MENU

使い方

お問い合わせ

「たむらしごと。」の使い方

サイトのご利用方法をご覧いただけます。

検索する

気になる仕事や働き方、イベント等を見つけます。

問い合わせる

本サイト内の「お問い合わせ」よりご連絡ください。後ほどワンストップセンターよりご連絡いたします。

マッチング

お問い合わせ内容に応じてマッチングのお手伝いをいたします。

導入前に検討したいテレワークのセキュリティ対策

コラム

2020.01.28

対策は「テレワークセキュリティガイドライン」に基づいて

場所や時間に縛られずに会社外で仕事を進められるテレワーク制度。特に育児や介護、外回りの多い社員へのメリットも多く、働き方改革が進む中でテレワークを導入する企業が増えてきています。

ただし、テレワークの導入に伴う「セキュリティリスク」には、十分な対策が求められます。自宅や外出先で業務を行うことで、情報漏えいの危険性が高まってしまうからです。

総務省では、テレワーク実施におけるセキュリティガイドラインを定め、各企業で情報セキュリティ対策を検討・実施するように呼びかけています。
参照)テレワークセキュリティガイドライン 第4版 総務省 別紙3

今回は、リモートワークを導入する上でのセキュリティ対策を、その起こりうるセキュリティ事故の種類ごとに説明していきます。

テレワークにはどんなセキュリティリスクがあるのか?

テレワークでは、企業が所有する文書やデータである「情報資産」をインターネットやUSBなどを通し持ち出し、会社の外で作業をすることが多くあります。

では、テレワークにおいてのセキュリティ面での危険性とは、どのようなものがあるのでしょうか。
テレワークでのセキュリティリスクは、主に以下の3つが考えられます。

【外部への情報漏えい】
インターネット経由での情報のやりとりの中で外部からウイルス攻撃を受けると、PCから情報が抜き取られ、情報の漏えいに繋がります。

【重要情報の消失(紛失・盗難・盗聴)】
情報を暗号化せずに送受信したり、PCをカフェなどに置きっぱなしにしてしまうと、重要情報やPC本体を紛失してしまう可能性があります。

【不正アクセスによる作業中断】
推測されやすいパスワードの使用やOSアップデートの未実施で、外部から不正にアクセスされてPCを使えなくなる事故が起こり得ます。

これらは想定されるセキュリティ事故のほんの一例。ここから被害が拡大し、甚大な被害を及ぼしかねないのがセキュリティ事故の恐ろしいところです。何の対策もなしにテレワークを実施することがどれほど危険かは、想像に難くありませんね。
ではこういった事故は、どのように防ぐことができるのでしょうか?

端末貸与かBYODか?導入前に検討しておきたい情報管理方法

まず、テレワークで使用するPCを①会社から貸し出す端末にするのか、②私用の端末(BYOD=“Bring Your Own Device”)にするのかによって、対策は異なります。

私用端末を使用する際はテレワーク導入コストを抑えられ、かつ使い慣れたPCで作業もはかどるため、テレワークにおいてBYODを取り入れる企業は多くあります。
ただし、私用端末で特に気をつけなければならないのが「企業情報の削除」。PC内に企業情報を残さないために、以下の方法を取ることができます。

1)リモートデスクトップ方式
会社にある端末のデスクトップ環境を、私用端末から遠隔操作したり閲覧したりする方法。
2)仮想デスクトップ方式
会社のサーバ上で提供される仮想デスクトップ環境に、私用端末から遠隔でログインして利用する方法。
3)セキュアブラウザ方式
特別なインターネットブラウザ上でのみ情報やファイルにアクセスする方法。
4)アプリケーションラッピング方式
私用端末内に「コンテナ」という仮想環境を構築し、その中でアプリケーションを起動する方法。

この他にも、サーバを使用することなく管理できる「クラウドサービス」も有効です。ただしインターネット接続が前提となるので、外部からの攻撃を受けやすいことに変わりはありません。また、インターネット環境からクラウドサーバ上で提供されるアプリケーションにアクセスする「クラウド型アプリ方式」では、私用端末に情報が残るため注意が必要です。

社員教育は?導入前のテレワークセキュリティ強化策

実際にテレワークを実施する社員へのセキュリティ教育も大切です。事前の社員教育が、セキュリティを事故を防ぐための最も重要な対策と言っても過言ではありません。

【外部への情報漏えい】
・ウイルス対策ソフトをインストールする
・OSやソフトを最新状態に保つ
・不審なサイトにアクセスしたり不要なアプリをダウンロードしたりしない
【重要情報の消失(紛失・盗難・盗聴)】
・重要情報を送信する際には暗号化する
・データを取り扱う前に原本のバックアップを取る
・のぞき見防止、作業PCを置きっぱなしにしない
【不正アクセスによる作業中断】
・定期的にパスワードを変更する
・不審なメールは開かないようにする

セキュリティ教育だけでは不安な場合は、端末の操作ログやアクセスログを取得・管理できる「ログ管理ツール」を導入も検討してみるといいでしょう。

万が一セキュリティ事故が発生してしまったら?

どんなに対策をしても、いつどこで情報漏えいや不正アクセスが発生するかは予測できません。万が一セキュリティ事故が発生してしまったときに備えて、適切な対策を迅速に取れるように社内の連絡体制を整理しておくことが大事です。

セキュリティ事故を「検知」してから「復旧」するまでの一般的な流れとして、以下の手順があります。

  1. 検知
  2. 初動対応
  3. 調査・分析
  4. 被害者への通知・情報開示
  5. 復旧・再発防止

上長への報告、被害拡大を防ぐためのネットワーク遮断、ログ・データの保全などの速やかな対応が重要です。

ソフト対策や教育だけが万全の策ではない

テレワークにおけるセキュリティ事故は、「しっかりと対策すれば発生しない」というわけではありません。少しの油断が情報漏えいや不正アクセスにつながるため、注意してもし過ぎるということはありません。
日頃からデータの扱いやテレワーク環境について振り返っていくことが何よりの防止策と心に留め、対策を怠らないことが一番の予防です。


ライター:榎本彩花