リモートワーク導入で考えたいセキュリティ対策とは?
自社でリモートワークの導入を検討する際、常に懸念されるのがセキュリティの問題です。リモートワークは社外での作業となりますので、常に情報漏洩の危険性や重要なデータの紛失などのリスクが生じることは避けられません。
セキュリティはお金がかかると考え、敬遠している企業も多いですが、どのレベルでセキュリティの枠組みを作るのかを工夫することで、低コストでも堅牢なセキュリティ体制を作ることは可能です。リモートワークならではのリスクを回避するセキュリティ体制を企業として整備していくことは、情報漏洩などのリスクを回避するだけでなく、従業員の安心や組織力の向上、業務の仕方の見直しにもつながります。ここでは、リモートワークの導入で想定されるリスクや、適切なセキュリティ対策について詳しく解説します。
情報漏洩はリモートワークの課題の一つ!どんな危険があるのか?
リモートワークで危惧されるリスクの一つは、さまざまな情報漏洩の問題です。メディアでニュースとして耳に入る以上に、情報漏洩事件は連日のように起こっています。想定される危険についてしっかり理解しておくことがセキュリティを強化する上で大切です。ここでは具体的に、よくある情報漏洩について見ていきましょう。
リモートワークでは、作業に使うパソコンを外に持ち出して使用しますが、もしもパソコンが盗難されるようなことがあれば大変です。カフェで作業をしていて、トイレのために離席し、戻ってきたらパソコンが無いということも起こり得ます。また、電車やバスでの置き忘れ、車での置き引きなどは事件としても少なくありません。
また、外出先で作業する場合、不正アクセスによる情報漏洩にも注意が必要です。カフェや交公共施設などで使われているフリーWi-Fiは、同一のネットワークに不特定多数の人が接続することになります。同じネットワーク内では、ネットワークを通じてさまざまな攻撃や不正アクセスが可能であり、パソコンの設定やセキュリティソフトの状況によっては重要なデータがハッキングされる危険性があります。そして不正アクセスだけでなく、画面を肩越しに覗き見られる「ショルダーハッキング」に代表されるソーシャルハッキングにも注意が必要です。
情報漏えいのリスクがあるのはパソコンなどで扱うデジタルデータだけではありません。机の上に広げた紙媒体が覗き見られたり、少し目を離した時に盗まれたり、移動中や持ち出した先で紛失したりする可能性もあります。スマホがあれば多少の距離があっても写真が撮れてしまうため、オープンな場所での書類の扱いは十分な注意が必要です。
たとえ自宅だとしても、ネットワークを通じて不正アクセスされる可能性は排除できず、家族や侵入者が重要なデータをコピーして持ち出す可能性もあります。クローズな環境だから安全とは言い切れないため、リモートワークに従事する人は場所を問わず、情報セキュリティに関する知識とモラルをもって大事な情報資産を扱うことが大切です。
セキュリティ対策1:セキュリティポリシーの策定と実施
企業のセキュリティ対策としてまず必要になるのが、セキュリティポリシーの策定です。セキュリティポリシーとは、企業が扱うすべての情報やシステムを安全に管理するための基本方針や対策基準のことを指します。
セキュリティポリシーにおける基本方針では、誰にポリシーが適用されるかという「適用範囲」、どの情報に対してポリシーが適用されるかという「対象」、セキュリティポリシーを運用するための「実施体制」、また実施する施策や規約、遵守するべき法令や指針を明記します。
基本方針をもとに策定した、具体的な対策や組織作りに関する詳細な内容がセキュリティ対策基準です。セキュリティ対策基準の例としては「ウェブサイトを通して取得した個人情報は、責任者が即日収集して社内のサーバー上に移し、公開サーバー上からは削除する」「個人情報を管理するサーバーは、権限をもったユーザー以外はアクセスできないように設定を行う」などがあります。広義でのセキュリティポリシーは、基本方針や対策基準だけでなく、トラブル発生時の対応手順などが含まれる場合もあります。
セキュリティポリシーの策定にあたっては、専門家を中心に策定することが重要ではありますが、実施するのは社内の従業員全員です。あまりにも詳細で厳しいセキュリティポリシーは、日々の業務を非効率にし、従業員にとってもストレスになります。セキュリティポリシーは一度策定して終わりではなく、改定することも可能ですから、外部環境の変化や実施状況を見ながら適切なレベルに定めていくことが肝心です。
セキュリティ対策2:マニュアルを作成し全社で共有する
どんな人間でもミスをしてしまうことはあり、それが運悪く情報漏洩につながってしまうことがあります。そのため、万が一の確率だとしても、さまざまなトラブルが生じた場合の対策をマニュアル化しておき、必要に応じて参照できるようにすることが大切です。
たとえば、パソコンやUSBメモリの盗難や紛失が起こった場合には、まずは上司に連絡し、事件の発生状況を報告すると共に、流出した可能性のある情報の種類や量について情報共有を行います。そして、警察に事情を告げ、捜索の協力を依頼します。情報の種類や規模によっては、外部へ発表したり、関係各所への報告も必要です。
不正アクセスが判明した場合は、マルウェアの感染可能性や他のパソコンやサーバーへの踏み台にされることもあるため、そのパソコンはネットワークから遮断します。上司などへの状況報告や、関係各所への連絡、専門家による原因調査や影響調査などを行い再発防止策を検討するなど、一連の流れをマニュアルにしておくと対応がスピーディーです。
メールの誤送信も少なくない問題です。メールの誤送信があれば、まずは状況について報告し、誤送信によって問題になりうる情報について確認します。送信者が明らかで、謝罪が適切と判断される場合は、謝罪の連絡を行うことも必要です。個人情報を含む内容で、規模が大きい場合には、外部に状況を公表する必要も生じます。該当部署や組織として、再発防止策を検討して公表することも必要です。
不正プログラムによる攻撃も最近は多くなっています。不正プログラムの侵入経路は特定が難しいですが、不正な動作が発見された場合や、データの紛失や破壊が発見された時点で上司などの管理者に連絡し、状況や流出した情報について情報共有します。セキュリティの専門家による不正プログラムの除去や、影響を考慮して全社での情報共有や確認・対応の依頼を行うと共に、再発防止のための対応を協議するといった内容がマニュアルには必要です。
マニュアルはセキュリティの担当者だけでなく、社内全体で共有され、その内容が実施できるようにしておく必要があります。社内の規定などと共に、すぐに確認できるようにすることが大切です。マニュアルは外部環境や事業活動の変化に応じて更新し、更新された情報は都度共有しながら社内のセキュリティ意識を高めていくようにしましょう。
セキュリティ対策3:社員教育を徹底して意識の向上を図る
情報セキュリティ対策では、システム対策と人的対策が2本の柱になります。システム対策は専門の技術者が行いますが、人的対策は情報を扱う従業員一人ひとりが意識して行わなければなりません。情報セキュリティに関する社員教育は、社員のセキュリティに対する意識の向上を図るためにも大切ですし、安全に情報を扱う技術を修得させるためにも必要不可欠です。
人的なセキュリティ問題は、往々にしてセキュリティ意識の不足から生じています。頭ではわかっていても、セキュリティ対策を行うことが面倒と感じたり、セキュリティを軽視してしまったために大きな問題を起こしてしまうのです。セキュリティ意識を高めるためには、具体的な事例を通し被害の大きさや対策の重要性を教育します。
リモートワークの場合、場所を選ばずに働くことができますが、社内との連絡や業務のために公共のフリーWi-Fiを使用するシーンも多いものです。フリーWi-Fiの利用に際して生じるリスクを紹介し、注意点や禁止事項などをルールとして定め、遵守を徹底するように教育しましょう。
フリーWi-Fiに関する注意点や禁止事項としては、「基本的にサイトの閲覧程度の使用にとどめ、不審なサイトへのアクセスはしない」「不必要にWi-Fiに接続しない」「ログインが必要なウェブサイトやサービスを使わない」「よくわからないアクセスポイントには接続しない」などがあります。
その他、「社内サーバーとの通信ではVPNを使用する」「顧客とデータの受け渡しが必要な場合は、指定のサービスを使用する」と通信方法についてルールを定め、教育することも従業員の意識やリテラシーを高めるために有効です。
セキュリティ対策4:フィッシングなど怪しいメールを排除
最近の個人情報漏洩で、事件の原因として増加しているのが不審なメールからのフィッシング詐欺です。
フィッシング詐欺では、ターゲットに対して関心を引くような件名や内容のメールを送り、メール内に記されたURLから攻撃者が用意したウェブサイトに誘導するのが特徴です。ウェブサイトでは個人情報や、アカウントなどの情報の入力が求められ、入力してしまうと入力された情報が攻撃者に送信され、悪用されてしまいます。
たとえば、金融機関を装ってのフィッシング詐欺では、重要事項を知らせるというメールで攻撃者のサイトに誘導します。遷移先のサイトも本物そっくりに作られていることが多く、ひと目見て識別することはプロでも難しくなっています。そのため、情報の入力には十分に注意しなくてはなりません。個人のオンラインバンキングのアカウント情報やカード情報を抜き取られ、悪用されてしまうとその被害も甚大なものとなってしまいます。
対策として覚えておきたいのが、まずは「送信元のメールアドレスを確認する」ことです。メールのドメイン(@以降の部分)がフリーメールのドメインであるなど、相手先のものではない場合は無視しても問題ありません。中には誤認を狙ったドメインを利用しているケースもありますので、詳細に確認しましょう。金融機関などでは、大事なメールには電子署名をつけるのが標準となっていますので、署名をチェックする方法も効果的です。
攻撃者はフィッシング詐欺の前段階として、不審なサイトやマルウェアを通し、ウェブサイトの閲覧履歴を収集している場合があります。不正なサイトへのアクセスを避けることは、フィッシング詐欺のリスクを避けるためにも徹底したい項目です。
システム的な対策としては、パソコンのセキュリティソフトによって不正なURLやメールをブロックする方法や、メールサーバーで悪意あるメールをブロックする方法もあります。最近のセキュリティソフトやサービスでは、AIによって不審なURLや、不審なデータの流れから不正なサイトを判断することもできるため、トラブルを未然に防ぐ方法として有効です。
ただし、システムだけに頼らず、個人パソコンの利用を禁止したり、リモートワーク用のデバイスではインターネットへの接続方法を制限するなど、業務の方法から考え直すことも大切です。
セキュリティ対策5:必要に応じてオフラインでの作業を推進する
不正アクセスによる情報漏洩を防ぐために、最も確実なのはインターネットにつながないオフラインでの作業に限定することです。この場合、納品や情報の共有が必要になれば、SDカードやUSBメモリー、DVDなどの記録媒体に情報を入れて直接または郵送で受け渡しを行います。細かな打ち合わせを頻繁に行う必要のないデザイナーやライターなどの業務であれば十分に可能です。
ただし、フルでのリモートワークを行っている場合や、営業職などマメに会社と連絡を取らなければならない場合は、すべての作業をオフラインで行うことは難しくなります。こうした場合は、リモートワークを行う場所を公共施設やカフェなどフリーWi-fiが使いやすい場所に限定するなどルールを定めることが必要です。
業務によってオンラインである必要があるものと、オンラインは必須ではないものがあります。リモートワークを行う社員には、オフラインでも可能な仕事を担当させることによって、オフライン業務を推進する企業も多くなっています。
セキュリティ対策6:ブロックチェーンを使ったワーカー管理
セキュリティ対策として、最新技術のブロックチェーンを使ったリモートワーカー管理も注目されています。
ブロックチェーンは、情報の差分を常にネットワーク内で確認しながら記録・コピーして積み上げていく仕組みです。基本的にブロックチェーンでは情報は暗号化して記録されているため、情報を読取ることが難しくなっています。また、ブロックチェーンに新しい情報が記録されると、同時にネットワーク内の当事者全員のもとでコピーが行われるため、情報の改ざんがあれば他のメンバーのブロックチェーンと比較することで、即時に確認や検出が可能です。
テックビューロホールディングス株式会社が行った実証実験では、ブロックチェーン上にパソコンを利用した際のアクティビティ(行動)を記録し、情報漏洩につながるような不審行動の監視が行われています。アクティビティをブロックチェーンに残すことで、リアルタイムでの監視や問題発生時の状況確認が可能となり、リモートワークでは難しい「人の目」を意識させて不正行為を抑止することが可能です。
まだまだ実験段階ではありますが、今後は仕事以外の用途でのアクティビティの記録を避けたり、セキュリティ製品との組み合わせによる利用を可能にするなど、実用化に向けた取り組みが検討されています。
まとめ
リモートワークにおいて、情報漏洩をどのように防ぐかは大きな課題です。
企業のセキュリティ体制を構築するためには、セキュリティポリシーやマニュアルの作成、社員教育の徹底などの他、情報漏洩を未然に防ぐためのサービスをうまく活用することが重要です。
情報セキュリティの分野は日進月歩で、AIの利用やブロックチェーンを利用した管理など、最新技術の情報は、より良いセキュリティ体制を整えるためにも欠かせません。最新の情報へのキャッチアップのために、専門メディアによるメルマガやウェブサイトを活用するのもひとつの方法です。