企業と従業員の双方にメリットがあるテレワーク・在宅勤務。しかし機密情報などを安全に取り扱うためには適切なセキュリティ対策が必要です。テレワークや在宅勤務の導入にあたっては、セキュリティに関する課題を把握し、適切な環境を整えなければなりません。
本記事では、在宅勤務に潜むセキュリティ面の課題や、具体的な対策を解説します。
テレワーク・在宅勤務とは
電話やネットを駆使し、オフィス以外の場所で就労する働き方をテレワークと呼びます。自宅で業務を行う在宅勤務も、テレワークの一種です。ほかにも、カフェや図書館、移動中の電車やバスなどで仕事に取り組むモバイルワークや、サテライトオフィス勤務などもテレワークに含まれます。
近年では、このような働き方を推進する企業が増えてきました。
こうした社会の変化には、さまざまな理由が考えられます。しかしもっとも大きな理由の1つは、企業と従業員、双方に大きなメリットがあるからです。
企業としては、多様な働き方を取り入れることで人材の確保がしやすくなるメリットがあります。就労先がオフィスに限定されなければ、さまざまな理由で自宅を離れられない人材も労働力として確保できます。また、オフィスの縮小やペーパーレス化を進められ、トータルでのコスト削減を実現できるのです。
また、従業員は時間や場所にとらわれず働けるため、ワークライフバランスを整えやすいというメリットがあります。在宅勤務なら住み慣れた自宅を職場とすることで、集中しやすい環境で業務に取り組めます。介護や子育てをしながら働けるのも、大きなメリットと言えるでしょう。
テレワーク・在宅勤務のセキュリティ課題・リスク
さまざまなメリットをもたらすテレワークや在宅勤務ですが、セキュリティの課題やリスクが生じることを忘れてはいけません。従来のオフィス勤務とは働き方・環境が大きく異なるため、セキュリティリスクの高まりが懸念されるのです。
例えば、従業員によるデバイスの紛失リスクが考えられます。オフィス以外の場所へ、ノートパソコンやタブレット端末などを持ち込んで業務を行うため、どこかへ置き忘れてしまう、盗難に遭うといったリスクが考えられるのです。
また、関係者とのやり取りは基本的にオンラインで行うため、通信の傍受やウイルス感染、不正アクセスなどのリスクも生じます。その結果、重要なプロジェクトの情報が外部に漏えいしてしまう、顧客の情報が流出してしまうといったことが起こり得るのです。
従来とは大きく異なる働き方となるため、企業もセキュリティのリスクや対策に関する認識を改めなければなりません。どのようなリスクが発生しうるのかを把握し、適切な対策を施す必要があります。
テレワーク・在宅勤務で注意すべきセキュリティ対策
適切なセキュリティ対策を施さないと、機密情報が漏えいし企業としての信頼を失ってしまう恐れがあります。今後の事業へ悪影響を生じさせないためにも、しっかりとした対策を行い万全な体制を整えましょう。以下、具体的な対策をお伝えします。
従業員の教育
どれほど素晴らしいセキュリティシステムを構築しても、使う側に問題があると適切に機能しません。まずなすべきことは、働く環境が大きく変わる従業員への教育です。リスクやそれにより生じる被害、どのように危険を回避するのかなど、定期的な教育や啓発を行い従業員のセキュリティ意識を高めましょう。
なお教育は、在宅勤務の実施者だけでなく、管理者へも施さなくてはなりません。現場の人間が高い危機意識を持っていても、管理者の意識が低ければ意味がないからです。むしろ、部下を統括する管理者こそ、危機意識を高める必要があるのです。
管理者を含めて、あらゆる従業員への意識改革を進めながら、トラブル発生時の対応体制も整えられるとベストです。従業員にきちんと教育を施していても、リスクに直面するシーンはあると考えられます。そのようなとき、どのような対応をすればよいのかを周知していなければ、脅威から組織を守ることはできません。
情報システム利用ルールの変更
柔軟な働き方が可能なテレワークですが、何もかも自由にさせてしまうと無用なリスクを招く恐れがあります。管理者の目が行き届きにくいからこそ、利便性とリスクのバランスを考慮したルールの策定が必要となります。
例えば、利用する外部サービスを統一することが考えられます。昨今のSaaSの普及に伴い多くの企業でユーザー部門が勝手に情報システムを契約し利用してしまうシャドーITが増加しています。各々の従業員が異なる外部サービスを利用してしまうと、ウイルスの感染などの危険性が高まります。高度なセキュリティ水準を実現している外部サービスをあらかじめ選定し、それ以外のサービスを使わないようルール化すれば、リスクを抑えられるでしょう。
通信回線に関するルール化も必要です。モバイルワーク実施者なら、自宅以外にカフェやファミレスなどで業務に取り組むこともあるでしょう。このようなとき、フリーWi-Fiに接続してしまうと、セキュリティ上好ましくありません。
暗号化されていないフリーWi-Fiを利用した場合、通信傍受や不正アクセスなどの危険が高まります。情報漏えいやアカウントの乗っ取りなどにもつながるため、接続するWi-Fiに関するルールも定めておきましょう。暗号化している回線のみ使用する、自動接続はしない、原則フリーWi-Fiは使わないことなどを盛り込みましょう。ほかにも、社内アクセスやOSのアップデートなどに関するルールも定めておくとより安心です。
デバイスの管理
企業が従業員へ端末を貸与するケースも少なくありません。ノートパソコンやタブレット端末などのデバイスを貸与するのなら、在宅勤務への移行に伴い、管理の方法やルールを考える必要があります。
オフィス勤務なら、基本的にデバイスを外部へ持ち出すことはありません。しかし、多様な働き方を導入すると、従業員によってデバイスがオフィス外へ携帯されるケースも増えるでしょう。
その結果、紛失や盗難に遭い情報が流出へ至る恐れも否めません。原則社内のデバイスは持ち出し禁止にしたり、「誰がどの機器を持ち出したか」を特定できるシステムを構築したりするなど、対策が必要です。
また、管理者の目が行き届きにくいため、従業員が貸与したデバイスで好ましくない行動を取る恐れもあります。業務に関係ないサイトへアクセスする、プライベートでのやり取りに使用することなどです。このような行動も、本来の業務では生まれない無用なリスクを背負うことになるため、不正な端末利用者を特定できる仕組みやツールの導入が必要です。
ウイルス対策ソフトの導入
悪意あるウイルスへの感染を防ぐため、業務に利用する端末へは必ずウイルス対策ソフトをインストールしましょう。すでに導入しているケースでも、常に最新のバージョンで利用することを心がけてください。
旧バージョンのまま使用してしまうと、最新のウイルスに対抗できない恐れがあるからです。悪意あるウイルスは日々進化しており、感染の手口も複雑化しています。1つの端末が感染してしまうと、メールのやり取りなどでまたたく間に感染が拡大してしまうケースもあるため注意が必要です。
ソフトを選ぶときは、費用ではなく機能面を重視しましょう。現在では無料のウイルス対策ソフトもありますが、機能性を考えるとおすすめできません。むしろ費用は高くなるものの、基本的なウイルス対策以外にフィッシング対策も可能な多機能ソフトがおすすめです。オンラインを介したさまざまな脅威に対抗できるソフトを選びましょう。
機能以外にも、対応しているOSやライセンス形態、インストール媒体、サポート体制など、トータルで比較しながら検討することをおすすめします。
データ保存方法の見直し
デバイスの紛失や盗難により、ハードディスク内の情報を抜き取られてしまう恐れがあります。また、大切なデータの入ったUSBやCD-Rなどをなくしてしまい、情報が流出する可能性も否めません。
このような事態を回避するには、データ保存方法を見直す必要があります。まず考えるべきは、データの暗号化です。ハードディスクに保存してある情報を暗号化することにより、情報の漏えいリスクを引き下げられます。
また、USBやCD-Rなどの外部メディアへの保存を原則禁止し、クラウド保存へ移行するのも1つの考えです。これなら、物理的なメディアへデータを保存しないため、紛失や盗難に遭う危険がありません。
VDIの検討もしてみましょう。VDIは、仮想デスクトップ基盤のことを指します。実物が存在しない仮想世界のパソコンで処理を行い、ユーザーの端末へは処理画面だけが表示されます。実際にユーザーのパソコンで処理を行うわけではないため、万が一盗難に遭ってもデータを奪われる心配がありません。ただし、VDIは通常のPC利用に比べネットワークへの負荷が大きく、"動作が遅い"などで業務効率が下がる事例もあります。社内のネットワークリソースとの兼ね合いも考慮しておきましょう。
アクセス制限の強化
例えば、誰もが社内の機密情報へアクセスできる環境では、またたく間に情報を奪われてしまうでしょう。このようなことが起きないよう、アクセス制限の強化が求められます。
まずすべき処置は、外部からのアクセス制限を強化することです。外部から自由にアクセスできる状況では、悪意を持つユーザーに侵入される恐れがあります。データの盗難や破壊などのリスクが高まるため、外部から容易にアクセスできないよう対策を施しましょう。
専用のソフトやサービスを利用すれば、アクセス先URL登録やユーザー承認、停止などが可能です。承認したユーザーのみアクセス権限を付与することで、外部からの接触をシャットアウトできます。
パスワードの強化も考えなくてはなりません。定期的にパスワードを変更するのも1つの手ですが、現場の従業員の混乱を招く、手間が増えるといった懸念があります。おすすめなのは、ワンタイムパスワードの導入です。そのときだけ有効なパスワードを発行できるため、アクセス制限の強化につながります。
上記に加えて、多要素認証のシステムも導入すれば、さらなるセキュリティの強化が実現できるでしょう。多要素認証は、2つ以上の認証要素を組み合わせる認証方法です。身近なところでは、金融機関のキャッシュカードやクレジットカードが挙げられます。このケースではクレジットカード自体という所持情報とパスワードという知識情報を組み合わせて認証を行っています。企業システムに当てはめるとID/パスワード以外にデバイス証明書の有無による認証を行う形が一般的です。
また、最近では生体認証を組み合わせる例も増えてきています。ただ、まだ生体認証を利用できる端末は多くないため、プッシュOTPなどを利用した多段階認証によって認証を強化している例が現状では多数派です。
まとめ
テレワーク・在宅勤務を導入するのなら、あわせてセキュリティ対策もしっかり行う必要があります。セキュリティインシデントの発生は、企業の信用失墜につながり、事業に悪影響を及ぼす恐れがあるため、適切なセキュリティ対策を行いましょう。
セキュリティを強化する方法は多々ありますが、外部サービスの利用も1つの手です。例えば、HENNGEの提供しているHENNGE Oneのようなクラウドサービスには、本稿であげたようなアクセス制限機能やセキュアブラウザを利用したデバイス保護機能などが備わっています。サポートも充実していますので在宅勤務制を取り入れ始めたばかりの企業でも対策を効率的に実施することが可能となるでしょう。
このような外部サービスを導入しつつ、従業員の教育、デバイスの管理なども徹底することで、高水準なセキュリティ体制を確立に取り組みましょう。
