- 働き方改革
テレワークでのセキュリティー対策とは?対策やガイドラインを徹底解説
公開日:
更新日:
テレワークは、働き方改革の推進とともに、多くの企業で導入が進んでいます。場所を選ばず業務ができる利便性は生産性向上に寄与する一方で、社外から社内システムへアクセスする機会が増えるため、セキュリティーリスクも高まっています。
本記事では、テレワークにおける主要なセキュリティーリスクと具体的な対策方法を解説します。総務省のガイドラインや社内規程の策定ポイント、セキュリティーと利便性を両立させるための実践的なアプローチまで、情報システム担当者や経営層が押さえておくべき内容を網羅的にまとめました。
いま、企業が注目するDXとは
テレワーク導入企業の増加とセキュリティー対策の必要性の増大
テレワークはコロナ禍以降、働き方の選択肢として定着し、多くの企業が柔軟な勤務体制を整えています。総務省の調査によれば、テレワークを導入する企業は2020年も47.5%に増加、2021年以降もおおむね50%前後で推移しています。このように高い水準で定着しており、従業員の働きやすさと企業の生産性向上に寄与しています。
一方で、テレワーク環境では社内ネットワークの外部から業務システムにアクセスする機会が格段に増えます。従来のオフィス勤務では物理的なセキュリティー対策が講じられていましたが、テレワークでは従業員の自宅やカフェなど多様な場所からのアクセスが発生するため、従来の対策だけでは不十分な場合が多いでしょう。
特に注意が必要なのは、IT管理部門の監視が行き届きにくくなる点です。オフィスであれば異常な通信やデバイスの状態を即座に把握できましたが、テレワークではそれが困難になります。このため、セキュリティーリスクを正しく理解し、適切な対策を講じることが企業の重要な経営課題となっています。
テレワークにおける主要なセキュリティーリスク
テレワーク環境では、オフィス勤務時とは違うセキュリティーリスクが存在します。社外からのアクセスが増えることで、端末の物理的な管理やネットワーク環境の安全性が課題となるのです。ここでは特に注意すべき3つのリスクを解説します。
端末紛失・盗難による機密情報漏洩
テレワークではノートPCやスマートフォン、タブレットといった端末を社外に持ち出す機会が増えます。移動中の電車内や外出先での置き忘れ、盗難といったリスクは、オフィス内で固定されたデスクトップPCを使用していた頃には考えにくかったものです。
端末紛失・盗難による主なリスクは以下の通りです。
- 暗号化が施されていない端末が第三者の手に渡ると、保存されている顧客情報や社内文書にアクセスされるおそれがある
- 一度情報が流出すれば、顧客からの信頼を失うだけでなく、損害賠償や社会的な信用低下といった深刻な影響が生じる
- 外出先での作業中に端末から目を離した隙に盗まれてしまう
端末の持ち出しルールを明確にし、暗号化やリモートでロックできる機能といった技術的な対策を導入することが必要です。また、従業員に対して端末管理の重要性を継続的に教育することも欠かせません。
不正アクセスによるデータ流出
脆弱なパスワード設定やフィッシング攻撃によって、社内システムに不正侵入されるリスクがあります。従来のオフィス勤務では防げていたはずの手口で従業員からログイン情報を盗み出し、顧客データベースや機密文書にアクセスされてしまう、とったことも起こりえるでしょう。
テレワーク環境における不正アクセスの特徴は以下の通りです。
- T管理部門の監視が行き届きにくくなるため、不審なログインや異常なデータアクセスを即座に検知することが難しい
- オフィス勤務でも発生し得るリスクだが、テレワークでは従業員が孤立した環境で判断を迫られるため、フィッシング詐欺に引っかかりやすい
- 自宅やカフェなど管理が行き届かない環境では、セキュリティー意識が緩みがちになる
対策としては、多要素認証の導入やアクセスログの定期的な監視、従業員へのセキュリティー教育が有効です。特にフィッシングメールの見分け方や、怪しいリンクをクリックしないといった基本的な知識を全従業員に浸透させることが重要です。
通信傍受によるパスワード流出
自宅だけでなく、カフェや駅、空港といった公共スペースで作業する機会が増えます。こうした場所で提供されている公衆Wi-Fiは便利ですが、セキュリティー面では大きなリスクを抱えています。
主なリスクは以下の通りです。
- パスワードが設定されていない公衆Wi-Fiや暗号化されていない通信を利用すると、第三者にログイン情報や業務メールの内容を傍受されるおそれがある
- 攻撃者に通信を盗み見られたり改ざんされたりすると、社内システムへのアクセス権限を不正に取得されるリスクがある
- 実在する公衆Wi-Fiと同じ名前の偽アクセスポイント(なりすましWi-Fi)が存在する
これらのリスクを避けるためには、安全な通信環境を確保することが重要です。不特定多数が利用する公衆Wi-Fiでの業務は極力避け、自宅やセキュリティーが確保された環境で作業するように心がけましょう。
対策が万全でない場合に起こるトラブルの具体例
導入しているツールのセキュリティーが担保されていないと以下のようなトラブルが起こる場合があります。
オンラインストレージの設定不備
ファイルの設定不備により、重要な情報を誰でもアクセス可能な状態にしてしまうことがあります。ウイルス感染や総当たり攻撃、フィッシング、通信の傍受などの手口でユーザーのIDとパスワードが盗み出され、不正アクセスされるケースが多いです。また、従業員による情報漏えいの危険もあります。
SaaSサービスへの不正アクセス(リスト型攻撃)
不正アクセスによって、顧客の情報やこれまでのやり取りなど、重大な機密情報が漏えいすることがあります。特に近年ではリスト型攻撃による被害が多く、大企業でもリスト型攻撃による不正アクセスで、ユーザーのアカウント情報が流出し、信頼を損ねてしまったケースが後を絶ちません。
従業員による持ち出し(内部不正)
アクセス権限を持っている従業員や業務委託先の社員が故意に機密情報にアクセスし、情報を持ち出してしまうことも考えられます。また、ツールを使わずExcelで管理している場合、ファイルのコピーによって漏えいする可能性もあります。
ウェブ会議ツールの管理不足
不正アクセスによって、会議資料のダウンロード、画面に表示されている映像を盗み見ることによる漏えいが起こる場合があります。もちろんこれはハッカーなどによる攻撃の場合も多いのですが、従業員のリテラシーの低さが問題で起こることもあります。例えば従業員がウェブ会議ルームのURLを気軽にSNSなどに貼り付けてしまうのです。その結果、第三者がウェブ会議に侵入してしまうというトラブルが起こります。ウェブ会議ツールにはしっかりとIDとパスワードを設定することが必要です。
テレワーク環境において必要なセキュリティー対策の例
会社はテレワーク環境の運用についてのルールを定め、従業員に遵守させる必要があります。従業員がルールを守ることが情報セキュリティーの第一歩です。具体的には以下のようなルールが必要です。
- テレワークで使うデバイスを他人と共有しない
- ウェブ会議のサービスなどを新たに使う前には、事前にサービスの初期設定の内容を確認する。とくにセキュリティー機能は積極的に活用する
- 従業員の自宅のWi-Fiルータのファームウエアを最新にアップデートする
- カフェなどで業務を行う場合には第三者に画面を覗き見されないように気をつける
- 公衆Wi-Fiを利用する際にはファイル共有機能をオフにする
- 公衆Wi-Fiを利用する際には必要に応じて信頼できるVPNを利用する
また、テレワーク導入直後は従業員が慣れていないと思われるので、システム管理者に異常を報告しやすい体制を整えなければなりません。何か事故が起こったときに、従業員が報告を戸惑っていると、対策が遅れ被害が拡大することがあります。できるだけ簡単にかつ心理的なハードルが低いような報告の体制を作らなければなりません。
また、企業のセキュリティーポリシーにおいては、「マルウェア感染時にはLANケーブルを抜くか無線LANをオフにする」というルールが策定されていることが多いです。しかし、テレワーク環境においてこれをそのまま適用することはできません。なぜならネットワーク環境に接続されていないとシステム管理者が遠隔操作で感染デバイスを確かめることができなくなるからです。感染デバイスをネットワークから隔離することは正しいのですが、隔離したあとでどう対応するかということを想定した対応策を社内で共有しておく必要があります。
さらに、テレワークから職場に戻る際にも、戻る前にパソコンにウイルスチェックをかけ、アップデートを適用してから戻すことが必要です。これは自宅で作った成果物をUSBメモリで社内に持ち込んだりする場合も同様です。また、テレワーク環境から社内環境へのデータ移行のやり方についてルールを策定する必要があります。
テレワークのセキュリティー対策をする際のポイント
テレワーク環境のセキュリティーを確保するには、技術的な対策だけでなく、組織全体でルールを整備し、運用する体制が欠かせません。
ここでは対策を進める上で押さえておくべき重要なポイントを3つ紹介します。
総務省によるテレワークセキュリティーガイドラインを参照する
総務省が公開している「テレワークセキュリティーガイドライン第5版」は、テレワーク環境のセキュリティー対策を検討する上で有用です。このガイドラインは企業規模や業種を問わず適用でき、リスクの洗い出しから具体的な対策まで体系的に整理されています。
テレワークの実施形態を複数のパターンに分類し、それぞれに応じた対策が示されているため、自社の環境に合わせて必要な対策を効率的に把握できます。
VPN方式、リモートデスクトップ方式、クラウドサービス方式など、7種類のテレワーク方式ごとにセキュリティー上の考慮事項が解説されており、導入方式の選定にも役立つでしょう。
ガイドラインでは具体的なトラブル事例とその対策も紹介されており、実際に発生しうるリスクをイメージしやすくなっています。セキュリティー対策の検討を始める際は、まずこのガイドラインを参照して自社に必要な対策の全体像を把握することがおすすめです。
社内規程を策定する
テレワーク環境で安全に業務を行うには、守るべきルールを明文化した社内規程が不可欠です。
端末の使用ルール、データの取り扱い方針、禁止事項といった具体的な内容を定めることで、従業員の意識を高め、インシデントの発生を防ぐことができます。
規程には、テレワーク用端末を他人と共有しない、新たなサービスを使用する前にセキュリティー機能を確認する、公衆Wi-Fi利用時の注意事項といった実務的な内容を盛り込みましょう。また、違反した場合の対応も明記することも重要です。
既存のセキュリティーポリシーがある場合は、テレワーク環境に対応させるための見直しが必要です。オフィス勤務を前提とした規程では、テレワーク特有のリスクに対応しきれないため、自宅やカフェでの作業を想定したルールを追加し、現実的かつ実効性のある規程を整備しましょう。
インシデント報告の仕組みを整える
テレワーク中にインシデントが発生した際、迅速に報告できる体制を構築しておくことも重要です。端末の紛失、不審なメールの受信、システムの異常といった事象を早期に把握できれば、被害を最小限に抑えられます。
報告体制を整える際は、従業員が心理的な負担なしに報告できる環境作りを意識しましょう。インシデントを報告すると叱責されるのではないかという不安があると、報告が遅れて被害が拡大してしまいます。
報告した従業員を責めるのではなく、迅速な対応を評価する文化を醸成することが大切です。
また、IT部門側では、24時間対応できる体制やエスカレーション手順を整備することが重要です。報告を受けた後の初動対応、関係部署への連絡、外部への影響の調査といった一連の流れを明確にしておくことで、混乱を防ぎスムーズな対応が可能になります。
パスワードのみに頼らない認証技術
また、パスワードだけに頼らない認証というのも昨今は注目され始めています。
従来、認証にはパスワードが使用されてきましたが、近年では過去に漏えいしたパスワードリストが出回り、それを用いた「リスト型攻撃」が観測され始めています。また、ユーザーの環境や情報から類推したパスワードを試していく類推攻撃も観測されています。ユーザーの情報はSNSなどから簡単に取れるのです。さらに、使われやすい単語のリストを利用した辞書攻撃やすべての文字の組み合わせを試す総当たり攻撃など、パスワードを攻撃する手法は多数開発されています。
パスワードの設定を従業員に任せた上で「安全なパスワードを使用せよ」というルールだけでは管理するのに限界があるため、今後は生体認証や二要素認証など、次世代の認証技術を導入することも徐々に検討されていくでしょう。
セキュリティーを固めすぎた結果、起こる問題
情報セキュリティー対策として、社外からすべてのツールへのアクセスを禁止、会社PCへアプリのダウンロードを禁止等、セキュリティーを強固にしていれば良いという訳ではありません。
一般的にはセキュリティーの頑強さとユーザー(従業員)の利便性というのは反比例します。十重二十重に張り巡らされたセキュリティーはユーザーの前にも立ちはだかります。ユーザーはそのセキュリティーの制約の中でシステムを利用しなければいけないのです。結果的にユーザーがシステムを利用する前の手続きがわずらわしくなり、生産性が上がらないといった問題につながってしまいます。
このような状況になると発生する問題の一つはシャドーITというものです。シャドーITとは、社内で使用が許可されていない個人所有のソフトウエアや外部サービスやデバイスを、隠れて利用してしまう行動を意味する言葉です。例えば以下のようなツールが該当します。
- 会社で許可されていないオンラインストレージサービス
- 会社で許可されていないチャットツール
- 個人のスマートフォンやタブレット
- 個人所有のUSBメモリー
シャドーITがまん延してしまうとどのようなトラブルが起こるのでしょうか。コンシューマー向けのITサービスといえばオンラインストレージとチャットが広く浸透していますが、これらをシャドーITとして用いると以下のようなトラブル例があります。
- 個人情報が掲載された業務文書を、会社で許可されていないオンラインストレージに保存していたら共有設定を誤り誰でも見られる状態になってしまっていた。
- 会社で許可されていないチャットツールを業務用の連絡に使っていたら、誤って社外秘情報を無関係の友人に送ってしまった。
このようなシャドーITによるリスクはとても恐ろしいものですが、だからといってただ禁止すれば解決するかというとそんなことはありません。なぜシャドーITがまん延するかというと、業務においてそのツールの需要があるからです。つまり会社から許可されている業務ツールの利便性が非常に悪く、個人用のツールを使わないと著しく生産性が落ちるため、シャドーITがまん延するのかもしれません。
したがって、シャドーITを防止するには、セキュリティーと利便性を両立したツールを選ぶべきです。シャドーITに手を出す従業員も、できれば会社から禁止されたツールを使うリスクは負いたくはないはずです。
セキュリティーと利便性を両立させるために、Sansan社の情シス・セキュリティー部門が気をつけていること
使うシステムやツールによってチェック項目を分ける
ツールのセキュリティーをすべて一律のチェック項目で審査していると、ツールごとに過不足が生じます。例えば極めて重要な個人情報を扱う場合にはセキュリティーにも高いハードルが必要なので厳しいチェックが必要になりますが、あまり重要ではない情報を扱うツールは利便性を害するほどのセキュリティーは必要ありません。
Sansan社ではきめ細かいチェック項目の設定によってツールごとに最適なセキュリティー強度を担保しています。
日々の情報収集からチェック項目をブラッシュアップしている
セキュリティー対策は日進月歩です。社内で使用しているツールにセキュリティーホール(情報セキュリティー上の欠陥)が見つかった場合は即座にアップデートをしなければならないですし、それに合わせてチェックリストもアップデートする必要があります。さらに情報セキュリティー技術に進歩があった場合にも、それに合わせてチェックリストをアップデートする必要があります。
Sansan社では「CSIRT(Computer Security Incident Response Team)」が日々、情報収集をしており、最新のセキュリティー体制を保持しています。
まとめ
新型コロナウイルスの影響で、急速に浸透しているテレワーク。オンラインで業務が完結できる一方、情報システム部門としては、セキュリティー対策と利便性をバランスよく両立するツールを見つけることが重要です。
ビジネスデータベース「Sansan」は顧客データ・名刺データの活用に関する各種機能が充実しているだけでなく、セキュリティーと利便性の両方を追求したツールです。詳しくはこちらをご覧ください。
3分でわかる Sansan
ビジネスデータベース「Sansan」について簡潔にご説明した資料です。
ライター
営業DX Handbook 編集部
