日本においてテレワークの導入はまだまだ遅く、国土交通省が4万人を対象に実施した「テレワーク人口実態調査」においては、内容を熟知していた回答者は約24.8%、テレワークを社内規定として設けている企業の割合は16.3%との結果が出ております。
そんな中、昨今の働き方の多様化や社会問題に関わる影響下で、政府からも積極的なテレワーク導入を推進する意向が示されております。
テレワークの導入が業種的に難しい場合もある中、徐々に浸透している現状においての懸念点に「セキュリティ」の問題は必ず発生します。
これからテレワークの導入を検討している、もしくはすでに実践している場合必要なセキュリティ対策どういったものなのかを再確認する必要があるかもしれません。
テレワーク時に懸念されるセキュリティリスク
普段社内で業務を行う際はあまり意識することは少ないかもしれませんが、通常企業内には社内外のIT担当者やベンダーにより、機密情報や個人情報の漏洩やサイバー攻撃などからの防衛のために様々なセキュリティ環境が構築されております。
しかし、テレワークによる業務を実施す際は、セキュリティ環境の外で行われることから、取り扱う情報の流出事故などが発生するリスクがあります。
一例ではありますが、テレワーク実施の際どのようなリスクがあり得るのかを事前に知っておくことで、事前の対策にも役立ちます。
◆USBとクラウドサービス
多くの企業組織が外出先で業務データを使用する際は、あらかじめデータを保存しておいたUSBメモリを持ち出すか、クラウド上で共有のドライブにアクセスするといった方法が採られるでしょう。
まず、USBメモリを使用する際のリスクとして考えられるのは盗難や紛失です。
最近は、不正利用を防ぐロック機能が備わったUSB製品も登場しておりますが、そもそもの物理的な紛失や故障などの可能性もあります。
また、社外のパソコンなどに接続した場合にそこからUSB内にウイルスが侵入し、社内に持ち帰った後拡散するといったケースも実際に確認されております。
一方、クラウドによる業務は紛失などのリスクがない反面、操作ミスなどのデータ抹消の問題をはじめ、クラウドサービスアクセス時の認証パスワードの流出や不正アクセス被害なども考えられます。
◆公衆Wi-Fiによるリスク
オフィスや自宅以外でのお店や施設に設置されている無料の公衆Wi-Fiを使用して業務を行う際は注意が必要となります。
利便性が高く集客にもつながることから、カフェや飲食店、ホテルなどで提供する場所が増えてきておりますが、これらのネットワークはデータ伝送時の暗号化が施されていないことがほとんどであるとあまり認知されていないようです。
もし悪意を持った利用者が同じネットワーク内にいた場合、情報を不正に傍受されたり、詐欺目的のサイトに誘導されて情報窃取されるなどの被害に遭うケースもあり得ます。
→ 【 フリーWi-Fiを安全に利用するためのセキュリティ対策 】 |
◆私物端末使用による問題
個人所有のパソコンやタブレットを使い、自宅からインターネット接続して業務を行う場合は、会社側が求めるセキュリティ環境との相違から業務に支障をきたす場合も様々に考えられます。
ほんの一例として挙げられるものは、以下のような問題でしょう。
・使用するパソコンにセキュリティソフトがインストールされていない
・ソフトウェアの互換性がなく業務ができない
・社内外とのリモートネットワーク環境が構築されていない
・データの暗号化(VPN)接続できていない
・安価なHDDやUSBを使用している
・バックアップ環境がない
以上のように、どのような環境下でテレワークを行うかによっても想定されるリスクは異なりますが、共通して有効なセキュリティ方法があるため以下の項目で紹介します。
テレワーク時のおさえるべきセキュリティポイント
テレワーク導入時に、様々なリスクが存在する中で最も重視するポイントは「機密情報」です。この機密情報には、企業内の業務データはもちろんのこと社内従業員のアカウント情報なども含まれております。
そうした中で企業側は従業員ごとに、「誰が」「なんの情報を」扱っているのかをしっかり把握していることが前提となります。
それを踏まえて、以下いくつか具体的な対策方法を挙げてみます。
・社外へのデータ持ち出し時のルール制定
社用のノートパソコンやUSBメモリを持ち出す際、データ管理者や部署ごとにすぐ確認できる共有体制があると、突発的な紛失などの問題発生の際にも比較的スムーズに対処が可能となります。また、USBメモリに関してはロック機能のあるものだけを使用するなども効果的かもしれません。
また、クラウドでの業務時はIDやパスワードの使いまわしを避ける、パスワードの定期的な変更、複雑な推測されにくいキーワードで設定するなどの対策が有効です。
・信用性の低いネットワーク環境は利用しない
暗号化されていない可能性のある公衆Wi-Fi利用時の業務データ取り扱いをしない、VPN接続環境を従業員間で構築するといった、データ伝送時の第三者からの傍受を防ぐためのネットワーク環境づくりが重要です。
また、自宅でのテレワーク時は使用しているルーターのパスワード設定が初期のまま使用せず、必ず変更してインターネット接続することも推奨されます。
・OSやソフトは適時更新する
セキュリティの基本中の基本になりますが、使用するOSやソフトウェアのバージョンは常に最新のもので使用するべきでしょう。いまだに業務で使用するソフトウェアの互換性の問題であえて古いOSや旧バージョンを使用しているというケースもあるようですが、セキュリティの観点で言えば推奨されません。
旧バージョンでの運用を続けた場合、セキュリティ機能も弱く、万が一悪意あるハッカーなどに狙われた場合は、難なく機密情報が窃取されてしまう恐れがあります。
また、社用個人所有問わずスマートフォンを含むノートパソコンやタブレットには、セキュリティ対策ソフトを導入しておくことが必須となります。
まとめ
テレワーク実施時のセキュリティ対策としていくつか紹介しましたが、実行するのはすべて従業員であり、個々の「機密情報を取り扱う際の意識」を持っておくことが最も重要と言えます。
どんなに会社側で、厳格なルールを敷いたとしても従業員側が遵守しなければ全く意味をなさなくなってしまうからです。
テレワーク実施時には少なからずIT知識も必要となるため、時には自身で判断の難しい状況も発生するでしょう。
その都度社内担当者と具体的な問題点や意見を交わし、企業組織ごとで取りまとめて規定化することで、企業ごとの理想的なテレワーク環境を作り出すことにつながります。