常深有紗 
テレワークが急速に普及する中、在宅勤務の利便性と柔軟性は多くの人々にとって魅力的です。しかし、その背後には見過ごせないセキュリティリスクが潜んでいます。自宅のインターネット環境や使用するデバイスが企業のネットワークから外れている場合、サイバー攻撃のリスクが高まることは否定できません。特に、自宅での業務が増えることで、社内よりもセキュリティ対策が甘くなりがちな環境で作業を行うことになります。
では、テレワーク環境でも安全に仕事を進めるためにはどうすれば良いのでしょうか?ここでは、在宅勤務を安全に行うための基本的なセキュリティ対策を紹介し、具体的なステップや注意点について詳しく解説します。安心してテレワークを行うための知識を身につけ、セキュリティ意識を高めるための第一歩を踏み出しましょう。
※本記事は2020年12月24日に投稿した記事を再編集したものです。
目次
テレワークの拡大で高まるセキュリティの重要性
新型コロナの収束後も、多様な働き方を実現するためにテレワークの普及が期待されています。しかし、自宅やカフェ、移動中、客先など、従来のオフィス環境とは異なる場所での業務が増える中、企業にとってセキュリティ対策の重要性は一層高まっています。
従業員が使用するデバイスが業務用か私物かを問わず、ファイアウォールの設定を含むデバイス管理、データの持ち出しや持ち込み、SNSの利用など、多岐にわたるセキュリティリスクへの対応が求められます。そのため、企業はテレワークに対応した新たなルールを策定し、就業規則に明記することが必要です。また、ルール違反に対するペナルティを設定し抑止効果を持たせるほか、社員教育の徹底や、有事に備えた迅速な連絡体制の整備も不可欠です。
テレワークでのセキュリティリスク
テレワークには多くのメリットがある一方で、情報漏えいやウイルス感染といったリスクが増加する懸念も無視できません。具体的には、次のようなリスクが挙げられます。
- 盗難・紛失や盗み見
カフェや電車の中などで作業する際には、盗難や紛失、あるいは盗み見などに関するリスクがあります。
- 盗聴や盗み聞き、データ漏えい
オフィス外での電話の盗聴や盗み聞き、無線Wi-Fiレベルでの盗聴(データの漏えい)のリスクがあります。
- PC・記憶媒体の盗難・紛失
電車内や駅などでのPCや記憶媒体の置き忘れ、席を外したときのPC盗難などのリスクがあります。
- サイバー攻撃
一定のセキュリティレベルが確保されたオフィスとは異なる環境でデバイスを使用することにより、ウイルス感染などのサイバー攻撃を受けるリスクがあります。
- なりすまし
テレワークを可能にするために特定のPC端末が社外からアクセスできるようにVPNを設定することにより、正しい端末ではない他の悪意あるなりすまし端末に社内ネットワークへのアクセス権を与えてしまうリスクがあります。
VPNについて詳しくはこちらをご覧ください
VPNとは?〜概要や仕組み、メリットから課題までわかりやすく解説〜
社内で簡単にできるセキュリティ策についてはこちらの記事をご覧ください。
「SaaS利用において社内で行うべきセキュリティ策とは?」
テレワークで求められるセキュリティ対策
それでは、テレワークにおいてはどのようなセキュリティ策を実施すべきなのでしょうか。こうした課題に対して、総務省は2021年にテレワークセキュリティガイドライン第5版を公表し、一定の見解を示しています。その中から、経営者、システム・セキュリティ管理者、従業員(ガイドラインではテレワーク勤務者という表記になっています)ごとに定められている施策について紹介しましょう。
経営者が実施すべき対策
経営者の役割は、事業を健全に成長させるとともに、セキュリティリスクに適切に対応することです。特にテレワークの普及により、セキュリティ事故が経営に直接影響を与える可能性があるため、次の取り組みが重要です。
まず、テレワークに対応したセキュリティポリシーを策定・見直し、その内容を社員に周知することが必要です。また、セキュリティ管理の責任者を明確にし、CISOを含むリスク管理体制を整えることも求められます。さらに、必要な対策を実施するための予算や人員を確保し、自社だけでなく委託先や関連会社とも連携して取り組むことが重要です。
これらを通じて、安全で効率的な業務環境を整え、会社の持続的な発展を支えることが経営者の責務といえます。
システム・セキュリティ管理者が実施すべき対策
システム・セキュリティ管理者の役割は、経営者が示した方針をもとに、情報セキュリティのルールを具体化し、それを社員が守れるようにすることです。また、必要なセキュリティ対策を計画し実施する責任も担います。具体的には、以下のような取り組みが求められます。
まず、テレワークに伴うセキュリティリスクを把握し、それに応じた規程や対策を策定・見直します。さらに、テレワークで使用する端末やソフトウェアを適切に管理し、最新のセキュリティ状態を保つことが必要です。また、社員へのセキュリティ研修を定期的に行い、規程や最新の脅威について理解を深めてもらいます。そして、セキュリティインシデントへの備えとして対応計画を策定し、発生時に迅速に対応できる体制を整えます。対応訓練の結果をもとに計画を改善することも重要です。さらに、社員が不審な状況やインシデントをすぐに報告できる窓口を設け、周知徹底します。最後に、業界団体やセキュリティ情報を通じて最新の脅威動向を把握し、対策に反映することが求められます。
これらの取り組みを通じて、セキュリティリスクに対応し、安全な業務環境を維持します。
従業員が心がけるべき対策
ガイドライン上ではテレワーク勤務者、と表記されているリモートワークを行う従業員はどのような対策をとるべきなのでしょうか。この際、「基本的な心構え」と「具体的な実践方法」の2つの視点で対策を考えてみましょう。
基本的な心構え
テレワーク勤務者の基本的な役割は、システム・セキュリティ管理者が作成した情報セキュリティのルールを理解し、これを遵守することです。ルールが整備されていても、それが守られなければ効果は発揮されません。テレワーク勤務者がルールの重要性を理解し、しっかり守ることがセキュリティを確保することにつながります。
具体的な実践方法
具体的には、まずテレワーク中に利用する情報資産を適切に管理し、セキュリティ対策を実施することが求められます。また、テレワーク端末の管理を徹底し、紛失や盗難を防ぐために最新のセキュリティ状態を維持します。認証情報(パスワードやICカード)も適切に管理し、不正アクセスを防ぐための対策を取ります。
さらに、テレワーク環境では、外部からののぞき見や機器の盗難を防ぐため、作業場所や無線LANのセキュリティを確保することが重要です。システム・セキュリティ管理者が開催するセキュリティ研修にも積極的に参加し、最新のセキュリティ情報を得るよう努めます。
最後に、セキュリティインシデントが発生した場合には、速やかに報告できるように連絡方法を確認し、異常を感じた場合にはすぐに報告を行います。これらを実践することで、テレワークにおける安全な業務運営を維持することができます。
リスク管理体制を整えて働き方改革を推進しよう
テレワークの普及に伴い、柔軟性や利便性が向上する一方で、セキュリティリスクへの適切な対策が求められています。企業としては、組織全体でセキュリティ意識を共有し、ポリシーの策定や管理体制の整備を進めることが重要です。また、従業員個人もリスクを正しく理解し、日々の業務において確実な対策を講じる必要があります。
安全なテレワーク環境を整えることは、単にリスクを回避するだけでなく、企業の信頼性向上や持続可能な成長にもつながります。新しい働き方の可能性を最大限に引き出すために、セキュリティ対策を重要な経営課題の一つとして捉え、全社一丸となって取り組んでいきましょう。
かもめエンジニアリングは、安全でセキュアなテレワークを実現するソリューションとしてリモートアクセス接続サービスKeygatewayC1や、認証やID管理を一元化したSSOソリューション「KAMOME SSO」を提供しています。ご興味ございましたら、下記のお問合せフォームよりご連絡ください。