投稿日: 更新日:
テレワーク勤務を行うにはセキュリティ強化が必須。セキュリティ対策について解説します
政府が推進する働き方改革の一環でもあり、感染症対策としても有効とされているテレワークを安全に実施するには、十分なセキュリティ対策を行うことが重要です。
今回は、テレワークを実施するために重要なセキュリティ強化にポイントを置き、テレワークで考えられるセキュリティリスクを取り上げ、実際に必要となるセキュリティ対策について紹介していきます。
テレワークで考えられるセキュリティリスク
テレワークで考えられるセキュリティリスクにはどのようなものがあるのでしょうか。
ここでは、テレワークを実施する上で発生しやすいとされるセキュリティリスク7つを取り上げ、紹介していきます。
テレワークで発生しやすいセキュリティリスク7つ
1.モバイル端末やUSBメモリの紛失・盗難
2.フリーWi-Fi利用による情報漏洩
3.公共の場での画面覗き見による情報流出
4.リモートデスクトップを使った不正アクセス
5.フィッシングやスパムメールによるマルウェア感染
6.自宅のインターネット回線利用による情報漏洩
7.クラウドサービス利用による情報漏洩
以下、具体的にこれら7つのセキュリティリスクについて紹介していきます。
1.モバイル端末やUSBメモリの紛失・盗難
モバイル端末(パソコンやスマートフォン、タブレット等)は、社内での紛失や盗難のリスクをはらんでいます。
被害にあったモバイル端末に社外秘情報などが保存されている場合には、情報漏洩の危機にさらされます。
また、端末だけでなくUSBメモリの紛失についても気をつけなければなりません。
実際に過去には、個人情報が記録されたUSBメモリを紛失し、情報漏洩に至ってしまったという事件も発生しています。
2.フリーWi-Fi利用による情報漏洩
セキュリティ対策が万全でないフリーWi-Fiを利用することにより、通信情報が盗み見され、情報漏洩に至ってしまう場合もあります。
テレワークではカフェなどで仕事をする機会も多くなりますが、このような場で主に使用されているフリーWi-Fiには、情報が暗号化されていないものもあります。
また、提供元のわからないWi-Fiスポット(野良Wi-Fi)などに接続してしまうと、通信内容が抜き取られて悪用されてしまう場合もあります。
3.公共の場での画面覗き見による情報流出
場所を選ばず働くことのできるテレワークでは、カフェのほか、移動中の車内といった公共の場で仕事をすることが可能です。
このような場で仕事をする際には、第三者からの画面覗き見に注意する必要があります。
覗き見をされた画面から社内の重要情報が漏洩してしまうこともあります。
4.リモートデスクトップを使った不正アクセス
Windows10に付随するパソコン遠隔操作サービス「リモートデスクトップ」を使った不正アクセスについてもセキュリティリスクが潜んでいます。
テレワークの普及から利用増加傾向となっているリモートデスクトップですが、離れた場所から端末へのアクセスを許可する仕組みとなっているため、
外部からの不正アクセスを受けやすい可能性が高くなっています。
実際に、リモートデスクトップの脆弱性を狙った攻撃ではサーバー乗っ取りからマルウェアが拡散されたケースも報告されています。
5.フィッシングやスパムメールによるマルウェア感染
偽サイトに誘導して、不正にIDとパスワードを搾取するフィッシング詐欺やスパムメールによるマルウェア感染でも、
セキュリティリスクが発生する可能性があります。
スパムメールの内容は、ごく自然な流れで記載のURLリンクにアクセスさせたり、添付ファイルの開封をさせたりするものとなっているので、
注意が必要です。
6.自宅のインターネット回線利用による情報漏洩
企業内のインターネット回線と異なり、セキュリティ対策が個々の設定により違う自宅のインターネット回線からの情報漏洩も、
テレワークで発生しやすいセキュリティリスクの一つです。
自宅のインターネット回線に接続されたIoT機器を経由して不正アクセスを受ける例もあり、ここを起点に情報が漏れ出す可能性も高くなっています。
7.クラウドサービス利用による情報漏洩
原則、管理者によって安全に保存されていることの多いクラウドサービス上のデータですが、必ずしも情報流出の危険が無いわけではありません。
不正アクセスや不正ログインなどによる情報漏洩やマルウェア感染といったセキュリティリスクについて常に気を配っておく必要があります。
テレワークで求められるセキュリティ対策
それでは、ここまで取り上げたようなセキュリティリスクを避け、テレワークを安全に遂行するために求められるセキュリティ対策にはどのようなものがあるのでしょうか。
ここからは、安全なテレワークを実施する上で重要となるセキュリティ対策について9つを取り上げ、紹介していきます。
テレワークで求められるセキュリティ対策9つ
1.自社内でのセキュリティガイドラインの作成
2.従業員向けのセキュリティ研修の実施
3.テレワーク時のセキュリティルールの策定
4.テレワークで利用する端末へのセキュリティソフト導入
5.ハードディスクのデータ暗号化
6.信頼できる回線の利用
7.OSやアプリケーションの最新版へのアップデート
8.パスワード管理を徹底し、多要素認証を利用
9.法人基本パックオプションやMDMの活用
以下、具体的にこれら9つのセキュリティ対策について紹介します。
1.自社内でのセキュリティガイドラインの作成
自社内でセキュリティに対する意識を高めるためにも、社内でとるべき基本的方針や行動の指針について定めたセキュリティガイドラインを作成しましょう。
業務を遂行する上で守るべきセキュリティの考え方をまとめたセキュリティガイドラインには、「基本方針」「対策基準」「実施手順」の3つについて主に記載します。ガイドラインを作成する際は、会社の規模や業種・業態、経営戦略など、自社の実情にあったものとしなければなりません。
また、ガイドラインは、一度作成して終わりにするのではなく、定期的に見直しを行い、内容を最新のセキュリティ事情に合わせたものに変更する必要があります。
この点は、テレワークのセキュリティレベルを向上させる上でも重要な点といえるでしょう。
2.従業員向けのセキュリティ研修の実施
従業員に向けたセキュリティ研修の実施も、テレワークの安全な実施には大切なポイントです。
内容も以前と異なり、テレワークに即した内容に変更しなければなりません。
また、もしテレワーク実施時にセキュリティに関する問題が発生した場合には、企業だけの責任となるのではなく、従業員自身も責任に問われることがあるなど、一人ひとりがセキュリティ対策についての意識を高く持つことが大切です。
3.テレワーク時のセキュリティルールの策定
テレワーク時に実際に従業員がとるべきセキュリティルールについて前もって定めておくことも重要です。
具体的には、テレワーク勤務中には、次に挙げる例を参考に従業員の行動について決めておき、ルール化しておのがおすすめです。
<テレワーク時のセキュリティルール例>
・自宅で作業をする際の作業環境
・外部にパソコンを持ち出す際の管理方法
・パソコンにアプリケーションをインストールする際の条件
・クラウドサービス使用の際の条件
・社外秘情報などの重要情報を含むデータ保存の方法
・メッセージアプリケーションやSNS使用の際の条件
これらの内容について、はっきりと明示しておくことで従業員にもセキュリティに対する意識づけをすることが可能ですし、ひいては会社の情報漏洩を防止することにもつながります。
また、テレワークを実施する従業員自身がこれらの情報をあらかじめ知っておくことで、セキュリティリスクを未然に防ぐことも可能です。
4.テレワークで利用する端末へのセキュリティソフト導入
テレワークで利用するパソコンやタブレット等の端末には、セキュリティソフトの導入を忘れないようにしましょう。
インターネット接続が当たり前のテレワークでは、端末がウイルスに感染するリスクに常にさらされており、セキュリティソフトの導入はまさに必須事項といえます。
また、セキュリティソフトは一旦導入しておしまいではなく、日々進化し続けるウイルスに対応するために、定期的な更新を欠かさないようにしなければなりません。なお、セキュリティソフトを導入する際は、セキュリティを強化しようとするあまり、認証が複雑なソフトを選ばないようにしましょう。
認証が複雑になればなるほど、従業員の業務効率が下がってしまう可能性もあるため、注意が必要です。
5.ハードディスクのデータ暗号化
社外に持ち出すハードディスクのデータを暗号化することは、紛失や盗難にあった際の情報漏洩リスクを避けるためにも有効です。
ただし、データ暗号化をする場合は、そのままでは利用する手段によって簡単に複合化できてしまう可能性も高いため、さらに追加の対策を取る必要があることは念頭に置いておくとよいでしょう。
また、暗号化機能を利用する他にも、ハードディスクに対するパスワードロック機能の活用やUSBメモリの使用のルール化といったセキュリティ対策を実施するとよいでしょう。
6.信頼できる回線の利用
テレワークで利用するネットワーク回線には、必ず信頼できる安全な回線を選択する必要があります。
外出先でネットワーク接続を行う場合には、あらかじめ社内で決められたネットワークに接続し、暗号化通信を行うようにする、また、フリーWi-Fiの利用は避けて通信キャリアが提供するモバイルルーターを利用したりするといったルールを決め、従業員に徹底させなければなりません。
特にフリーWi-Fiの利用は、セキュリティ面で脆弱で、情報漏洩のリスクも高まるため、業務では使用しないよう、取り決めをしておくとよいでしょう。
7.OSやアプリケーションの最新版へのアップデート
テレワークで使用する端末のOSやアプリケーションについても、常に最新版の状態を保てるよう、アップデートを行いましょう。
早めにアップデートを実施しておくことで、ソフトウェアの脆弱性を狙った攻撃からのリスク回避にもつながります。
特にWindowsの場合、アップデート通知が頻繁に来るため、こまめな更新が必要です。
放置すると自社内で被害が生じるだけでなく、場合によっては外部への攻撃の踏み台にされてしまう場合もあるので、面倒がらず対応するようにしましょう。
8.パスワード管理を徹底し、多要素認証を利用
端末にパスワードを設定する場合は、他者から推測されやすい安易なパスワード(誕生日や名前に関するもの)は使用しないようにしたり、同じパスワードを使いまわしたりすることの無いよう、パスワード設定時のルールについてもきちんと取り決めておくとよいでしょう。
また、複雑なパスワードの自動生成や管理を行うパスワードマネージャーの利用も有効です。
この他にも、ログイン時にパスワード以外の認証方式を加える二段階認証の利用を検討するのもセキュリティ対策としておすすめです。
より安全性を高められる多要素認証をサポートしているアプリケーションもありますので、このようなものを積極的に活用していくのもよいでしょう。
9. 法人基本パックやMDMの活用
携帯電話の場合、法人がビジネス用として契約することが可能です。
このような法人携帯であれば、法人基本パックというオプションの活用が、セキュリティ対策として効果的です。
法人基本パックであれば、管理者がリモートで携帯電話のロックが可能。情報漏えいや不正利用のリスクを軽減できます。
同様にMDMもテレワークのセキュリティ対策に効果が期待できます。MDMは複数の携帯電話やタブレットを遠隔で一元管理できる機能です。
MDMのなかには携帯電話、タブレットだけでなく、PCも一元管理できる場合もあります。
このようなMDMであれば、よりテレワークのセキュリティ対策が期待できます。
安全なテレワークを実施するには、万全のセキュリティ対策を
今回はテレワークを実施する際に考えられるセキュリティリスクを取り上げ、リスクに対して必要となるセキュリティ対策についてご紹介しました。
今後ますます広がりを見せるテレワークを安全に遂行するためには、あらかじめ予想されるセキュリティ上のリスクを把握し、可能なことから対策を練って実行していく必要があります。
その際には、社内でルールを定め従業員に徹底させることやセキュリティに関連するツールを上手に活用することで、万全のセキュリティ対策を行っていくことが重要となるでしょう。
この記事をシェアする
