近年、テレワークを導入する企業が増加しています。さまざまなメリットを得られるテレワークですが、セキュリティ面の課題を抱える企業も少なくありません。本記事では、テレワークにおけるセキュリティ対策の重要性について解説します。併せて、具体的な対策方法もご紹介しますので、ぜひ参考にしてください。
テレワークにおけるセキュリティ対策の重要性
テレワークでの働き方は従来と大きく勝手が異なり、勤務場所がオフィス以外になるだけでなく、社員個人のパソコンを業務に使用するケースも少なくありません。個々の社員が離れた場所で業務を行うため、管理の目が行き届きにくい一面もあります。
これまでの働き方とはさまざまな部分に違いがあるため、通常とは異なるセキュリティリスクが考えられます。たとえば、情報が漏えいしてしまうリスクです。家族や恋人と同居する自宅で業務をしているとき、パソコンを勝手に使用されて機密情報が外部に漏れてしまう、といったことが考えられます。
また、カフェや図書館などで業務を行うとき、周りの人にパソコンの画面を覗かれてしまうことがないともいえません。そのほか、機密情報の入った端末やUSBメモリを外に置き忘れたり、盗難に遭ったりするリスクも考えられるでしょう。
従来とは異なる環境下で業務を遂行するため、これまでと同じセキュリティ対策では対応しきれない部分も出てくるはずです。そのため社内ルールの見直しも含めて、テレワーク環境下における新たなリスク対策を講じる必要があります。
テレワークにおけるアプリケーションのセキュリティ対策
パソコンを用いる業務では、さまざまなアプリケーションを使用します。そのため、アプリケーションのセキュリティ対策も行わなくてはなりません。大切なのは、こまめなアップデートとインストールのルールを定めることです。以下で詳しく見ていきましょう。
アップデートにより最新の状態を保つ
多くのアプリケーションは、バージョンアップを繰り返しています。品質向上のためであることはもちろんですが、外部から攻撃されそうな部分を改善し、ユーザーを守る目的もあります。マルウェアは日々進化や変化を遂げており、古いバージョンでは攻撃を許してしまうおそれがあります。このようなリスクを回避するため、開発元はバージョンアップを繰り返しているのです。
このようなリスクを避けるには、こまめなアップデートが必要です。最新バージョンのリリースが確認でき次第、できるだけ早くアップデートを行わなければなりません。個々の判断に任せるだけでなく、会社としても何かしらのルールを設ける必要があるでしょう。
インストールのルールを定める
現在では、ビジネスに利用できる便利なアプリケーションが数多く提供されています。無料で利用できるものも多いですが、中にはマルウェアが仕込まれたものや、何かしらの問題を抱えているものもあります。
社員個人の裁量により、どのようなアプリケーションでも好き勝手にインストールできる状況では、セキュリティリスクを高める一方です。そのため、企業にはインストールに関するルールづくりが求められます。申請形式にし、承認を得ないとインストールできないルールにするのもよいでしょう。
また、ルールはできるだけ明確な内容を定めることが大切です。内容が明確でないと、社員はインストールしてよいのかどうか判断できない可能性があります。オフィス勤務なら、近くにいる同僚や上司に直接聞けますが、テレワーク下ではそうもいきません。
そしてルールを定めたら、社員に周知することも忘れてはいけません。隙のないルールを定めても、伝わらなければないのと同じです。全員がルールを正しく把握できるよう、必ず周知を徹底しましょう。
テレワークにおけるミドルウェアのセキュリティ対策
ミドルウェアは、OSやアプリケーションをサポートする役割を担います。さまざまなものがありますが、代表的なものを挙げると、Webサーバーやアプリケーションサーバー、データベースなどが該当します。
ミドルウェアもソフトウェアの一種である以上、セキュリティ対策は必須です。脆弱性が残されたままでは、悪意ある者からのサイバー攻撃を受けるおそれがあります。脆弱性を解消するため、アップデートの確認や実施を怠らないようにしましょう。
なお、ミドルウェアをアップデートすると、それまで使用していたアプリケーションが正常に動かなくなるケースがあるため、注意が必要です。
テレワークにおけるOSのセキュリティ対策
さまざまなアプリケーションやソフトウェアをパソコンで使用できるのは、OSがあるおかげです。使用している実感が湧かないため、セキュリティ対策がおざなりになるケースがありますが、対策は必須です。以下、OSのセキュリティ対策についてまとめました。
アップデートを怠らず実施する
アプリケーションやミドルウェアと同様に、OSも常に最新の状態で使用しましょう。旧バージョンのまま使用していては、バグがそのまま残ってしまい、攻撃の隙を与えるおそれがあります。
特にOSは、コンピューターにとって重要なソフトウェアです。OSがなければアプリケーションを使用した業務も行えません。脆弱性を突いて攻撃され、マルウェアへの感染や不正アクセスを許してしまうおそれもあるのです。
バージョンアップの情報を見逃さず、適切にアップデートを行うことで対策できます。管理者はOSのアップデート情報をこまめにチェックし、必要に応じて部下へ指示を出しましょう。個々の社員が意識的にアップデートの状態を確認することも大切です。
仮想デスクトップを検討する
仮想デスクトップは「VDI(Virtual Desktop Infrastructure)」とも呼ばれ、仮想的なデスクトップ環境を構築できるシステムとして注目されています。仮想デスクトップにはさまざまなメリットがあるため、セキュリティ対策の一環として導入を検討してみましょう。
仮想デスクトップの導入により、セキュリティも強化できます。個々の端末にデータを残さないため、情報漏えいリスクを下げられるのです。端末が盗難に遭った際も、外部へ情報が漏れてしまう心配がありません。
管理側は、社員の端末環境を一元管理できるメリットがあります。OSのアップデートが必要なときも管理側で一括して行えるほか、問題のあるアプリケーションのインストールを防ぐことも可能です。
テレワークにおけるネットワークのセキュリティ対策
ネットワークのセキュリティ対策を疎かにしてしまうと、不正アクセスをはじめとしたサイバー攻撃のリスクが高まります。適切な対策を講じ、リスクを回避しましょう。
社員の自宅ルーターにも注意を払う
テレワークでは、社員が自宅のルーターを使用してネットワーク接続するケースも考えられます。セキュリティ対策を施したオフィスのネットワーク環境下ではないため、注意しなくてはなりません。
対策としては、パスワードの変更が挙げられます。端末からルーターを介してネットワーク接続する際は、パスワードの入力が必要です。人によっては、ルーター購入時から一度もパスワードを変更したことがない、といったことも考えられます。これでは不正アクセスのリスクが高まってしまうため、パスワードは必ず変更しましょう。初期設定のままにしておかないのはもちろん、定期的に変更することをおすすめします。
セキュリティに不安のあるネットワーク利用を制限する
セキュリティに不安のあるネットワークを使用することは、さまざまなリスクを引き上げてしまいます。基本的には、公共Wi-Fiのような安全性を確保できない回線は使用せず、安全なネットワークのみを使用しましょう。公共Wi-Fiでは通信が暗号化されていないことも多く、盗聴やウイルス感染などのリスクがあります。情報漏えいにもつながるおそれがあるため、社内でのルール化をおすすめします。
どうしても外部ネットワークを使用しなければならないときは、やりとりする情報を限定しましょう。これなら、万一インシデントが発生した際も最低限のダメージで済みます。また、次にご紹介するVPNを用いた対策も有効です。
VPNを利用した通信を検討する
テレワークでは、自宅以外の場所で業務を行うことも考えられます。その場合、外部ネットワークの使用が考えられますが、先述したようにさまざまなリスクがあるのも事実です。そこで、外部ネットワークを使用するときは、VPNの利用を検討してみましょう。
VPNとは「Virtual Private Network」の略で、日本語では「仮想専用線」と訳します。仮想の専用ネットワークをインターネット上に構築し、安全に通信を行えることがメリットです。とはいえ、VPNも完璧ではなく、セキュリティリスクをゼロにはできません。使用するVPNによってはセキュリティレベルが低く、情報漏えいリスクを高める可能性もあるため注意が必要です。導入にあたっては慎重に検討しましょう。
テレワークにおける全体のセキュリティ対策
業務に関するルールの策定やマルウェア対策ソフトの導入など、リスクを少しでも抑えるにはやるべきことがたくさんあります。適切な対策をとり、安全にテレワークを行える環境を構築しましょう。
業務全体に関するルールを策定する
これまでの働き方と大きく変わるため、業務に関するルールの策定は必須です。業務開始・終了時間をどのように記録するのか、デバイスは個人のものを使用するのか、光熱費や通信費の負担はどうなるのかなど、きちんと定めておきましょう。
テレワークへ移行する前にこれらのルールを決めておかないと、適切な運用ができないばかりか、社員の混乱を招き、業務効率を落としてしまうおそれもあります。導入前にきちんとルールを定め、運用しつつ改善すべきところは改善していきましょう。
マルウェアの対策ソフトを導入する
パソコンを使用した業務では、常にマルウェアの脅威がつきまといます。プログラムの不具合を起こしたり、情報を抜かれたりするなどのさまざまなリスクが考えられるため、対策ソフトの導入も検討しましょう。
会社から端末を貸し出すのなら、あらかじめ対策ソフトをインストールしておくと安心です。社員個人の端末を使う場合は、対策ソフトインストールの有無や使用しているソフトの確認などを行いましょう。また、個人の端末へインストールしてもらう際は、その費用を誰がどう負担するのかも決めておく必要があります。
認証基盤を強化する
テレワーク下では、外部から社内システムへのアクセスが増えますが、悪意をもつ第三者からのアクセスも想定されます。リスクを軽減するには、認証基盤の強化が必須です。
社内システムへのログイン認証にパスワードを利用しているケースは多いですが、これだけでは不安です。現に近年では、パスワード認証の脆弱性を指摘する声も多く、攻撃に遭った企業もあります。単純なパスワードのみの認証ではなく、より高度なセキュリティ環境を構築することも考えなくてはなりません。
まとめ
情報漏えいやプログラムの破壊など、さまざまな脅威から会社を守るため、適切なセキュリティ対策を行わなくてはなりません。テレワーク環境下におけるセキュリティに課題を感じている方は、本記事でお伝えした内容を参考に、セキュリティの強化を図ってみましょう。
一方で本日上げたような多くの企業で取り組まれているセキュリティ対策ではテレワーク比率が高い企業においては新たな課題を創出しています。一例がリモートデスクトップやVPNへの負荷の過多です。そのような際にはクラウドサービスの利用をインターネットへのダイレクトアクセスとした上でHENNGE OneのようなIDaaSによる多要素認証を実施するといったような手法も検討すると良いでしょう。
