INDEX
テレワーク時に心配なのが、セキュリティ問題。今回は、この問題について考えていきたいと思います。
テレワークに求められるセキュリティ対策
1、 在宅勤務:文字通り、自宅を執務空間として業務を行うこと。
2、 モバイルワーク:ノートパソコンやタブレットなど、モバイル端末を使って、カフェなどの外出先で仕事をすること。
3、 サテライトオフィス勤務:所属する企業の拠点や、オフィス以外の場所に設置されているワークスペースで業務を行うこと。
テレワークは、育児・介護人材の雇用や、営業のタッチダウン利用、通勤時間の削減など、多くの側面から効果が認められているもので、近年、ワークライフバランスの文脈でも注目を集めています。
その一方で、テレワークや在宅勤務には、情報漏洩や不正アクセス、マルウェア感染などのリスクが付いて回ります。例えば、ウイルス感染などで、扱っている個人情報や機密性の高い情報が流失してしまったとしたら…、場合によっては、その責任は、会社やクライアントにだけでなく、社会全体に及ぶ可能性すらあるのです。
ご自身の仕事や会社の事業を守っていくためにも、在宅勤務などテレワークを行う際には、セキュリティ対策に細心の注意を払う必要があります。
セキュリティ対策のはじめの一歩は、数あるリスクを把握するところから。
テレワーク時に起こりやすいセキュリティ問題
物理的な紛失による情報漏洩
社外に持ち出した紙資料やUSBメモリ、外付けHDD、ノートパソコンなどを物理的に紛失することで(落とす、盗難にあう、など)、情報資産が流出してしまうケースがあります。オフィスエリア外への持ち出しに制限やルールを設ける、情報機器にはパスワードによるロックをかける、などの対策が必要になってくるでしょう。
クラウドサービス上での情報漏洩
インターネット上にあるデータやソフトウェアを複数の端末で共有できるクラウドサービスはとても便利なものですが、その反面、ひとたびクラウド内の情報が流出したら、その被害は非常に大きなものとなります。クラウドサービスのシステムそのものがウイルスに感染する可能性も、決してゼロではないのです。そのため、クラウドサービスの安全性を過信することなく、あらかじめリスクヘッジのルールを作っておいたり、バックアップの作成を促したり…、会社として、しっかりとポリシー(行動方針)を定めておく必要があります。
脆弱なネットワーク接続による情報漏洩
カフェなどの飲食店や駅構内など、公共の場で無料Wi-Fiを利用する際にも、情報漏洩のリスクがつきまといます。例えば、「悪意のある第三者」がフリーWi-Fiを偽装するケース。通常、レストランなどの店舗に設置されたWi-Fiポイントでは、接続時にパスワードを求められたり、メールアドレスの登録が必要だったりするものですが、偽造Wi-Fiはパスワード等の必要なしに、開放されていたりするのです。そうして、何も知らない人が安易に接続し、結果、通信内容を盗み見られて、情報を悪用されてしまう、と。そういったリスクを回避するためには、企業側で信頼できるWi-Fi設備を提供したり、身元不明のWi-Fiは使用しないよう社員に通達したりと、事前にリスクヘッジの仕組みを構築しておく必要があります。
カフェ等の公共空間での覗き見による情報漏洩
働く場所が会社のオフィスに限定されないテレワークにおいては、ノートPCやスマートフォンを使って、カフェや移動中などに作業を行うこともあるでしょう。そのような時に、画面を覗き見されて、機密性の高い情報が流出してしまうケースも考えられます。そういったリスクに対しては、覗き見防止の液晶保護フィルムの装着を義務づける、などといった対策を取っておくと良いでしょう。
使用者・管理者等のヒューマンエラーによる情報漏洩
情報管理者や作業者の人為的なミスによって、重要情報の流失・消失が引き起こされることもあります。例えば、身近なところで、メールの誤送信。重要な情報を添付したメールを、間違った相手に送ってしまったり、CCの記述を誤ったり。また、バックアップを取っていないデータを削除してしまったり。あるいは、複数人でパソコンを共同使用することで、大切なデータを他の人に削除されてしまった、といったケースもよく耳にします。ヒューマンエラーを完全に無くすことは不可能なので、IT環境の整備(最新ツールの導入、等)といった側面からアプローチしていくのも、大切なことです。
テレワークや在宅ワークに潜む多様なリスクに対応するためにも、総合的なセキュリティ対策を。
大切なのは、バランスがとれた「包括的セキュリティ対策」
「ルール」によるセキュリティ対策
様々な情報セキュリティ上のリスクに対して、個別に都度対応していくのは効率的ではありません。また、適切な対応には専門的な知識も必要となってきます。そこで、「これさえ守っていれば、安全を確保できる」といった、“会社としてのルール”=“明確な行動指針”を、あらかじめ従業員に示してあげることが大切です。
また、オフィスとは異なる環境で仕事をすることになる在宅勤務やモバイルワークでは、新しいセキュリティルールを定める必要も出てきます。
「ルール」によるセキュリティ対策
様々な情報セキュリティ上のリスクに対して、個別に都度対応していくのは効率的ではありません。また、適切な対応には専門的な知識も必要となってきます。そこで、「これさえ守っていれば、安全を確保できる」といった、“会社としてのルール”=“明確な行動指針”を、あらかじめ従業員に示してあげることが大切です。
また、オフィスとは異なる環境で仕事をすることになる在宅勤務やモバイルワークでは、新しいセキュリティルールを定める必要も出てきます。
■会社としての「セキュリティ・ガイドライン」を策定
まず、組織として、セキュリティ対策に関する統一的な基本指針「セキュリティ・ガイドライン」を示すことです。そして、それが、従業員が参照すべき行動指針になるのです。
会社では、最も基本となるセキュリティ対策上のルール「情報セキュリティポリシー」を策定していることと思いますが、テレワークという新しい働き方を導入するにあたっては別途考慮が必要です。
一般的に、「セキュリティ・ガイドライン」は、以下の3つの要素によって構成されます。
1、基本方針
2、対策基準
3、実施手順
企業の理念、経営戦略、事業内容、企業規模などによって、ガイドラインの内容は必然的に異なってきますが、大枠の要素は上の3つ。大切なのは、組織として、シンプルで明確な行動指針を従業員に示せているかどうか、です。例えば、万が一、マルウェア感染が起こったとします。そのような時には、「LANケーブルを抜く」あるいは「無線LANをオフにする」といった「初動対応」を取れば良いのだと、会社として従業員に示せているかどうか。その上で、「社内外専門家と適切かつ迅速に連携」し、「隔離・封じ込め」を行ったのち、「本格対応」に入る、と。そういった具体的なフローをガイドラインとして示せていれば、いざという時に、従業員の迷いを軽減させることができるはずです。
■随時、ルールのアップデートを
こうしたセキュリティ・ガイドラインは一度定めたからといって、それで終わりではありません。「PDCAサイクル」を回しながら、最新の動向に合わせて、常に対策レベルを向上させていくことが肝要です。
「人」に関わるセキュリティ対策
総務省の「テレワークセキュリティガイドライン」でも、実施が一番難しいのは、この「人」に関わるセキュリティ対策だとされています。ルールを策定しても、システム管理者やテレワーク勤務者が実際にそれを遵守しなければ、効果は発揮されません。
オフィス勤務であれば、上長が適宜マネジメントすることもできますが、遠隔で仕事を行うテレワークでは、それも難しくなってきます。
■ガイドラインとルールを遵守できる環境づくり・教育
そこで大切になってくるのが、ルールの定着や情報セキュリティの知識習得を目的とした「教育」、および自己啓発を促す「仕組み・環境づくり」です。「ルールを守ることが、自分や会社のためになる」と自覚してもらうことが第一歩。定期的な教育・啓発活動を行い、有事の際の連絡体制を整備しておく、というのも大事なことです。
■先進事例の共有と意識改革、コミュニケーション
セキュリティに関する先進事例を参照することで解決することができる課題も多いため、そういった事例は社内で密に共有するようにしましょう。そうして、コミュニケーションを重ねて(オンライン上でも)、各人同士で刺激し合いながら意識改革に努めていくのも効果的です。
「技術」的なセキュリティ対策
「ル—ル」や「人」では対応できない範囲を補完するものが、この「技術的対策」です。「認証」、「検知」、「制御」、「防御」といったプロセスをテクノロジーによって自動化し、人間の力だけでは対応できない情報セキュリティ上の種々の脅威に対応していきます。具体的には、以下のようなものがあります。
■持ち出し・データ流失リスク対策
効果的なのは、まず「データの暗号化」です。ファイル単位ではなく、端末上のハードディスク全体を暗号化する「HDD暗号化」であれば、利用者がファイルの一つひとつを暗号化する必要がないので、“暗号化忘れ”も避けられ安心です。
その他にも、社用携帯、パソコン、タブレットなどの持ち出し機器に「パスワード」を付けておくことも効果的。USBメモリなどの記憶媒体には「コピー制限」を掛けておけば、悪意のあるデータ拡散・複製のリスクを防ぐことができます。
■マルウェア感染対策
不正アクセスや不正プログラムを検出する「ウイルス対策ソフト」の導入は、テレワークを行う際には必須です。常に進化し続けるウイルスに対応するため、ソフトは定期的にアップデートします。セキュリティソフトだけでなく、パソコンのOS(オペレーティングシステム)のアップデートも忘れないようにしましょう。
■安全な接続環境の準備
端末やサーバーだけでなく、「ネットワーク(回線)」のセキュリティ構築も重要事項です。まず、不正アクセスやウイルス感染のリスクの少ない、安全性の高い回線を選択することです。そうして、プライベート・ネットワークに接続した上で暗号化通信を行えば、情報セキュリティの堅牢性はぐっと増します。
VPN(※)を用いてリモートデスクトップや仮想デスクトップ環境を用意するのも、在宅ワークでセキュリティを確保するためには欠かせないことです。
※「VPN(Virtual Private Network)」とは:直訳すると「仮想専用線」。インターネットの回線上に仮想的に専用線を設けて、特定の人のみが利用できる安全な通信経路を確立する技術のこと。
「物理」的なセキュリティ対策
総務省のガイドラインで示されている「ルール」「人」「技術」面の対策に加え、場合によっては、「物理」的なセキュリティ対策が求められることもあります。機器の破壊・破損、盗難、覗き見など、物理的な要因によって、情報が流出・消失するケースが存在するからです。
所属するオフィス以外の場所(自宅やレストランなど)が仕事場となるテレワークでは、ノートパソコンや紙資料などが、第三者の手によって“物理的に”持ち去られてしまう可能性も否定できません。
それを防ぐための施策として、以下、対策例をご紹介します。
【画像】
多くのパソコンには、セキュリティワイヤーを接続するための取り付け穴「ケンジントンロック」が備わっています。
■持ち去られないための物理的なブロックを施す
ノートPCを机などに固定して盗まれないようにするセキュリティワイヤーや、離席時に端末を施錠管理できる棚を利用するなど。こういった物理的な盗難防止策は、シンプルですが非常に効果的です。
■執務スペースにおける、物理的セキュリティの強化
第三者が自由に出入りできるカフェやレストランなどを執務空間とする場合、どうしてもセキュリティ上のリスクが高まります。そこで、エントランスに入退室管理機能を備えたセキュリティゲートが設置してあるワークプレイス(※)を借りるなどすると、そのリスクを大きく軽減することができます。
※ザイマックス が運営するサテライトオフィスサービス「ZXY(ジザイ)」 には、セキュリティゲートだけでなく、遮音性の高い電話BOXや会議室、個室のブース席も完備。リモートワークに伴う情報漏洩リスクの解消に最善を期しています。
■バックアップを用意する
職場の外に、パソコンやUSBメモリ、紙媒体などの情報資産を持ち出す際には、その原本(元データのバックアップ)を安全な場所に保存しておくことです。万が一、それら情報資産が物理的に盗まれ紛失したとしても、最悪、原本さえ残されていれば、情報は復旧させることが可能です(もちろん、盗難による情報漏洩の被害は残りますが)。
■紙資料の紛失対策としてペーパーレス化を進める
紙媒体は電子データと違い、物理的なボリュームがあります。ファイリングにもひと手間かかりますし、ファイリングした後の管理にも物理的な保管スペースが必要となります。そして、何より、その持ち運びやすさゆえに、紙媒体には、盗難や紛失のリスクが常につきまとうのです。そこで、オススメしたいのがペーパーレス化。紙資料の電子化を進めることで、社外持ち出しによる紛失・盗難リスクを軽減することができます。
セキュリティ面でも安心できる、テレワークおすすめのITツール
【リモートアクセスツール】
リモートアクセスツールとは、インターネットを通じて、外部から社内ネットワークへアクセスし、オフィスにあるPCを遠隔操作する際に利用するツールです。総務省のガイドラインでは、以下の4つに分類されています。
リモートデスクトップ方式
オフィスに設置されているパソコンのデスクトップを、自宅などオフィス外にあるパソコンやタブレット端末から閲覧し、遠隔操作できるようにするシステムのこと。この方式で保存したファイルは、外の端末ではなく、オフィスのPC に保存されます。テレワーク端末にはデータが残らないため、情報漏洩を防ぐ手段としては非常に有効です。代表的なツールには、「TeamViewer」「Magic Connect(マジックコネクト) 」「Splashtop(スプラッシュトップ) 」「Chrome リモート デスクトップ 」などがあります。
仮想デスクトップ方式
オフィス内のサーバーに構築された「仮想デスクトップ基盤(VDI:Virtual Desktop Infrastructure)」に社外のパソコンから遠隔ログインして利用する方式のこと。会社のサーバーの中に全てのアプリケーションが入っており、そこでソフトやファイルなどの情報資源を一括管理できるので、セキュリティ対策の集中化を図ることができます。代表的なツールには、「VMware Horizon 7 」「Sylphyhorn 」などがあります。
クラウドアプリ方式
パソコンや会社のサーバー上ではなく、クラウドサーバーの中で提供されるアプリケーションにアクセスすることで、作業を行う方法です。クラウド上のアプリケーションで作成したデータの保存先は、クラウドとローカルのどちらも選択可能なため、テレワーク管理者がローカル環境に保存した場合に、セキュリティ上の問題が生じる可能性もあります。
セキュアブラウザ方式
端的に言うと、上の「クラウドアプリ方式」の安全性を高めたものです。クラウドサーバー内にあるファイルのダウンロードや印刷、ローカル環境への保存などの機能を制限した「特別なインターネットブラウザ」を使用することで、情報漏洩に対するセキュリティを高めています。安全性は高まる反面、テレワーク端末上で使用できるアプリケーションの数が限られてしまうというデメリットもあります。代表的なツールには、「moconavi 」などがあります。
【ペーパーレス化ツール】
紙資料をPDFなどの電子書類データに変換・保存するためのツールのことです。紙資料だと物理的に紛失するなどのリスクがあるため、データ化して一元管理する仕組みを作っておくと、セキュリティ向上にもつながります。代表的なツールには「セキュアSAMBA 」「Adobe Document Cloud 」「Handbook 」などがあります。
その他、セキュリティを確保しながら、テレワークの質を高めるものとして、遠隔で打ち合わせをするための「Web会議システム(テレビ会議システム)」や「チャットツール」などの導入も検討されてみると良いかと思います。近年では、暗号化を始め、様々なセキュリティ対策が施された高品質なツールも続々登場してきているので、ぜひチェックしてみてください。
まとめ
・セキュリティ課題の認識
・会社としての「セキュリティ・ガイドライン」の策定
・ルール、人、技術、物理のバランスがとれた「包括的セキュリティ対策」の実施
・「PDCAサイクル」を回しながら、常に対策をアップデート
このように箇条書きにすると易しく感じたりもしますが、場合によっては、社員一人ひとりの意識改革から始めなければならないケースもあるため、ハードルの高さを感じているというご担当者さまも多いことと思います。
そんな方々にオススメしたいのが、サテライトオフィスの活用という選択肢です。ザイマックスが運営するサテライトオフィスサービス「ZXY(ジザイ)」 は、リモートワークに伴うセキュリティリスクに対して、ハード・ソフトの両側面から万全な対策を施しています。リモートワークに対する不安やお困りごとを、少しでも解消するお手伝いがができたら、幸いです。
ザイマックスインフォニスタ 
オフィス環境 
人事制度 
ICT投資・活用 
ワーカーの啓発・教育 
経営層のコミットメント 
セミナーレポート 