コロナ禍により、かつてないほどの企業がリモートワークを実施する時代が到来しました。内閣府が5月25日から6月5日にかけて実施したインターネット調査(回答者1万人超)による、全国のリモートワーク実施率は34.6%となり、全国で1/3以上の企業がリモートでの仕事へ取り組んでいるとのことです。
出典:「新型コロナウイルス感染症の環境下における生活意識と行動変化に関する調査結果」
リモートワークはコロナ禍におけるビジネスの継続性を確保し、「一部では生産性向上の効果が得られたため今後も継続して行いたい」という意見もあります。しかし一方では、セキュリティリスクに対する懸念も…。
リモートワークが加速するということは、それだけ多くのビジネスパーソンが同時にインターネットへ接続するようになることを意味します。これによりセキュリティリスクが増大するのは意外なことではありません。コロナ禍においてもサイバー犯罪者が攻撃の手を緩めることはなく、むしろ「掻き入れ時」と考えていることでしょう。
本記事でご紹介するのは、リモートワーク時に欠かせないセキュリティ対策です。特にリモートワークの実践者たる一般従業員が意識すべきセキュリティ対策を中心にご紹介します。リモートワーク実施中のセキュリティ対策を見直し、セキュリティ意識をさらに高めるきっかけとしていただけたら幸いです。
リモートワーク勤務者が取り組むべきセキュリティ対策とは?
それでは早速リモートワーク勤務者が取り組むべきセキュリティ対策を一覧でご紹介し、その後解説に入ります。
- リモートワーク作業中は、利用する情報資産の管理責任を自らが負うことを自覚し、情報セキュリティポリシーが定める技術的・物理的及び人的対策基準に沿った業務を行い、定期的に実施状況を自己点検する
- リモートワークで扱う情報について、定められた情報のレベル分けとレベルに応じたルールに従って取り扱う
- 定期的に実施される情報セキュリティに関する教育・啓発活動に積極的に取り組むことで、情報セキュリティに対する認識を高めることに務める
- 情報セキュリティ事故の発生に備えて、直ちに定められた担当者に連絡できるよう連絡体制を確認するとともに、事故時に備えた訓練に参加する
- マルウェア感染を防ぐため、OSやブラウザ(拡張機能を含む)のアップデートが未実施の状態で社外のウェブサイトにはアクセスしない
- アプリケーションをインストールする際は、システム管理者にその旨を申請し、許可を受けたアプリケーションのみをインストールする。(私用端末利用の場合)リモートワークで利用する端末にインストールするアプリケーションは、安全性に十分留意して選択する
- 作業開始前に、リモートワーク端末にウイルス対策ソフトがインストールされ、最新の定義ファイルが適用されていることを確認する
- 作業開始前に、リモートワーク端末のOS及びソフトウェアについて、アップデートが適用され最新の状態であることを確認する
- リモートワークにはルールに定められた情報セキュリティ対策が適用されているものを使用し、スマートフォン、タブレット等に関して は不正な改造(脱獄、root 化等)を施さない
- リモートワーク作業中にマルウェアに感染した場合、迅速に報告を行う。報告の漏れや遅れが被害拡大につながる恐れがあることも自覚し、電子メールの添付ファイル開封やリンク先のクリックにより一層の注意を払う
- オフィス外に情報資産を持ち出すとき、その原本は安全な場所に保存しておく
- 機密性が求められる電子データを極力管理する必要が無いように業務の方法を工夫する。やむを得ない場合は必ず暗号化して保存するとともに、端末や電子データの入った記録媒体(USBメモリ等)等の盗難に留意する
- 機密性が求められる電子データを送信する際には必ず暗号化する
- 無線 LAN 利用に伴うリスクを理解し、リモートワークで利用する場合は確保すべきセキュリティレベルに応じた対策が可能な範囲で利用する
- 第三者と共有する環境で作業を行う場合、端末の画面にプライバシーフィルターを装着したり、作業場所を選ぶ等により、画面の覗き見防止に努める
- 社外から社内システムにアクセスするための利用者認証情報(パスワード、ICカード等)を適正に管理する
- インターネット経由で社内システムにアクセスする際、システム管理者が指定したアクセス方法のみを用いる
- リモートワークで使用するパスワードは、使い回しを避け、一定以上の長さで他人に推測されにくいものを用いるように心がける
- メッセージングアプリケーションを含むSNSをリモートワークで利用する場合、社内で定められたSNS利用ルールやガイドラインに従って利用するようにする
- リモートワークでファイル共有サービス等のパブリッククラウドサービスを利用する場合、社内ルールで認められた範囲で利用する
参考資料:「総務省 テレワークセキュリティガイドライン 第4版」
特に重要なセキュリティ対策とは?
リモートワーク勤務者が取り組むべきセキュリティ対策の中で特に重要なものは何か?最も重要なのは、最初に挙げた「、利用する情報資産の管理責任を自らが負うことを自覚し、情報セキュリティポリシーが定める技術的・物理的及び人的対策基準に沿った業務を行い、定期的に実施状況を自己点検する」です。
リモートワーク実施時のセキュリティ対策を強化するにはまず、従業員自身がその重要性を認識し、責任感を持って取り組むことが大切です。しかしながら、従業員が自らセキュリティ意識を高めることはそう簡単ではありません。セキュリティを意識することは時に仕事効率を下げることにも繋がるため、組織的に仕事効率を意識しながらセキュリティ対策を実施する必要があります。そこで、システム担当者では次のようなセキュリティ対策が求められます。
もっと読む :セキュリティ対策ツールを一覧で紹介
システム担当者に求められるセキュリティ対策
- システム全体を管理する重要な立場であることを自覚し、情報セキュリティポリシーに従ってリモートワークのセキュリティ維持に関する技術的対策を講じるとともに定期的に実施状況を監査する
- リモートワーク勤務者の情報セキュリティに関する認識を確実なものにするために、定期的に教育・啓発活動を実施する
- リモートワーク勤務者がリモートワーク端末にアプリケーションをインストールする際は申請が必要とし、情報セキュリティ上の問題がないことを確認した上で認める
- 私用端末をリモートワークに利用させる際は、その端末に必要な情報セキュリティ対策が施されていることを確認した上で認める
- リモートワーク端末において無線LANの脆弱性対策が適切に講じられるようにする
- リモートワーク勤務者がインターネット経由で社内システムにアクセスする際のアクセス方法を定める
- 社内システムへのアクセス用のパスワードとして、強度の低いものを用いることができないように設定する
やはり、従業員のセキュリティ意識に依存するのではなく「仕組みとしてセキュリティを意識せざるを得ない状況」を作り出すことが重要になります。特に「定期的な教育・啓発活動」を実施することで、意識面からの改革を推進していきましょう。
幸いにも、リモートワーク実施時はビデオやチャットなどの情報伝達技術の活用によって「定期的な教育・啓発活動」が行いやすい環境にあります。週に1度は専用のチャネルでセキュリティに関する情報を発信するなど、様々な取組が可能なのでぜひ実践してみてください。
安心安全なリモートワーク環境を整えよう
いかがでしょうか?リモートワークによって大きくなるセキュリティリスクは確かに存在しますい。しかし、リモートワークなりのセキュリティ対策によって多くの脅威を回避することも可能です。リモートワーク勤務者はまずセキュリティ意識の向上を目指し、システム担当者はその仕組み作りに努めましょう。
