テレワークのセキュリティ対策に最重要な3つの柱 | ガイドラインの内容も解説

mail_hatarabo_archives_8.jpg

telework-cybersecurity

▼資料の無料ダウンロードはこちらから▼

テレワークとは、情報通信技術を活用した場所や時間にとらわれない柔軟な働き方のこと。テレワーク導入の動きが急速に進む中で必ずチェックしたいのが、セキュリティ対策です。この記事では、安全に業務を行うために欠かせないテレワークのセキュリティ対策について、詳細に解説します。テレワーク導入やセキュリティ対策の強化を検討している方は、ぜひ参考にしてください。

テレワークにおけるセキュリティ対策の必要性

テレワークとは、「tele = 離れたところ」と「work = 働く」を組み合わせた造語で、ICT(情報通信技術)を活用した時間や場所にとらわれない柔軟な働き方を指します。働き方改革や感染症対策の観点から有用な働き方ですが、オフィスから離れた場所で仕事をするからこそ、情報漏えいやウイルス感染のリスクもあります。2020年5月には大阪府で個人情報を記録したUSBメモリの紛失が起こるなど、情報に関する事故が発生しています。

テレワークにおける3つのセキュリティ対策

総務省は、テレワークのセキュリティ対策をまとめたテレワークセキュリティガイドラインを発表しています。このガイドラインの内容に沿って、3つの対策のポイントを解説します。

  1. ルール整備によるセキュリティ対策
  2. 技術的なセキュリティ対策
  3. 物理的なセキュリティ対策

1.ルール整備によるセキュリティ対策

1つ目は、テレワークに関するルールの整備です。セキュリティに関する安全性についてテレワークを行う人が都度判断するのではなく、これを守れば安全を確保できるというルールを定めることで、従業員が安心して仕事をすることができます。ルール整備のポイントは次の3つです。

自社のガイドライン策定

ノートパソコンやタブレットなどのモバイル端末を外部で扱うことを想定した、自社のセキュリティガイドラインを策定しましょう。ガイドラインには、外部へ持ち出しができるデータや端末の種類や、持ち出しの際の手続き方法、オフィス外からのネットワークへのアクセスに関するルールなどを定めます。

行動ルールの策定

テレワーク中の行動に関するルールも必要です。在宅勤務中のパソコンの取り扱いや管理方法、クラウドサービスやメッセージアプリの使用方法、アプリケーションのインストールの条件など、情報漏洩を起こさない行動を徹底するためのルール作りを進めましょう。

ルール遵守のための教育や啓蒙

ルールを定めるだけではなく、社員に浸透させるための取り組みも必要です。テレワーク実施者だけでなく、全社員に対してルールを周知するための研修を行いましょう。イントラネット等での定期的な情報発信などの啓蒙活動も必要です。

2.技術的なセキュリティ対策

2つ目として、システムやアプリケーションの活用といった技術面からセキュリティを守る対策も進めましょう。ルールだけでは対応できない脅威に対して、「認証」「検知」「制御」「防御」を自動的に実施する技術的対策が、安全なテレワークに不可欠です。その主な取り組みは次のとおりです。

ウイルス対策ソフトの導入

インターネット接続が必要なテレワークにおいては、悪意あるソフトウェアによる端末のウイルス感染のリスクが生じます。不正アクセス検知や、不正プログラム検出などの機能を備えたウイルス対策ソフトを導入して、リスクに備えましょう。万全な状態を保つため、定期的なソフトのアップデートも欠かせません。

データの暗号化

テレワークにつきものなのが、テレワーク端末や携帯電話の持ち出しに伴う紛失や盗難のリスクです。端末が手元からなくなった時の情報漏洩を防ぐため、ハードディスクやUSBメモリなどのメディア内のデータの暗号化を行いましょう。

安全な回線の選択

ネットワークの安全性を確保することも重要です。VPN(Virtual Private Network)を使用した安全なネットワーク環境を整備しましょう。モバイル端末を使って社外で仕事をする際には、安全性が認められない公衆Wi-Fiを使用しない、会社が提供するモバイルルーターを使用するなどのルールも必要です。

ログ監視

ログ監視ツールの導入も有効な技術的対策です。ログ監視ツールを使うことで、データの不正コピーや、許可されていないUSBメモリの使用やクラウドサービスの利用など、リスクにつながる操作を早期発見できます。ログを管理することで、被害が起きた際の原因調査や、不正防止対策も可能になります。

3.物理的なセキュリティ対策

ルール作りや技術的な対策だけでなく、オフィスから離れて働くテレワークには物理的なセキュリティ対策も必須です。次の2点を中心に、物理的対策を進めましょう。

紛失対策

モバイル端末やデータの紛失による情報漏洩を防ぐ対策も必須です。パソコンや携帯電話の持ち出し方法や管理方法、また持ち出せるデータの制限などのルールを整備して徹底しましょう。紙資料の持ち出しによる紛失を防ぐために、データを電子化して暗号化することも有効です。

作業スペースのセキュリティ確保

作業する自宅などでのエリアでの端末盗難などのリスクを防ぐため、作業スペースの安全性も確保しましょう。在宅勤務でパソコンは施錠した棚など安全な場所に収納する、不特定多数の人がいる場所での作業を控えるなどの対策が必要です。

テレワーク時に気をつけるべき注意事項

安全にテレワークを行う際に、従業員は具体的にどのような点を意識すればよいのでしょうか。セキュリティを守るための前提として、使用するパソコンなどの端末は他人と共有するのはNGです。パソコンを共有して使わざるを得ない場合は、アカウントを人数分発行しましょう。また、クラウドサービスやウェブ会議ツールなどの新しいサービスを導入する際には、セキュリティ対策が十分な初期設定になっているかどうか、確認しましょう。

在宅でテレワークを行う場合は、自宅で使用している無線LANルーターや、ネットワーク対応プリンタのセキュリティ対策も必須です。パソコンやスマホだけでなく、ネットワークにつながる機器のファームウエア(ソフトウェア)更新を行うことで、セキュリティソフトを最新の状態にしておきましょう。

自宅以外の公共の場でテレワークを行う場合は、第三者によるのぞき見や音声の漏れによる情報漏洩に注意しましょう。画面が見えやすい場所で仕事をしない、会議の声が外部に聞こえないように注意するなどの対策が必要です。デジタルのデータだけでなく紙の資料の扱いについても、紛失や盗難を防ぐよう十分注意しましょう。

テレワークでよくあるセキュリティ問題と対策

次に、テレワーク中に起こりえるセキュリティ上のトラブルと、その対策について解説します。

モバイル端末やUSBメモリ、紙媒体の紛失による情報漏洩

テレワーク中には、ノートパソコンやスマホなどのモバイル端末、またUSBメモリや紙資料の紛失・盗難による情報漏洩のリスクがあります。持ち出しに制限をかける、持ち出し申請や管理の方法を徹底するといったルール整備によってリスクを軽減することが可能です。また、情報漏洩が起きても被害を最小限にとどめるため、紛失や盗難時には遠隔で端末のロックやデータ消去ができるよう設定しましょう。

ウイルス感染による情報漏洩

テレワーク時のセキュリティ対策が不十分だと、キーロガーやスパイウエアなど、ウイルスによる情報漏洩も起こりえます。会社支給ではなく、個人が所有するパソコンを利用する場合には、セキュリティソフトなどの対策が行われていないケースもあるため、特に注意が必要です。個人所有の端末を使う場合は、セキュリティソフトなどの対策が十分な端末を使う、データのバックアップ体制を確保する、ウイルス対策を講じたツールを使う等のルールを定めましょう。

フリーWi-Fiからの情報漏洩

公共の場で提供されている、セキュリティが万全ではないフリーWi-Fiを使用した際に、情報漏洩や盗聴などが起こるリスクもあります。テレワークをする際は、公共のWi-Fiは利用しないというルールを定め、会社が提供するモバイルルーターを常に使用できる環境を整備するのが理想的です。やむを得ず公共Wi-Fiを使う場合は、必ずVPNサービスを利用するなどの安全対策を徹底しましょう。

公共の場におけるのぞき見による情報漏洩

不特定多数の人が行き来する場所でテレワークをしている際には、パソコンの画面ののぞき見やオンライン通話やビデオ通話の会話の漏れ聞こえによる情報漏洩があり得ます。これらの事態を防ぐため、自宅や、会社が指定したコワーキングスペース以外の場所でのテレワークを禁止するなどのルール整備を進めましょう。液晶保護フィルムの使用を義務付ける、離席する際には必ず画面のロックをかけるなどの対策も有効です。

自宅のWi-Fiからの情報漏洩

テレワーク中に自宅で使うWi-Fiや、個人が所有するモバイルルーターのセキュリティ対策が不十分なために、業務上のデータが漏洩する事態も起きます。必ずセキュリティ対策が十分なルーターを使用しましょう。また、ルーターのファームウエアが最新でないと、セキュリティが脆弱な状態になりウイルス感染の被害に遭いやすくなります。自宅の無線LANなどの機器も、ファームウエアを常に最新の状態にアップデートしておくことが大切です。

クラウドサービス利用による情報漏洩

テレワーク中に、会社が指定したサービスや個人で使うクラウドサービスを利用するケースもあるでしょう。クラウドサービスを使う際には、誤操作によって知らないうちに業務上の情報がネット上で共有されてしまうこともあり得るため、注意が必要です。クラウドを使う場合は、ドキュメントには必ずパスコードをかけるなど、会社全体で使用方法のルールを定めましょう。

テレワークでセキュリティ被害にあってしまった場合の対応

テレワーク中に、ウイルス感染などのセキュリティ上の被害にあってしまった場合には、どのような対応が必要なのでしょうか。被害にあったことがわかったら、まずは感染を広げないために、LANケーブルを抜くもしくは無線LANをオフにするなどしてネットワークを遮断するというハード面の対応を行います。その上で、すぐに会社のシステム担当に報告をしましょう。

セキュリティ被害が起きないようにする対策だけでなく、いざというときに被害を最小限に抑えるための準備も必須です。被害発生時のレポートラインや対応方法を、あらかじめ決めておきましょう。

まとめ

ご紹介したように、安全なテレワークには、ルールや技術面、物理的な側面という3つの柱をベースとしたセキュリティ対策が必須です。起こりえる具体的な被害もイメージしながら、自社に必要な取り組みを進めましょう。

働き方改革ラボでは、「テレワーク導入 虎の巻」を無料で提供中。表面には「導入までの全体像」、裏面には「人事・労務の観点」、「ICTの観点」、「実施の観点」という3つの観点から必要な準備を整理しました。全体像と各部門で必要なアプローチを把握できるこの資料を参考に、テレワークの導入を進めてみてはいかがでしょうか?

参考・出典

個人情報が記録されたUSBメモリの紛失について│大阪府
「テレワークセキュリティガイドライン(第4版)」(案)に対する意見募集の結果及び当該ガイドラインの公表│総務省
テレワークセキュリティガイドライン第4版│総務省
テレワークを行う際のセキュリティ上の注意事項│独立行政法人情報処理推進機構
みんなでしっかりサイバーセキュリティ│内閣サイバーセキュリティセンター
「インターネットの安全・安心ハンドブック」について│内閣サイバーセキュリティセンター
インターネットの安全・安心ハンドブックVer 4.10│内閣サイバーセキュリティセンター

おすすめページ

ICTとは?導入のメリットと身の回りにある活用事例などを紹介 │中小企業応援サイト
テレワークとは?導入に必要な準備と注意点│中小企業応援サイト
VPNとは?Webブラウザでの通信の暗号化との違いとは?│中小企業応援サイト
御社のセキュリティ対策は大丈夫?「あるある」から課題を見つけよう│中小企業応援サイト

mail_hatarabo_archives_8.jpg

この記事に関連するタグ