テレワークのセキュリティ問題とは?安全に行うための6つの対策
職場以外の自宅やカフェなどで仕事をするテレワーク。 2020年、働き方改革とコロナウィルスの感染拡大によって急速に普及し、今や日常の光景となりました。 テレワークは業務効率を向上させる新しい働き方として注目されていますが、反面、テレワークを狙ったサイバー攻撃は急増しています。 本記事では、テレワークのセキュリティリスクと対策について解説します。
テレワークとは?
テレワークは、離れた場所を意味する「tele」と「work」をかけ合わせた造語で、ICT(情報通信技術)を利活用し、場所や時間の制約を受けずに働く働き方を指します。
テレワークの起源はロサンゼルスといわれています。 当初は、マイカー通勤によるエネルギー不足、交通混雑や大気汚染の緩和を目的に実施されていたそうです。 また、カリフォルニア州では、1994年に発生したノースリッジ地震を教訓に、在宅勤務の導入やサテライトオフィスの設置を行い、リスク分散化を図る企業が増加しました。
日本では、1984年9月に、NECが開設した国内初のサテライトオフィス「C&Cサテライトオフィス」がはじまりといわれています。 当時はまだ実験的な意味合いが強く、本格的な運用には至りませんでした。
テレワークの導入率は?
先述したように、2020年のコロナウィルス感染拡大にともない、テレワークの導入率は大きく上昇しました。
株式会社パーソル総合研究所が行った調査によれば、2020年3月に7都道府県を対象に発令された「緊急事態宣言」に伴い、全国平均のテレワーク導入率は13.2%から27.9%に上昇しています。
緊急事態宣言解除後は、緊急事態宣言中と比べると2.2%減少しているものの、全国平均で25.7%と20%超となっています。
参照:緊急事態宣言解除後のテレワークの実態について調査結果を発表 テレワーク実施率は全国平均で25.7%。4月に比べて2.2ポイント減少
また、2020年9〜10月に東京商工会議所が行った調査では、実施率は前回調査の5〜6月よりも14.2%減の53.1%となりました。 これは、緊急事態宣言発令前の50.5%と比べると、2.8%多いです。
いずれの調査からも、緊急事態宣言発令を境に、テレワークの導入率は格段に上がったもの、解除後は取りやめる企業も増えていることが伺えます。
テレワークの種類
テレワークの種類は、「サテライトオフィス勤務」「モバイルワーク」「在宅勤務」の3つです。
サテライトオフィス勤務
本社とは別に設置されたオフィスで働くテレワーク方式のことをいいます。
近年は、ワーケーションなどの意味合いも込めて、地方都市に設置されるケースが多いです。 地方都市の優秀な人材を活用できる利点がありますが、設備投資がかかってしまうため、導入のハードルは高いです。
企業によっては、導入コストを抑えるため、シェアオフィスやコワーキングスペースと契約する場合もあります。 ただし、シェアオフィスやコワーキングスペースは、不特定多数の人の出入りがあり、情報漏洩などのリスクが高まります。
モバイルワーク
場所にとらわれず、会社から貸与されたパソコンやスマートフォンなどを使い、仕事をするテレワーク。
近年は、BYOD(Bring Your Own Device)を導入し、個人のパソコンやスマートフォンの使用を許可するケースも増えてきています。 営業職で多く採用されるテレワーク方式で、機動力が高い分、パソコンやスマートフォンの紛失や情報漏洩のリスクが懸念されます。
在宅勤務
自宅を勤務場所とするテレワーク方式です。 通勤がなくなるため、業務効率が期待でき、また交通費やオフィスの賃料、水道光熱費などの維持費用の削減もできます。 家族以外の人が入らない閉ざされた空間のため、他の二つと比べると紛失や覗き見などのリスクについては軽減することができます。
テレワークで生じるセキュリティの課題
テレワークは、業務効率の向上、オフィスの賃料やOA機器などのコスト削減メリットがあるものの、セキュリティの課題もあります。
デバイスやUSB等記憶媒体の紛失
貸与されたパソコンやスマホ、USB等記憶媒体を電車の網棚や作業をしていたカフェに置き忘れ、端末のなかに保存されている重要情報が流出してしまう恐れがあります。 特に、働く場所が指定されないモバイルワークで起こりうるリスクです。
セキュリティ対策の不備
BYODの場合に発生しうるリスクです。 セキュリティ対策ソフトの設定不備、導入忘れなどにより、ウィルスに感染したり、不正アクセスを受けたりなどの被害に遭う恐れがあります。
機密情報の覗き見・盗聴
シェアオフィスやカフェなど公共の場所で仕事をしている場合に発生します。 過去には、ショルダーハッキングにより、IDやパスワードの情報が流出し、不正アクセスの被害に遭ったケースもあります。
内部不正のリスク
内部不正のリスクはどのような勤務形態でも発生しますが、特に、上司や同僚など、他人の目がないテレワーク環境下では、発生しやすくなります。 「IPAの10大脅威2020」では、内部不正による情報漏洩が昨年の5位から2位に浮上しており、内部不正に対して課題意識を持っている企業が増えていることがわかります。
テレワークで生じるサイバー攻撃の事故・事例
テレワークは、社内の目の届かない管理外のところで業務をすることから、ハッキングやウィルス感染などのトラブルに巻き込まれるリスクがあります。
ここでは、テレワークで生じうるサイバー攻撃の事故・事例を解説します。
フリーWi-Fiを利用したことで、通信内容を傍受される
過去には、フリーWi-Fiを利用したことで、メールに添付した重要情報が流出してしまった事例も発生しています。 パスワードがないフリーWi-Fiは、アクセスポイントまでの通信が暗号化されておらず、通信が傍受できます。 また、パスワードが設定されていても、そのパスワードが漏洩している可能性もあるので十分注意が必要です。 機密情報は暗号化する、VPN(暗号化通信)を使うなどの対策を行いましょう。
社用PCを紛失してしまい、不正利用される
モバイルワークでは、社用PCやスマホ、書類を持ち歩く機会が増えます。 電車の網棚の上やトイレに置き忘れ、端末を不正利用される、書類の情報を盗み取られるなどの事例が起こり得ます。
アップデート通知を放置し、ウィルスに感染
OSやブラウザなどのアップデートの通知を放置したために、ウィルスに感染し、重要情報が外部に流出してしまう事例です。 特に、BYODなどを実施する場合は、私用の端末にセキュリティ対策ソフトが導入されていて、かつアップデートされていることを確認した上で許可をする必要があります。
離席時にパソコンをスクリーンロックせず、情報が漏洩
シェアオフィスなどを利用した際に、パソコンをスクリーンロックせず離席したことで、情報が盗み見され悪用されてしまう事例です。 トイレや電話で一時離席している間に、USBを差し込まれて情報を抜かれる、ウィルスに感染させられるなどの事例もあります。
安全なテレワークを実施するために行う対策とは?
では、テレワークを安全に実施するためには、どのような対策を講じる必要があるのでしょうか。 テレワークセキュリティガイドライン 第4版を参考に、テレワークのセキュリティ対策を解説します。
情報セキュリティポリシーの策定
まず、自社のセキュリティ基準となる情報セキュリティポリシーを策定しましょう。
これは、自社の情報セキュリティに関する方針や行動指針をまとめた文書です。
セキュリティポリシーを策定・周知することで、組織全体のセキュリティレベルを均一化できます。 また、一度作成して終わりにせず、PDCAサイクルで、適宜ルールを最新の状況にあわせてチューニングし、セキュリティ対策の水準を高めることが重要です。
ネットワークの暗号化
セキュリティ性が確保されていないネットワークを介して情報のやり取りをすると、その内容がすべて漏洩してしまうリスクがあります。 秘匿性の高い通信方法としては、VPN(仮想プライベートネットワーク)があります。
VPNとは、インターネット上に構築された仮想プライベートネットワークのことを指します。
機密情報へのアクセス制限
端末にデータを保管しておくと、万が一ウィルスに感染したり、紛失したりした際に悪用されるリスクがあります。 端末は暗号化するとともに、機密情報は、社内のファイルサーバに保存するようにしましょう。 非常に機密性の高い情報については、さらにアクセス制限をかけたり、ファイルそのものを暗号化しておくとより安全です。
当社製品「ALogシリーズ」では、通信履歴やアクセス履歴などを監視することができます。 詳しく知りたい方はこちらをご覧ください。
社内に向けた情報セキュリティ教育を実施
セキュリティリスクは日々変化します。 e-ラーニングや社内研修、メルマガ、社内報での情報発信、オフィス内に張り紙やポスターを掲示するなど、社内に向けて情報セキュリティ教育を実施しましょう。
連絡体制の整備
重大インシデントが発生したときには、経営者が迅速にリーダーシップをとり、被害を最小限に留めることが求められます。
具体的には、経営者とセキュリティ担当者の橋渡し役となるCISO(最高情報セキュリティ責任者)の設置と責任の明確化、インシデント対応するためのチームである「CSIRT」の構築・連携、緊急連絡先の作成、初動対応マニュアルの整備などが挙げられます。
また、整備した連絡体制が機能しているか、非常時を想定した予行演習を定期的に行うなどして確認します。
信頼性の低いサイトの閲覧制限
不正アクセスを未然に防ぐ方法の一つとして、Webフィルタリングが挙げられます。
Webフィルタリングは、業務に無関係なサイト、信頼性の低いサイトのアクセスを制限しセキュリティリスクを防ぐ機能です。
Webフィルタリングには、有害なWebサイトのみアクセス制限をかけて、それ以外のWebサイトのアクセスを許可する「ブラックリスト方式」と、特定の安全なWebサイトのみアクセスを許可し、それ以外のアクセスをブロックする「ホワイトリスト方式」の2種類があります。
まとめ
今後、業種・業態を問わず、さまざまな企業でテレワークが普及していくでしょう。
セキュリティリスクはありますが、テレワークはそれを上回る利便性を秘めています。 従業員が安全にテレワークができるよう、本記事で紹介したセキュリティ対策を講じていきましょう。