テレワークを導入する企業は、近年大きな増加は見られませんでした。しかし2020年は新型コロナの影響により導入企業が激増しています。総務省の「平成30年通信利用動向調査」では導入割合は19%とされましたが、現在はこれを大きく上回っていることが確実と思われます。

テレワークには、人事制度やシステム運用などへの課題も指摘されていますが、特にセキュリティ策は多くの企業にとって最も重要なテーマです。今回は、そういったテレワークにおけるセキュリティ策について具体的に見ていきます。

ログインIDやパスワードをよりセキュアに管理したいという方は、こちらをご参照ください。
SSOソリューション「KAMOME SSO」

テレワークの拡大で高まるセキュリティの重要性

多様な働き方を実現するため、新型コロナ終息後もテレワークは広がっていくことが期待されます。ただし、自宅やカフェ、あるいは移動途中や客先など、オフィスとは異なる環境で仕事を行う機会が増えるにつれ、セキュリティ策は企業にとってますます重要になります。

従業員が使っているデバイスは業務用か私物か、さらにそこでのファイアウォール設定といったデバイスの管理。さらにはデータの持ち出しや持ち込み、あるいはSNSの利用など、多岐にわたる事項に関してセキュリティ確保のための新しいルールを設ける必要があるのです。就業規則にも、こうしたテレワークを織り込んだ新しいルールを明記し、違反時のペナルティ設定で抑止力を持たせる、あるいは社員教育の徹底、有事に備えた連絡体制の整備などが求められています。

テレワークでのセキュリティリスク

テレワークにはさまざまなメリットがある一方で、情報漏えいやウイルス感染などのリスクが高まる懸念があります。では、具体的にどのようなリスクが考えられるでしょうか。

• 盗難・紛失や盗み見
  カフェや電車の中などで作業する際には、盗難や紛失、あるいは盗み見などに関するリスクがあります。
• 盗聴や盗み聞き、データ漏えい
  オフィス外での電話の盗聴や盗み聞き、無線Wi-Fiレベルでの盗聴（データの漏えい）のリスクがあります。
• PC・記憶媒体の盗難・紛失
  電車内や駅などでのPCや記憶媒体の置き忘れ、席を外したときのPC盗難などのリスクがあります。
• サイバー攻撃
  一定のセキュリティレベルが確保されたオフィスとは異なる環境でデバイスを使用することにより、ウイルス感染などのサイバー攻撃を受けるリスクがあります。
• なりすまし
  テレワークを可能にするために特定のPC端末が社外からアクセスできるようにVPNを設定することにより、正しい端末ではない他の悪意あるなりすまし端末に社内ネットワークへのアクセス権を与えてしまうリスクがあります。

社内で簡単にできるセキュリティ策についてはこちらの記事をご覧ください。
「SaaS利用において社内で行うべきセキュリティ策とは？」

テレワークで求められるセキュリティ策

それでは、テレワークにおいてはどのようなセキュリティ策を実施すべきなのでしょうか。こうした課題に対して、総務省は2018年に『リモートワークセキュリティガイドライン第4版』を公表し、一定の見解を示しています。その中から、経営者・システム管理者・従業員（ガイドラインでは勤務者という表記になっています）ごとに定められている施策について紹介しましょう。

経営者が実施すべき対策

経営者に求められる役割は「ルールづくりの推進」とされています。テレワークにおける情報セキュリティポリシーの基本事項について社長を含めた経営のトップ層で協議し、規定を定めるための社内組織を立ち上げます。また、プライバシーマークやISMSの取得などを社内目標として掲げることも有効でしょう。テレワークを含む社内セキュリティの継続的なチェックと洗い出し、社員教育の継続的な実行のための目標とすることができます。さらに、組織に適切な人材を配置し、予算をつけることも、経営側の重要な責務です。万一の事故の際に機能する緊急連絡体制を構築し、素早い事故対応ができるよう心がけます。

システム管理者が実施すべき対策

次にシステム管理者ですが、まずは社内情報の重要度をいくつかのレベルに分け、それに応じたアクセス制御や暗号化を行います。特定の従業員は外からアクセスできても他の従業員はアクセスできないといった、情報ごとのアクセス規制は情報漏えいを防ぐために極めて重要です。特に、外部からアクセスできる場所に会社としての機密情報や個人情報などを絶対に置かないよう配慮することも、システム管理者の責任となります。加えて、外部アクセス履歴は必ず残し、事故が起きた時の検証に役立たせるようにしましょう。

従業員が心がけるべき対策

ガイドライン上では勤務者、と表記されているリモートワークを行う従業員はどのような対策をとるべきなのでしょうか。1つがデータ取り扱い意識の醸成です。リモートワークに限らないことですが、情報データを扱う作業中には、該当するデータを管理する責任があることを自覚し、個々の情報の重要度レベルを確認しながら、会社のセキュリティポリシーや対策基準に従って業務を行うように努めます。定期的に自分の作業に問題がないかどうか点検することも重要です。漏えい事故などが発生した場合には、どのような連絡体制に従って、誰に報告を上げるべきかについても、日頃から確認しておきましょう。

リスク管理体制を整えて働き方改革を推進しよう

リモートワークは働き方改革の重要なテーマのひとつですが、リモートワークを活用してオフィス以外の場所で仕事を行う場合、情報セキュリティをどのように確保するのかは重要な経営課題となります。個人情報や会社の機密情報などをリモートワークで取り扱う場合には、これを保護することが企業や組織にとっての社会的責務です。本記事でも触れたような注意点に留意して、適切なセキュリティ体制を作り情報管理をしていくことが肝要といえるでしょう。

かもめエンジニアリングは、リモートワークのセキュリティを向上させるリモートアクセス接続サービスKeygatewayC1や、認証やID管理を一元化したSSOソリューション「KAMOME SSO」を提供しています。ご興味ございましたら、下記のお問合せフォームよりご連絡ください。

参考：

• 平成30年版　情報通信白書のポイント　第1部　特集　人口減少時代のICTによる持続的成長｜総務省
• テレワークセキュリティガイドライン第4版（別紙3）｜総務省