワークをするときに実施したい具体的なセキュリティ対策の方法を解説していきます。
テレワークのセキュリティ対策は
①パソコンやタブレットなどの端末の状態を確認する
②業務内容に応じてアクセス制限を行う
③利用するネットワークの安全性を確保する
④パソコンや外部記憶装置の紛失や盗難に気をつける
⑤重要な情報の盗聴やのぞき見に気をつける
⑥パスワードは多要素認証を活用する
⑦アクシデントが起きたときの対処法を決めておく
⑧テレワーク向けの情報セキュリティポリシーを作成する
という8つの項目を軸として考えていくといいでしょう。
どのようなセキュリティ対策をしなければならないのか、参考にしてみてください。
2-1.パソコンやタブレットなどの端末の状況を確認する
テレワークをするときには、業務で使用するパソコンやタブレットの状態を確認するようにしましょう。
最新のセキュリティソフトがダウンロードされていないパソコンを利用することで、セキュリティの脆弱性を狙いコンピューターウイルスに感染する可能性があります。
また、あまりに古いOSやブラウザを使用している場合も同様で、サイバー攻撃の標的とされてしまうかもしれません。
・申請したパソコンでしか業務をしてはいけない
・OSやブラウザのアップデートが確認できないと利用できない
・指定のセキュリティソフトがダウンロードされていることが確認できない利用できない
など条件を決めて、誰もが一定のセキュリティ対策をしたパソコンやタブレットで業務ができるようにしましょう。
ちなみに、一般社団法人日本スマートフォンセキュリティ協会が実施した「テレワーク状況とセキュリティに関するアンケート調査レポート」では会社から支給されているパソコンを利用しているという人が69.3%と多くなっているため、一定の安全性を確保するために会社から支給している端末のみを使用するというのも一つの方法でしょう。
また、パソコンの使い回しもとても危険です。1台のパソコンやタブレットを友人と家族と共有している場合は、パスワードやID、重要な情報が他人の目に触れる機会が増えてしまうため、業務用パソコンやタブレットは、共有しないという認識を持ってもらうようにしましょう。
参考:一般社団法人日本スマートフォンセキュリティ協会「テレワーク状況とセキュリティに関するアンケート調査レポート」
2-2.業務内容に応じてアクセス制限を行う
テレワーク先からどのような社内情報でも閲覧できる状態にしておくと、内部不正や情報流出のリスクが高まります。
業務内容に応じてアクセス制限できるように、社内の情報を下記のようにつ3つに分けていきます。
機密情報は、社員や会社の個人情報や経験情報など絶対に流出させてはいけない情報を指します。業務情報には、機密情報には該当しないけれど公開を前提としていない会議の上場や勤怠管理情報などを振り分けます。
そして、公開情報は一般公開をしても問題がないパンフレットの情報や公式サイトに記載されている情報が該当します。
この3つの中でテレワークでの持ち出し可能な情報は、業務情報と公開情報でしょう。機密情報はテレワーク環境からはアクセスできないよう制限をかけることで、重大な情報流出を防げます。
また、テレワーク環境から業務情報や公開情報にアクセスする場合は
・パスワードを求める
・社員である確認が取れるようにID等を入力する
・情報の印刷や記憶装置への保存は可能かどうか決める
といった対策を取り入れることで、盗難時や不正アクセス時の情報漏えいリスクが軽減できます。
| 【制限しにくい個人メールにも注意】 ウェブサイトや社内情報へのアクセス制限は検討しやすいですが、意外と盲点になるのが個人メールです。 国内外で感染拡大しているコンピューターウイルスの一種ランサムウェアは個人メールに届いた添付ファイルやURLをクリックすることで感染することが多く、一度感染してしまうと情報が暗号化されたり身代金を要求されたりする被害が発生します。 個人メールを制限するのは難しいことですが などルールを設けて、一人一人の危機管理意識を高めるようにしましょう。 |
2-3.利用するネットワークの安全性を確保する
テレワークを導入する場合は、どこにいてもネットワークの安全性を確保する必要があります。
例えば飲食店や空港、観光地で使える公衆無線LANは、その名のとおり誰もがアクセスできる環境となっています。
通常のインターネット通信は暗号化されて通信を行い情報が盗まれないようになっているのですが、公衆無線LANの中には暗号化されずに通信が行われている場合があります。
インターネット接続の画面を見たときに「オープン」となっている場合は情報が暗号化されておらず、オンライン上でやり取りをしている情報が盗まれてしまう可能性があるのです。
そのため、テレワークでインターネットを利用する場合には「自由に利用可能」とするのはとても危険で、予め制限を設けることが重要です。
・社内にVPN環境がある場合は、VPN経由での接続のみに制限する
・公衆無線LANの使用を制限する
・公衆無線LAN経由で重要な情報のやり取りをしない
・個人のWi-FiのパスワードやIDは知られないようにする
など、一定のの条件を設けるようにしましょう。プライベートな仮想空間を作りネットワーク接続ができるVPN環境がある場合は、できる限りVPN経由でインターネット接続をすることで第三者の侵入を抑制できます。
また、社外から社内用のシステムにアクセスするときにもセキュリティ対策が必要です。パスワードや社員IDなどを入力しなければアクセスできないようにして、第三者が安易にアクセスできないよう工夫しましょう。
2-4.パソコンや外部記憶装置の紛失や盗難に気をつける
テレワークは自宅やサテライトオフィス、ワーキングスペースなどを行ったり来たりするため、パソコンや資料、SDカードやUSBなどの紛失や盗難のリスクが高くなります。
一人一人が盗難や紛失に遭わないよう厳重に管理をするよう始動するのはのはもちろんですが、万が一盗難や紛失が起きたときのために業務用パソコンやタブレットを把握できるようにしましょう。
私物利用の場合は届出を出して管理、社用パソコンの場合はシリアルナンバーなどで管理をすると、どのような情報が入っていたパソコンなのかある程度把握でき対策が取れます。
また、盗難な紛失で多いのは、SDカードやUSBなどの外部記憶装置です。ルールを設けずにテレワークでの使用を許可すると
・公私混同をして利用していると、どこにどのようなデータを保管したのか分からなくなる
・公私混同をして利用していると、他のパソコンからウイルス感染する可能性がある
・目を離した隙に外部記憶装置のみ取られる
・取引先などに外部記憶装置を貸してしまい帰ってこない
といった被害が起こりやすくなります。この対策としては、会社で貸出をして許可を得た外部記憶装置のみを使用するようにしていることが多いです。
私物ではないというだけでしっかり管理しなければならないという意識が高まり、不要なときには会社に戻す習慣をつけることで紛失や盗難が減らせます。
2-5.重要な情報の盗聴やのぞき見を防ぐ
ワーキングスペースやカフェなど不特定多数の人が出入りする場所で仕事をする場合、常に重要な情報をのぞき見されたり盗難されたりする危険性があります。
社内のように社内の人の出入りが少なく情報が守られた環境ではないことを自覚して、一人一人が周囲の状況に目を配る配慮が欠かせません。
それに加えて
・パソコンを操作しないときはロック画面にする
・席を離れるときはパソコンを閉じる
・会議や重要な連絡は外部では行わないようにする
・のぞき見防止のフィルターやイヤフォンなどを活用する
といったルールを決めて、盗聴やのぞき見によって重要な情報が流出してしまうのを防ぎましょう。
また、昨今はウェブ会議アプリなどを介して第三者が盗聴したり会議に侵入したりする事例も発生しています。オンラインで打ち合わせをする場合は最新のバージョンでアプリを利用し、会議の内容に合わせて入室者の制限や機能の制限を設けることで盗聴などのリスクを軽減できます。
2-6.パスワードは多要素認証を活用する
パソコンのロック解除や重要な情報へのアクセスなど認証が必要な場面でIDやパスワード入力のみの方法を採用すると、不正アクセスや情報漏えいによってパスワードが流出した場合に被害が拡大する恐れがあります。
パスワードには「多要素認証(Multi-Factor Authentication)」を採用するようにしましょう。多要素認証とは、「知識要素」「所有要素」「生体要素」の2つ以上を組み合わせて認証を行うことです。
| 認証方法 | 特徴 |
| 知識要素 | 本人のみが知っている情報例:IDやパスワード、秘密の質問など |
| 所有要素 | 本人が持っている持ち物に紐づけて行う認証例:スマートフォンを利用したSMS認証、メールアドレスにワンタイムパスワードを送信する認証など |
| 生体要素 | 本人のみが持っている身体的な特徴を使っや認証例:指紋認証、顔認証、位置情報での認証など |
例えば、
・IDの入力と指紋認証を組み合わせる
・パスワード入力とSMS認証を組み合わせる
・顔認証とID、パスワードを組み合わせる
など異なる認証方法を2つ以上組み合わせることで、セキュリティの向上が期待できます。最近はクラウドサービスでも多要素認証に対応しているのが増えているため、一人一人が多要素認証を採用することでセキュリティを強化できるでしょう。
ここで忘れてはいけないのが、多要素認証をしているからとってパスワードやIDの管理を怠らないことです。
・同じパスワードやIDの使い回しはしない
・パスワードやIDを他者の見える場所で管理しない
・パスワードやIDは定期的に更新する
ということにも注意をして、テレワークを行う必要があります。
2-7.アクシデントが起きたときの対処法を決めておく
テレワークでは常に上司や管理者が傍にいる環境ではないため、セキュリティ上のアクシデントが起きたときにすぐに連携し対応することができません。
そのため、アクシデントが起きたときに備えてあらかじめフローを作成しておくことが重要です。
とくに、パソコンなどの端末の盗難やランサムウェアなどのウイルス感染など重大なアクシデントが起きたときに「どうしたらいいのか分からない」と放置してしまうとどんどん被害が広まります。
実際に、テレワークで利用していた端末がランサムウェアに感染してしまい踏み台となった事例があります。社内のシステムにまで侵入し情報が流出するという事態に発展してしまいました。
アクシデントが起きたときに被害を最小限に食い止めるためにも
・アクシデントが起きたときの連絡方法や自分でできる対処法を明確にする
・コンピューターウイルスへの感染など被害に遭うとどのようになるのか情報を共有する
といったことを誰もが把握している状態にして、万が一の事態に備えましょう。
| 【アクシデントが起きたときのためにデータのバックアップも忘れない】 テレワークでもパソコンの盗難やランサムウェアなどのウイルス感染によって大切なデータが失われないように、定期的にデータのバックアップを取るようにしましょう。 テレワークの場合は社内端末とは異なり、一斉にバックアップをすることが難しい環境です。最近ではクラウドサービスや独自システムを利用して社員一人一人がデータをバックアップできるよう配慮しているケースが増えています。 情報資産が守れるように、自社に合うバックアップ方法を検討してみてください。 |
2-8.テレワーク向けの情報セキュリティポリシーを作成する
最後に、今までご紹介したセキュリティ対策を盛り込み独自の情報セキュリティポリシーを作成しましょう。
情報セキュリティポリシーはテレワークをする上でのセキュリティ対策の基準となるものなので、守ってほしいことを明確にしてルール化することが大切です。
第1章でも触れましたがテレワークは一人一人がセキュリティ対策の意識を高めないと、さまざまなリスクを軽減することができません。
また、ルール化しただけで満足せずに、セキュリティ意識が高まるように訓練や情報共有をする時間を設けて周知することに努めることも必要です。
3.テレワークのセキュリティ対策チェックリスト一覧
第2章でご紹介した8つのポイントを軸に、テレワークのセキュリティ対策を行うときのチェックリストを作成しました。
どこまで対策ができているか、セキュリティ対策に漏れはないか確認するときにぜひ活用してみてください。
| テレワークで使えるパソコンを決めるときのチェックリスト | |
| ① | テレワークで利用してもいいパソコンやタブレットなどの端末条件を決める |
| ② | セキュリティソフトやOSが古いパソコンは使用しない |
| ③ | 条件を満たしていないパソコンなどの端末は、テレワークで利用しないようにする |
| ④ | セキュリティソフトは、定期的にアップデートする |
| ⑤ | 業務で使用しているパソコンやタブレットの使い回しはしないよう促す |
| テレワーク時に情報制限を設けるときのチェックリスト | |
| ① | 社内の情報を「機密情報」「業務情報」「公開情報」に分ける |
| ② | レベルに応じてテレワーク環境での利用可否を決める |
| ③ | テレワーク環境下で情報にアクセスするときにはパスワードやIDを求めて、安易にアクセスできないようにする |
| ④ | 情報のレベルに応じて、印刷の可否や記憶装置への保存の可否を決める |
| ⑤ | 個人メール経由でウイルス感染するケースがあるため、メールの送受信のルールを設ける |
| ネットワークの安全性を確保するときのチェックリスト | |
| ① | 業務用パソコンやタブレットで自由なインターネット接続をさせないように促す |
| ② | 公衆無線LANの利用には制限を設ける |
| ③ | 社内にVPN環境がある場合は、VPN経由での接続のみに制限する |
| ④ | 社員のインターネット接続環境を定期的に確認する |
| ⑤ | 社外から社内システムにアクセスするときには、パスワード等のセキュリティ対策を設ける |
| パソコンや外部記憶装置のチェックリスト | |
| ① | パソコンや外部記憶媒体の盗難や紛失を起こさないために、一人一人の意識を高める |
| ② | 業務で使用するパソコンやタブレットは一覧表などを作成し、把握できるようにしておく |
| ③ | 重要な書類は自由に持ち出しせず、制限を設ける |
| ④ | SDカードやUSBなどの外部記憶装置は貸出式などにして、私物を自由に利用しない |
| 重要な情報の盗難やのぞき見に遭わないためのチェックリスト | |
| ① | テレワーク環境下では周囲に第三者がいることを意識して情報を取り扱う |
| ② | ワーキングスペースやカフェなどで業務をするときに盗聴やのぞき見に遭わないようなルールを定める(パソコン操作をしないときにはロック画面にする等) |
| ③ | ウェブ会議アプリは最新のバージョンで利用する |
| ④ | オンラインで会議や打ち合わせをするときの制限を設ける(入室者の確認や利用できる機能の制限など) |
| 多要素認証をするためのチェックリスト | |
| ① | パソコンのロック解除や情報へのアクセス時のパスワードは、多要素認証を採用する |
| ② | クラウドサービスを利用している場合は、一人一人に多要素認証で設定してもらう |
| ③ | 同じパスワードを使い回しせず、簡単なパスワードは避ける(誕生日や社員番号、同じ英数字の羅列など) |
| ④ | パスワードやIDは流出しないように慎重に管理をする |
| ⑤ | パスワードやIDは定期的に更新をし、チェックできるような体制を作る |
| 多要素認証をするためのチェックリスト | |
| ① | パソコンのロック解除や情報へのアクセス時のパスワードは、多要素認証を採用する |
| ② | クラウドサービスを利用している場合は、一人一人に多要素認証で設定してもらう |
| ③ | 同じパスワードを使い回しせず、簡単なパスワードは避ける(誕生日や社員番号、同じ英数字の羅列など) |
| ④ | パスワードやIDは流出しないように慎重に管理をする |
| ⑤ | パスワードやIDは定期的に更新をし、チェックできるような体制を作る |
| テレワーク向けの情報セキュリティポリシーを作成するためのチェックリスト | |
| ① | テレワークでセキュリティ上守って欲しいことをルール化してまとめる |
| ② | 情報セキュリティポリシーの内容は、社員一人一人が守るように周知徹底する |
| ③ | ルール化して終わりではなく、セキュリティ意識が高まるように訓練や情報共有を行う |
4.テレワークでのセキュリティ対策事例3つ
ここからは、実際にテレワークを実施している企業がどのようなセキュリティ対策をしているのか具体的な事例をご紹介します。
2017年~2019年の間に総務省が実施している「テレワーク先駆者百選」で総務大臣賞を受賞した事例から、セキュリティ対策に力を入れている下記の3つの企業に絞りました。
| 企業名 | 主なセキュリティ対策の内容 |
| NTTドコモ | オフィスワークに必要なアプリケーションはすべてモバイル端末で使用でき、情報は端末に残らない仕組み作り |
| アフラック生命保険株式会社 | テレビ会議システムなどICTツールの整備やパソコンやUSBなどの貸出などを実施 |
| ネットワンシステムズ株式会社 | 指定したデバイスのパソコンのみの使用を認め、購入費は特別賞与として支給、24時間対応のヘルプデスクの設置などを実施 |
どのようなセキュリティ対策をしたらいいのか迷った場合には、ぜひ参考にしてみてください。
4-1.NTTドコモ:テレワーク稼働率約8割を実現
NTTドコモでは2010年よりワークスタイルの見直しを行い、2018年にはドコモの本社や支社で約8割の在宅勤務率を達成しました。
オフィスワークに必要なアプリケーションはすべてモバイル端末で使用でき、フロー承認やスケジュール管理、ウェブ会議などが手軽にできるように工夫されています。これらの情報は一切端末に残らない仕組みとなっており、セキュリティ対策も万全です。
テレワークで課題となるオフィスワークのセキュリティや仕組み作りが出来上がっており、実際にテレワークを経験した社員の80%が「通常と変わらず業務ができた」「生産性が向上した」と回答しています。
| NTTドコモ | |
| 成功点 | 社員全員がモバイルワークが利用できる環境を整備・テレワークが利用しやすい風土にし、2018年には在宅勤務率が約8割に・テレワークを経験した社員からも前向きな意見が多い |
| セキュリティ対策 | オフィスワークに必要なアプリケーションはすべてモバイル端末で使用でき、情報は端末に残らない仕組みとなっている |
参考:総務省「平成29年度 テレワーク先駆者百選 総務大臣賞事例のご紹介」
s-WorkSquare「NTTドコモがテレワーク(在宅勤務)実施率80%を実現していた理由とは?」
4-2.アフラック生命保険株式会社
アフラック生命保険株式会社ではテレワークを立ち上げるときにモデル部門を設け問題点や対策の洗い出しから始めたことで、全社がテレワークに参加できる環が整い順調に進展しているそうです。
セキュリティ対策ではテレビ会議システムなどICTツールを整備することで、場所を選ばず安心して業務ができる環境を作りました。また、パソコンやUSBなどの貸出も実施しており、一定のセキュリティ基準を守った状態でテレワークができるよう工夫しています。
その他にも、テレワークで使用するツールの使い方やeラーニングなど知識の共有も積極的に実施しているようです。
その結果、生産性の向上や離職率の低下など嬉しい変化が起こっているとのことでした。
| アフラック生命保険株式会社 | |
| 成功点 | 生産性の向上や離職率の定価・働き方の見直しができ、有給休暇取得のアップや時間外勤務の削減に繋がっている |
| セキュリティ対策 | モデル部門を設け問題点や対策の洗い出しを実施・テレビ会議システムなどICTツールの整備・パソコンやUSBなどの貸出・ツールの使い方などを社内ポータルサイトやeラーニングで共有 |
参考:総務省「令和元年度 テレワーク先駆者百選 総務大臣賞事例のご紹介」
日経クロステック「在宅勤務5000人、アフラック生命保険のツール導入支援はここまでやる」
4-3.ネットワンシステムズ株式会社
ネットワンシステムズ株式会社は、2011年より利用回数や利用者を制限しないテレワーク制度を導入してきました。
全社員に仮想デスクトップ環境を提供し、どこにいてもオフィスと同等の環境で仕事ができるよう工夫したそうです。
セキュリティ対策としては指定したデバイスのパソコンのみの使用を認め、購入費は特別賞与として支給。セキュリティを担保したうえでクラウドサービスやイントラネットを利用することで、スムーズな業務を実現しました。
また、24時間体制のヘルプデスクを設置し、テレワーク中にアクシデントが起きた場合でもすぐに対応できるようにしています。
セキュリティ対策をしながらオフィス同等の環境を実現したことで、残業時間の減少など業務体制の向上につながりました。
| ネットワンシステムズ株式会社 | |
| 成功点 | 残業時間の減少など業務体制の向上につながっている・ワークライフバランスの実現度の向上 |
| セキュリティ対策 | オフィスと同等の環境で仕事ができるよう工夫・指定したデバイスのパソコンのみの使用を認め、購入費は特別賞与として支給・セキュリティを担保したうえでクラウドサービスやイントラネットを利用・24時間対応のヘルプデスクの設置 |
参考:総務省「平成29年度 テレワーク先駆者百選 総務大臣賞事例のご紹介」
日経DUAL「ネットワンシステムズ、全社員が制限なくテレワーク」
5.テレワークのセキュリティ対策ができるツール・サービス4選
最後に、テレワークのセキュリティ対策をするうえで役に立つツールやサービスをご紹介します。どのようなセキュリティ対策をしたらいいのか迷っている場合は、ぜひ参考にしてみてください。
5-1.リモートアクセスサービス
リモートアクセスサービスとは、自宅やサテライトオフィスなどの離れた場所からネットワーク経由で社内のネットワークにアクセスできるサービスです。
社内のパソコンに直接アクセスし作業できるので、手元のパソコンには情報が残りません。情報を持ち出しする必要がなく、情報漏えいの危険性を軽減できます。
また、データへの接続履歴を監視する機能や多要素認証に対応しているサービスもあり、セキュリティ対策を強化できるところも特徴です。
・社内に情報が多く持ち出しに不安がある
・社内のパソコンや端末の持ち出しは避けたい
と思っている場合は、ぜひチェックしてみてください。
5-2.セキュリティソフト
テレワークのセキュリティ対策で欠かせないのが、セキュリティソフトです。セキュリティソフトには
・ウイルスや迷惑メール、有害サイトから守る
・いち早くウイルスを検出する
という役割があるため、テレワークをするときの大きな脅威となるウイルス対策ができます。
最近は、さまざまなセキュリティ対策が1つのツールで総合的にできる統合脅威管理ツール(Unified Threat Management)も登場しています。
統合脅威管理ツールはウイルス対策はもちろんのこと、ネットワークやアプリケーション経由での不正アクセスの防止やウェブサイトの事前チェックなど、より多方面からセキュリティ対策ができるところが特徴です。
第2章でもご紹介しましたが、セキュリティソフトを使用してないパソコンはウイルスが侵入する隙を与えてしまうので自社に合うツールを必ず導入するようにしましょう。
5-3.IT資産管理サービス
IT資産管理サービスとは、ハードウェアやソフトウェア、さまざまなライセンス管理をまとめてできるツールです。
パソコンの利用状況やセキュリティ対策の状況を一括管理し、セキュリティが切れているパソコンや適切なライセンスを保持していないパソコンがすぐに把握できるようになります。
その結果、内部不正の防止やコンピューターウイルス感染の予防、テレワークルールに従った端末の利用が実現するのです。
テレワークで管理しなければならないパソコン台数が増えた場合やパソコンの状況把握を始めたい場合は、IT資産管理ツールを利用することでスムーズにできるでしょう。
5-4.バックアップツール
バックアップツールは、パソコンやサーバー内のデータを他の場所で保管し、データを紛失したときに復旧できるようにするツールです。
ウイルス攻撃に遭った場合や盗難、災害によりデータを紛失した場合に備えて、定期的バックアップをすることは欠かせません。
データのバックアップ方法には
・ハードディスク
・クラウドストレージ(ネットワーク上にデータを保管する)
・外付けハードディスクやSDカードなどの外部記憶媒体
などさまざまな方法があります。バックアップデータの容量や頻度、管理のしやすさなどを考慮して導入するようにしましょう。
| 【「Arcserve UDP」なら、大切なデータを簡単にバックアップできる】 「Arcserve UDP」はサーバやパソコン内にあるアプリケーションやOS、データを「丸ごとバックアップ」して「丸ごともとに戻す」ことができます。 操作方法やデータの管理方法がとても簡単なので、テレワークでの情報管理にもおすすめです。 万が一のときに一刻も早くデータ復旧ができるのがもちろんのこと、情報資産となるデータを厳重に管理することができるので、まずは無料トライアルの利用がおすすめです。 詳しくは、下記のリンクからチェックしてみてください。 |
6.まとめ
いかがでしたか?
テレワークでの具体的なセキュリティ対策方法が把握でき、導入できるようになったかと思います。最後にこの記事の内容をまとめてみると
◎テレワークをする上でセキュリティ対策は必須
◎テレワークのセキュリティ上の問題点は次の5つ
1)パソコンやタブレットなどの盗難や重要な情報の紛失するリスクが高まる
2)社外でインターネット接続をすることで、ウイルスに感染する可能性がある
3)ウイルス感染や盗難などにより、不正アクセスをされるリスクが高まる
4)カフェやワーキングスペースなど第三者がいる環境で仕事をすることで、重要な情報が盗聴される可能性がある
5)内部不正が起こりやすい環境となる
◎総合的なセキュリティ対策の柱となるのは「人」「ルール」「技術」の3つ
◎テレワークでのセキュリティ対策のポイントは次の8つ
1)パソコンやタブレットなどの端末の状態を確認し、最新のOS、セキュリティソフトがダウンロードされている状態をキープする
2)社内の情報を「機密情報」「業務情報」「公開情報」の3つに分けて、業務内容に応じてアクセス制限を行う
3)公衆無線LANなど利用するネットワークの安全性を確保できるようルールを設ける
4)パソコンや外部記憶装置の紛失や盗難に気をつける
5)重要な情報の盗聴やのぞき見に気をつける
6)パソコンのロック解除や情報へのアクセスのパスワードは、多要素認証を活用する
7)アクシデントが起きたときの対処法を予め決めておき共有する
8)テレワーク向けの情報セキュリティポリシーを作成する
◎テレワークのセキュリティ対策事例は次の3つ
| 企業名 | 主なセキュリティ対策の内容 |
| NTTドコモ | オフィスワークに必要なアプリケーションはすべてモバイル端末で使用でき、情報は端末に残らない仕組み作り |
| アフラック生命保険株式会社 | テレビ会議システムなどICTツールの整備やパソコンやUSBなどの貸出などを実施 |
| ネットワンシステムズ株式会社 | 指定したデバイスのパソコンのみの使用を認め、購入費は特別賞与として支給、24時間対応のヘルプデスクの設置などを実施 |
◎テレワークで役立つセキュリティ対策ツールやサービスは次の4つ
1) リモートアクセスサービス:自宅やサテライトオフィスなどの離れた場所からネットワーク経由で社内のネットワークにアクセスできるサービス
2) セキュリティソフト:テレワークをするときの大きな脅威となるウイルス対策ができる
3) IT資産管理ツール:ハードウェアソフトウェア、ライセンスなどの管理を一括してできる
4) バックアップツール:万が一アクシデントが発生したときに備えて、大切なデータを保管しておける
この記事もとにテレワークのセキュリティ対策ができ、安全な環境下で業務ができるようになることを願っています。
コメント