テレワーク最大の課題はセキュリティ。安心して働ける環境のつくり方
働き方改革への企業の対応が進む中、注目を浴びているのがテレワークという新しい働き方です。社員が自宅や自宅近くのサテライトオフィスで働くことで、通勤の負担が減る、生産性が向上するなど、さまざまなメリットが得られます。
しかし、テレワークを行う際に大きな課題となるのが、セキュリティのリスクです。社外秘が外部に漏れるなどのリスクを防ぐためには、どうすればよいのでしょうか?
ここでは、テレワークにおけるセキュリティリスクへの対策方法について、詳しくご説明します。
目次
テレワークにおいてセキュリティリスクは大きな課題
テレワークを導入する企業が最初に必ず考えなければならないのが、情報セキュリティリスクです。
社員たちが仕事をする際には、さまざまな情報を扱います。会社と取引先との取引の情報、開発中の商品の情報、顧客情報や社員の個人情報など、どれも会社として大事な情報ばかりです。社員がテレワークで仕事をする場合、これらの大事な情報をテレワークオフィスに持ち出したり、外部から閲覧したりする必要があります。その際に、外部に情報が漏れたり外部から情報を盗まれたりするリスクがともないます。
もちろん、テレワーク制度を導入しなくても、セキュリティリスクは存在します。しかし、テレワークを行うことで、よりセキュリティリスクが高まるのです。
企業がテレワーク制度を導入する際には、セキュリティリスクを防ぐための手段を講じなければなりません。
統合管理型のセキュアアクセス確保は必須
テレワークを行う際には、テレワーク社員のパソコンをシンクライアント化しデータ自体は社内のサーバーで管理するのが望ましい形のひとつです。また、許可された端末からのみアクセス可能にし、本人確認ができる仕組みを導入するなどの手段でセキュアにアクセスできる手段を確立します。
この時、企業はどこまでのラインでセキュリティを確保すべきなのでしょうか。総務省が発表したテレワークセキュリティガイドラインについてご説明します。
セキュリティガイドラインに沿った導入を
総務省は2018年4月にテレワークセキュリティガイドラインの第4版を発表しました。このガイドラインでは、テレワーク導入の際のセキュリティ対策方法を6つの分類に分けて詳しく紹介しています。その中でセキュリティが高い方法として、オフィスの端末を遠隔操作する方法や、テレワーク用の仮想端末を遠隔操作する方法です。そして、情報セキュリティ保全対策やマルウェア対策、端末の紛失や盗難対策などのセキュリティ対策に対して、経営者、システム管理者、テレワーカーのそれぞれが対策すべきポイントを具体的に解説しています。企業はこのガイドラインを正しく理解して関係者に周知し、自社に合った対策を講じる必要があります。
テレワーク環境におけるセキュリティをさらに強化する方法
テレワーク環境のセキュリティをより強化するためにはどうすれば良いのかについて、考えてみましょう。
異常発生時はすぐに報告できるコミュニケーション体制を構築する
セキュリティ対策をいくら強化しても、問題は起こります。大事なのは、問題が発生した時にもすぐに対応できるように、コミュニケーション体制を構築しておくことです。例えば、社外にパソコン端末を持ち出した際に端末を紛失してしまうなどの問題は、完全に防ぐことが不可能です。しかし、紛失が発覚した際に誰に連絡を取れば良いのか、どんな対策を講じれば良いのかなどを取り決めておくことで、素早く的確に対処ができます。全社員から直属の上司を通じてシステム管理者に連絡がつながるようにするなどの、社内のコミュニケーション体制を構築しておくことが重要です。
全社員へのセキュリティ教育を実施する
テレワーク端末やネットワーク、社内システムなどのセキュリティ対策を万全にしたとしても、それを使う社員たちがセキュリティへの意識を持っていなければ意味がありません。たった1人の社員の認識が甘いために、テレワーク端末から情報が外部に流出することもあります。ITシステムによるセキュリティ対策だけでは、セキュリティリスクは防げません。テレワーク社員を含む全社員が、正しいセキュリティに関する意識を持つ必要があります。全社員のセキュリティ意識を高めるために、企業は全社員へのセキュリティ教育を定期的に行うべきです。
マルウェアや不正アクセスへの対策を徹底する
テレワーク制度を導入する際には、会社レベルで社内システムやテレワーク端末などに対してセキュリティ対策を施す必要があります。
テレワークを行う際に最も重要なのが、テレワーク端末への対策です。端末が社外に存在することで社外の人間に操作されるリスクが高まりますから、端末自体のセキュリティを高めなければならないからです。
少しでもセキュリティリスクを減らすために、テレワーク端末へ対策すべきことをご紹介します。
データ暗号化や画面ロックなどの徹底
シンクライアント化をすることで端末自体にデータが存在しない場合でも、アクセス履歴などが端末に残ることもあります。ですから、端末のデータの暗号化が推奨されています。また、画面ロックの設定を徹底させておけば、万が一端末が紛失しても簡単には操作することができず、端末内のデータが守られます。
個別にアクセス制限を設定できるようにする
テレワーク端末から社内システムにアクセスできる場合には、個別にアクセス制限を設定できるようにしましょう。そうすれば、万が一端末が紛失しても、紛失した端末からのアクセスを拒否することで社内システムに外部者からアクセスされる心配はありません。
ウィルス対策ソフトやファームウェア、OSなどの定期的なアップデート
テレワーク端末に、ウィルス対策ソフトやファームウェア、OSなどが定期的にアップデートされるような仕組みを導入します。端末が常に最新の状態でないと、脆弱性を狙われてウィルスの侵入や不正アクセスなどが起こる可能性もあります。
不必要なアプリケーションなどのダウンロードを禁止する
ウィルス対策ソフトなどが最新バージョンであっても、端末の使用者が自ら不正なソフトをダウンロードしてしまえば、セキュリティの脅威を防ぐことができません。そのため、不必要なアプリケーションなどをダウンロードできないような仕組みを導入するのも良い方法です。仕事に必要なアプリケーションやツールはあらかじめインストールしておき、システム管理者だけがダウンロードできるように権限を設定しておくなどという方法もあります。
万が一情報漏洩が起きた場合の対策も
どれだけセキュリティ対策を施していても、社員が情報を漏洩してしまうこともあります。そのため、社員による情報漏洩が起きた場合の対策を講じておくことも重要です。社員による情報漏洩が起きた場合にも、企業の利益を守るために、次のような対策を行っておきましょう。
- 企業の機密情報を明確に「営業秘密」と位置付けておく
- 営業秘密の取り扱いについての社内規定を設けておく
- 会社組織として情報セキュリティの運用方法を明確化しておく
- 社員から守秘義務に関する誓約書を取得しておく
まとめ
企業がテレワーク制度を導入する際には、セキュリティリスクへの対策が必要不可欠です。総務省が発表したテレワークセキュリティガイドラインを参考にすることで、自社に合ったセキュリティ対策を実行する必要があります。また、ガイドラインに沿った対策以外にも、異常発生時のコミュニケーション体制の構築や全社員へのセキュリティ教育の実施、マルウェアや不正アクセスに対する対策の徹底などを行います。さらに、社員による情報漏洩に備えた対策も必要です。このような万全な対策を行うことで、テレワーク制度を安全に実施できるようにしましょう。
筆者プロフィール
- 新しい「働き方」やそれを支えるITツールにアンテナを張っています。面白い働き方を実践している人はぜひ教えてください!