日本政府が最重要テーマとして掲げる「働き方改革の実現」の一環として普及が進むテレワーク。労働生産性向上などが期待される一方で、情報漏洩等セキュリティ面でのリスク対策も必要になります。ここでは企業のセキュリティの視点からテレワークの導入に際して確認・検討すべきポイントを考察します。
目次
1. テレワークとは
テレワークとは、情報通信技術(ICT = Information and Communication Technology)を活用した時間や場所にとらわれない働き方のことで、自宅で働く在宅勤務、勤務先以外のスペースで働くサテライトオフィス勤務、社外でモバイル端末などを使って働くモバイルワークがあります。ちなみに、Teleworkとは、Tele=「遠い」あるいは「遠距離の」とWork=「働く」を掛け合わせた造語です。
テレワークは従業員にとっては、ワークライフバランの向上、企業経営にとっては労働環境向上による優秀な人材確保などが期待できます。とりわけ従業員と企業経営双方にとって業務効率・生産性の向上は大きなメリットとして期待できます。
2. セキュリティ面でのテレワークのリスク
一方で、テレワークは社外で業務を行うことになるため、企業の情報資産の取り扱いに問題が出てきます。例えば、社外に持ち出した業務端末を紛失する、無料Wifiから通信を盗聴される、社内の機密情報を第三者に閲覧されるなど社内の環境では起こりえないセキュリティ上のリスクが発生します。
しかし、リスク管理に偏重して制約を厳しくし過ぎてしまうと、本来のテレワークの目的が損なわれ、労働環境の改善や生産性の向上につながらず、形骸化したテレワークになってしまう可能性があります。
社外から社内の情報にアクセスできなければ業務ができませんし、社内のみを考えればよいセキュリティとは違い、柔軟な環境を整える必要があります。
3. 導入時に検討しておくべき3つの視点
それでは、テレワーク導入時にはどのようなセキュリティ対策が必要なのでしょうか。ここでは3つの視点を紹介します。
3-1 どの端末を使うのか
テレワーク時に会社からの貸与端末のみ使用を認めるのか、個人で保有している端末の業務利用を認めるのかという視点です。個人の端末利用を許可すれば、多くの場合コスト削減にはなりますが、端末の管理やその端末からのインターネット利用の管理が行き届かない可能性があります。さらに、脆弱性を持った古いバージョンのOSを業務に使ってしまうなどセキュリティ対策上のリスクが増します。コストとリスクのバランスで方針を決めていく必要があります。
3-2 クラウドサービスの利用をどこまで認めるのか
一般的に「社内から社外」へのアクセスは認めていても、メールなどを除くと「社外から社内」への通信を認めていないケースが多いと思われます。この場合、業務情報をやり取りする手段としてクラウドサービスの選択肢が出てきます。テレワーク実施時にはクラウドサービスの利用を前提として情報を扱う「手段」をどのように管理していくかも検討する必要があります。
3-3 組織の情報資産にどのようにアクセスするのか
続いて、テレワークを実施する際の情報を扱う3つのパターンを見ていきましょう。
具体的には「社外で利用する端末に電子データを保存するか」および「社外から社内システムにアクセスするか」の視点から、以下の3つのパターンに分類することができます。
| オフライン持ち出し型 | オンライン持ち出し型 | シンクライント型 | |
| 端末へのデータ保存 | 有 | 有 | 無 |
| 社外から社内へのアクセス | 無 | 有 | 有 |
| 具体例 |
・業務用端末にデータを入れて持ち出す |
テレワーク端末から社内システムに接続し、社内のデータを手元にコピーして作業を行う | テレワーク端末から社内システムに接続し、社内のデータを端末にコピーせずに閲覧・編集を行う |
※総務省「テレワークセキュリティガイドライン」を元に作成
すべての情報資産を一つのパターンに当てはめるのではなく、公開資料の作成業務はファイルの持ち出しを許可、社外秘情報はネットワーク経由でのみ閲覧許可(USB保存禁止)、極秘情報は社外からアクセスさせないなどデータの重要性に応じて持ち出し方を使い分けることが現実的といえます。
4. テレワークのセキュリティ対策
4-1 社内管理の強化による対策
4-1-1 悪意のあるソフトウェアに対する対策
テレワークで使用する端末に関しては、フィルタリングを設定して危険なサイトへアクセスさせない、アプリケーションのインストール時には申請させて情報セキュリティ上の問題がないことを確認する、ウィルス対策ソフトを導入し常に定義ファイルを最新のものに保つ、OSやソフトウェアをアップデートするなどの対策を行います。
4-1-2 私的端末利用時の対策
私用端末を利用する場合、私用でインストールしたアプリケーションの脆弱性から端末がマルウェアに感染し、業務情報を搾取されるリスクもあります。業務に使う端末は管理しておく、会社が推奨するウィルス対策ソフトの導入を条件にするなど、リスクを回避するための対策は必要です。
いずれにしても、私用端末のテレワークへの利用にあたっては、その端末に必要な情報セキュリティ対策が施されていることを利用者に確認させた上で使用を認めましょう。
4-2 テレワーク先で行う対策
テレワーク先では会社側がコントロールできない部分も出てきますので、各個人のセキュリティ意識を高めることが非常に重要です。具体的には以下の対策を検討しましょう。
4-2-1 テレワーク端末の紛失・盗難対策
誰がどの端末をどこで利用するかといった状況がすぐ分かるよう台帳で管理し、テレワーク先でも端末から離れないようにする、置き忘れないようにするなど個人の管理意識を高めるように啓発しましょう。また、万一盗難された際、データの不正利用を防ぐために、データファイルはパスワードの設定を必須にしたり、リモートでデータを消去できるソリューションを採用することも検討しましょう。
4-2-2 社内環境への不正侵入対策
テレワーク先から社内システムにアクセスする経路は、第三者に悪用された場合、 社内システムへの不正侵入のための経路となる恐れがあります。このため、テレワーク勤務者が社内システムにアクセスするための利用者認証について、基準を明確に定め、適正に管理・運用することが必要です。
具体的には、ファイアウォール等を設置し不正侵入を防止する対策以外にも本人であることを厳密に確認する認証の導入、多要素認証の導入、ワンタイムパスワードの導入など、認証機能を強化することにより、情報資産への不正アクセスを防止する対策などがあります。
4-2-3 私的環境利用時の対策
自宅のWifiや公衆無線LAN(無料Wifi)などを利用した際に悪意の第三者に通信内容を傍受される可能性もあることから、機密情報かどうかに関わらず、職場と電子データのやりとりを行う場合は、VPNなど暗号化した状態で通信できる経路を用いましょう。
また、カフェなどで作業する場合は、覗き見・盗聴に注意する、プライバシーフィルターを貼る・離席時には画面をロックするといった習慣づけをしていきましょう。
5. まとめ
テレワークの導入は働く人と企業経営の双方にとって大きなメリットが期待できます。
同時に、情報セキュリティの観点から対策すべき論点も多岐に渡り、これまで社内セキュリティのみを管理していた組織では多くの新たなルール策定が必要になります。しかし、管理にばかり目が行ってしまうと、テレワークの成果として見込まれる労働生産性の向上を逆に損なうリスクもあります。
「禁止」よりも「管理」「対策」という視点で、テレワーク業務を推進するために必要な管理方法の構築がセキュリティにも求められているといえます。
著者:マカフィー株式会社 マーケティング本部
![[レポート]クラウド環境の現状レポートと今後 ~クラウドの安全性の状況と実用的ガイダンス](https://blogs.trellix.jp/wp-content/uploads/2018/03/クラウドとビジネス.png)