テレワークにはセキュリティ対策が必須!よくある事例とは?
働き方改革の一環としてテレワークを導入する企業が増えています。テレワークの実現は、多様化するライフスタイルに合わせた柔軟な働き方を促進するものです。自宅や外出先でもオフィスで働いているのと同じような効率で仕事を進めるには、ICT(情報通信技術)の活用が欠かせません。しかし、インターネットを介した情報のやり取りにはセキュリティリスクがあります。そのため、テレワークの実現には万全な情報セキュリティ対策を行うことが必須です。この記事では、テレワークを導入する企業の経営者やシステム管理者、テレワーク勤務者に求められるセキュリティ対策について説明します。また、テレワークではどのようなセキュリティリスクがあるのか、起こりやすい事例と対策についても解説します。
テレワークとはどんな働き方を含む?
テレワークには、さまざまな形態の働き方があります。テレワークで起こりやすいセキュリティのトラブルを想定する前に、まずはテレワークにはどのようなスタイルがあるのかについて整理しておきましょう。総務省のガイドラインによると、企業におけるテレワークには就業場所の違いによって「在宅勤務」と「モバイルワーク」、「施設利用型勤務」の3種類があります。
在宅勤務は、自宅を利用して業務を行うスタイルです。怪我や病気、家庭の事情などで通勤が困難な人や、プログラマーや事務職のような勤務場所が固定されている人に向いています。モバイルワークは、主に外出先で仕事を行うスタイルです。営業などの外回りの職種の人に向いており、インターネット環境の整った場所でモバイル機器を活用して業務を行います。施設利用型勤務は、サテライトオフィスやスポットオフィスなどのワークスペースを就業場所とするテレワークです。移動時間を軽減したい人や地方勤務などに向いています。
また、フリーランスとして個人で働いている人や小規模事業者などが、インターネットを活用して顧客とコミュニケーションをとりながら業務を行うような形態もテレワークの一種です。本記事は企業のテレワークを想定した内容になっていますが、個人や小規模事業者にとっても参考になる部分があるでしょう。
経営者が行うべきセキュリティ対策
経営者の立場にある人には、「ルールづくり」の面からセキュリティ対策を行うことが求められます。ルールづくりには、セキュリティに起因するトラブルを未然に防ぐことと、万が一問題が起こった場合に被害や損害を最小限に抑えるためにどうすべきかを考えることが必要です。セキュリティのトラブルを未然に防ぐには、まずは「セキュリティガイドライン」を策定し、社内で周知徹底をはかることが大切です。そのうえで実際のセキュリティ対策を導入・運営します。
万が一の場合の対策としては、セキュリティ問題が発生した際の緊急連絡体制をあらかじめ整備しておくことが重要です。実際のセキュリティ問題では、企業の機密情報が漏洩するなどのような、素早く対策を打つ必要性に迫られるケースが多いためです。また、コンピューターウイルスなどによる攻撃手法は次々に新しいタイプのものがあらわれるため、定期的に情報収集を行い、常に最新のセキュリティ対策を行える体制づくりも必要になります。知識や経験のあるシステム管理者を雇い入れたり、勤務者に対してセキュリティに関する社内啓蒙活動を行ったりすることも有効な対策です。
システム管理者が行うべきセキュリティ対策
システム管理者には、技術による「仕組みづくり」の面からセキュリティ対策を行うことが求められます。経営者が定めたルールに則って、社内ネットワークや勤務者用の端末に対策を施していくことが基本です。ルールづくりと同様、トラブルを未然に防ぐための対策を行いつつ、万が一の場合にも対応できる仕組みを整える必要があります。トラブルを未然に防ぐためにまず必要になるのは、情報のレベルに応じたアクセスの制限です。具体的には、機密情報に必要最小限の人しかアクセスできないようにしたり、パスワードの設定や通信の暗号化によって情報の流出を防いだりといったことを行います。
システム管理者は、不正に対する対策も考えなければなりません。マルウェア(コンピューターウイルスなどのような悪意のあるソフトウェア)の感染を防ぐためにセキュリティソフトを導入したり、ファイアーウォールなどによって社外からの不正アクセスをシャットアウトしたりといった対策が必要です。また、万が一マルウェアに感染してしまった場合に備えてログ情報を収集し、定期的にチェックすることも重要な業務になります。勤務者がテレワークに使用するパソコンやスマートフォンなどの端末についても、紛失や盗難に備えてハードディスクを暗号化するなどの対策を施します。
勤務者が行うべきセキュリティ対策
企業のセキュリティはどこか1箇所でもほころびが生じるとトラブルにつながるため、ひとりひとりの適切な行動が大切です。勤務者には、経営者が定めたセキュリティガイドラインを遵守するとともに、システム管理者が定めた仕組みの範囲内で業務を行うことが求められます。具体的には、セキュリティソフトなどによる対策を施した端末を使用し、OSやソフトウェアは常に最新の状態に保つことや、社内で利用が認められていないアプリケーションのインストールを行わないといったことです。機密情報の取り扱いについては、送付の際にはパスワードをかけたり、決められた範囲にしか持ち出さないようにしたりといった行動が重要になります。
調べ物などでインターネットを活用する際は、不審なwebサイトへのアクセスを避けることも大切です。また、SNSやファイル共有などのクラウドサービスを利用する場合は、プライベートと業務利用を明確に区別し、情報漏洩のリスクを避けるためにも特に注意してガイドラインに従う必要があります。
事例1.悪意のあるソフトウェアに感染
ここからは、実際にセキュリティ上の問題となりうるモデルケースと、その対策方法について紹介していきます。最初のケースとして、勤務者が業務用のパソコンを社外で利用する場合を想定してみましょう。勤務者は、仕事をすすめるために必要な調べ物をインターネットでの検索で行い、検索結果から海外のwebサイトなどにアクセスしました。その結果、コンピューターウイルスに感染してパソコンが利用できない状態になってしまい、復旧のために作業遅延の被害が発生しました。
このケースでは、勤務者は業務上必要な調べ物をしていたのであって、問題視されるような行動はとっていないということがポイントです。しかし、悪意のあるwebサイトの中には、ページを閲覧するだけでコンピューターウイルスなどのマルウェアに感染してしまう恐れのあるものが存在します。被害を防ぐためには、利用するパソコンに適切な対策を施しておかなければなりません。第1の対策として、OSやアプリケーションの最新バージョンを使用することが必要です。古いバージョンのまま使用していると、OSやアプリケーションに残っているセキュリティ上の欠陥をマルウェアに利用されてしまうためです。特に、長期間使用していないパソコンを持ち出す場合には注意しましょう。
第2の対策として、パソコンにはセキュリティソフトをインストールしておくことが重要です。セキュリティソフトには、コンピューターウイルスを検出したり、危険なwebサイトへのアクセスを抑止(フィルタリング)したりする機能が含まれています。これらの対策を行ったパソコンを使用することで、ほとんどの被害は未然に防ぐことができるでしょう。一方、システム管理者は万が一の場合にも備えなければなりません。勤務者のパソコンがマルウェアに感染した状態で社内ネットワークにアクセスすると、被害が拡大する恐れがあるためです。サーバー用のウイルス対策ソフトを導入するなどの対策が必要になるでしょう。
事例2.端末の紛失
次は、情報漏洩に関するモデルケースです。勤務者が、取り引き先リストの情報が格納された端末(パソコンやスマートフォンなど)を社外に持ち出すケースを想定してみましょう。このような場合は、端末を持ったまま電車などで移動することになります。この勤務者は、移動の途中で端末を紛失してしまいました。その結果、取り引き先情報が漏洩し、取り引き先には不審な問い合わせが相次ぐこととなりました。
このような情報漏洩は、発覚すれば企業の信用にも関わる事態にもつながりかねません。対策としては、たとえ端末が盗難にあっても情報が漏れないようにする必要があります。まず、すべての端末にパスワードを設定し、第三者が容易にアクセスできないようにしましょう。端末がパソコンの場合は、ハードディスクの暗号化を行えばセキュリティは強固になります。管理者の遠隔操作によるデータの消去(リモートワイプ)が可能なスマートフォンの場合は、この機能を常に有効にした状態で使用すれば万が一の場合に役立ちます。また、漏洩しては困る重要なデータは、普段から必要最小限のものだけを端末に格納するように心がけることも大切です。
なお、端末ごと盗まれなくても情報漏洩が生じる場合があることにも留意しましょう。例えば、出張などでは公共の場所でパソコンを開かなければならない場面もあるかもしれません。公共の場所では、ほんの少し席を離れている間にも第三者が情報にアクセスしてしまう恐れがあります。離席する際は画面をロックする習慣をつけておけば、被害を未然に防ぐことができます。
事例3.社内システムへの侵入
次は、勤務者が利用しているパソコンがすでにマルウェア感染を許してしまった状況を想定したモデルケースです。攻撃者(悪意のあるハッカー)は、勤務者のパソコンに接続して遠隔操作することが可能です。しかし、勤務者はパソコンが乗っ取られていることに気づいておらず、いつも通り社内ネットワークに接続して業務を行っています。攻撃者はこの状況を利用し、勤務者のパソコンを「踏み台」にして、社内ネットワークに不正に侵入し顧客情報や機密情報を盗み出しました。
このケースでは、攻撃者が遠隔操作のために勤務者のパソコンに接続できてしまっていることが問題です。このような事態を防ぐためには、OSのファイアーウォール機能を有効にしておくことが効果的です。ファイアーウォールは不正なアクセスをブロックするため、万が一マルウェアに感染してしまったとしても被害を防げる可能性があります。もちろん、常に最新のセキュリティソフトを使いマルウェア感染を未然に防ぐことも重要です。また、セキュリティソフトのスキャン機能を利用して、感染が起こっていないかどうかを定期的にチェックするとよいでしょう。
サーバー管理者としては、このケースのような不正アクセスを検出するのは簡単ではないかもしれません。踏み台にされた勤務者のパソコンからの社内ネットワークへの不正アクセスは、正当なアクセスと経路が同じためです。しかし、このような不正アクセスは、社内に設置したサーバーへの攻撃を伴うことが多くあります。定期的にログをチェックして、パスワードを探るために繰り返しログインを試みるような怪しい動作がないかチェックすることが、ひとつの対策になります。
事例4.内部不正
内部の人間による不正アクセスのモデルケースもみてみましょう。勤務者は、社内ネットワークにアクセスできる環境でテレワークをしています。この勤務者は、勤務先の顧客情報をお金に変えることを考えました。パソコンを用いて顧客情報にアクセスし、そのファイルを自分のUSBメモリーに不正にコピーして持ち出しました。
在宅勤務などのように誰にも見られることのない働き方は、内部の人間による不正なアクセスが比較的起こりやすい環境でもあります。また、内部不正は「機会」と「動機」、そして「正当化」という3つの条件が揃った場合に行われやすいといわれています。このうち「動機」と「正当化」は、本人の意思によるもののためコントロールが難しい条件です。組織が行える対策としては、不正が可能な「機会」をつくらないようにすることが中心になります。
まずは、情報へのアクセスをコントロールすることが重要です。特に機密情報へのアクセス権については、業務上必要がある人以外には与えるべきではありません。また、情報へのアクセスログをとり、ログをとっているという事実を社内で周知しておくことも有効な対策です。アクセスすれば証拠が残るということから、内部不正の抑止になるでしょう。勤務者のパソコンから情報を抜き出す操作を物理的に不可能にするのもひとつの方法です。USBメモリーを利用できないようにしたり、社内に保管された情報には仮想デスクトップ環境からしかアクセスできないようにしたりといったことが、有効な対策として挙げられます。
事例5.SNSなど外部サービス利用でのトラブル
外部サービスの利用に関するトラブルも、よく聞かれるものです。ここでは、SNSを利用している状況を想定したモデルケースを紹介しましょう。勤務者は、業務上の目的とプライベートの両方で同じSNSを利用しています。メンバー間で取り引き先の情報を共有する必要があり、業務用のSNSに書き込みを行おうとしましたが、誤ってプライベート用のSNSに投稿してしまいました。しかし、勤務者が誤りに気づかなかったため投稿をすぐに削除することができず、取り引き先情報が流出しました。
このケースでは勤務者には悪意がなく、誤操作が原因になっていることがポイントです。勤務者としては、プライベートで利用しているSNSなどは勤務中の利用を控えることが基本的な対策になります。そのうえで、書き込みを行う際には投稿先や公開範囲に細心の注意を払うよう心がけましょう。システム管理者としては、悪意がなくても誤操作によって情報漏洩が起こるリスクを想定して、対策を考える必要があるでしょう。SNSなどの外部サービス利用に関するガイドラインを作成し、テレワークにおける注意事項についても明記することが基本的な対策になります。SNS以外にも、ファイル共有のようなクラウドサービスを業務で利用する場合には、情報漏洩につながるような使い方を禁止するとよいでしょう。また、万が一に備え、自社に関する機密情報が公開されていないかどうか定期的にSNSをチェクすることも対策になります。
まとめ
テレワークの導入はライフスタイルに合わせた柔軟な働き方を実現するものですが、同時にセキュリティリスクを伴います。安全なテレワーク環境を構築するには、万全な情報セキュリティ対策が不可欠です。そのためには、経営者によるルールづくりだけでなく、システム管理者が行う仕組みづくりや勤務者ひとりひとりの適切な行動が求められます。テレワークによる生産性向上と大切な情報資産の保護のために、適切なセキュリティ対策を実施しましょう。
PAGETOP