トピックス 2020.04.23 必要性の高まるテレワーク。気をつけたいセキュリティとは?
新型コロナウイルス対策として、その必要性が一気に高まっているテレワーク。
テレワークとはIT技術を活用して、オフィスではなく自宅や外出先などお互いが離れた所(tele)で働く(work)という働き方です。
新型コロナウイルスが発生する前から働き方改革などで国が導入を促進していましたが、テレワークを行う場合は、そのリスクとなるセキュリティへ対策もあわせて考えなければいけません。
テレワークの3つの方式と特徴
テレワークはIT機器の利用方法から、大きく3つのタイプに分けることができます。ここではそれぞれの方法とその特徴を見てみましょう。
1.オフラインでのテレワーク
これは会社が持っているサーバーなどのデータに、遠隔地からのアクセスを行わない方式です。
●利用例
・会社のパソコンに仕事の情報を格納して持ち帰り、ネットワーク接続せずに業務に利用する場合
・USBメモリなどの記憶媒体にデータを格納して持ち帰り、私用のPCでネットワーク接続を行わずに仕事をする場合
●メリット
・リモートワークのための新しい端末や機器を準備する必要がない
●デメリット
・社内機器の持ち出しを行うため、備品の管理や紛失盗難対策が必要
・私用の機器を使う場合は、セキュリティ対策を個別に行う必要がある
2.オンラインでのテレワーク
ネットワークに接続できる機器を用いて、クラウドサービスなどを介しながら業務データにアクセスする方法。利用する端末上に各種データを保存して作業を行います。
●利用例
・会社で利用中のPCを自宅に持ち帰り、クラウド上の業務データにアクセスする場合。
・私用のPCをWifiの繋がるコワーキングスペースに持ち込んで、業務用のメールやチャットなどの利用を行う場合。
●メリット
・クラウドサービスなどの準備をしておけば、オフィスで業務を行う場合と同様に不便さを感じることなく業務が行える。
●デメリット
・社外から業務データにアクセスできるよう準備が必要。また業務データのアクセスには通信の傍受や改ざんなどの対策が必要となる。
・私用の機器やネットワークで業務データにアクセスする場合、ウイルス感染でのデータ拡散やデータ漏洩が起こりやすくなってしまう。
3.シンクライアントでのテレワーク
これはテレワークを行う端末に専用のソフトウェアを入れてサーバーにアクセスし、データの処理や格納をサーバー側で行う方式です。端末側ではデータの保存を行いません。
●利用例
・オフィスから持ち帰ったPCや私用のPCにシンクライアント用のソフトウェアを入れて、会社のサーバにアクセスし業務を行う。
●メリット
・サーバー側の準備をしておけば、オフィスで業務を行う場合と同様に不便なく業務が行える。
・端末にデータを保存しないため、データ漏洩のリスクが軽減できる。
●デメリット
・社外からのシンクライアント接続に対する準備が必要。
・社内等に置くサーバーは、常に起動させておく必要がある。
技術、リテラシー、ルールの各観点でテレワークのセキュリティ体制を整えよう
テレワークで気をつけなければならないセキュリティ対策は「技術の導入」「利用者のリテラシー向上」「運用ルールの策定と遵守」の3つの方面の対策を組み合わせて行う必要があります。
どれか1つが欠けてしまうと、そこがセキュリティーホールとなって情報が漏れたり攻撃を受けたりしてしまうため、3つを組み合わせての対応を企業全体で行っていかなければなりません。
技術の導入
・セキュリティソフトの導入
会社から端末を持ち出す場合も、私用のデバイスを利用する場合でも必ずセキュリティソフトの導入を行っておく必要があります。
・利用制限
業務データ等の機密情報へのアクセスにはパスワードや生体認証など利用者を限定する必要があります。ネットワーク越しの通信では、通信可能な範囲やファイル更新の可否などユーザのできることを決めておく必要も発生します。
・リモートロック
社内で利用する端末および私用の端末でも、盗難、紛失時の対策を講じておく必要があります。盗難、紛失が発生した場合にはデバイスにリモートロックを掛けられるようにしておいたり、ネットワーク上の業務データへのアクセスを利用停止にする等が有効です。
利用者のリテラシー向上
・私物利用時のセキュリティ配慮
業務用データは公私混同しない、業務で使用するデバイスには暗号化対策を行うといった、私物にも会社で利用している端末と同じレベルのセキュリティ対策が要求されます。
・ネットワークの選択
接続するネットワークにも気を付ける必要があります。公共の場でのパスワードのないWifi接続は簡単に傍受の対象となってしまいます。Wifiに接続する前に、セキュリティ対策が行われていることを確認しましょう。
・のぞき見防止
外出先や移動中の乗り物などで業務を行う場合、ディスプレイがのぞき見されないようフィルムを張る等の対策が必要となります。扱っているのは重要な業務データであることを忘れてはいけません。
運用ルールの策定と遵守
・機器持ち出し利用のルール化
オフィスの外へ機器を持ち出す場合、明確なルール作りが必要です。資産管理としての面はもちろん、不要なデータやウイルスなどが持ち込まれないチェック体制も必要となります。
・セキュリティトラブル発生時の対応、エスカレーションルート策定
それでもテレワークを行った場合に起こりえるセキュリティ事故に対し、ネットワークからの切断など緊急時の対策や問題発生時のエスカレーションルートを策定しておく必要があります。
・過重労働を抑制するルール作り
テレワークの場合、通常の勤怠システムは利用できず、上司の目も届かない状態となりるため、労働時間の超過が発生しないよう考慮が必要です。特に家で業務を行った場合は、仕事のON/OFFの切り替えがつかないこともありますので、きちんと業務を行うためのルールが必要となります。
IT技術でテレワークを支援。セキュリティ面でも有用なツールとは
テレワークを行う場合、通常のオフィスでの勤務に比べて不便になることもあります。
例えばコミュニケーションなど、目の前に相手がいれば一言会話をするだけで意思疎通できることも、メールやチャットだとニュアンスが伝わらなくなってしまうこともよくあります。
物理的に離れて働くために発生する不利益を埋めるため、各種ツールのご利用を検討ください。その際には、セキュリティ上の配慮がされたツールを使いましょう。
コミュニケーションツール
業務を遂行するうえで必要不可欠なのがコミュニケーションです。お互いの意思の疎通を助けるためコミュニケーション用のツールを導入することが検討されます。
Slack(スラック)やChatwork(チャットワーク)、Zoom(ズーム)などのツールでチャットやビデオ会議を取り入れながら仕事をすることで効率的なコミュニケーションを実現することが可能です。
これらのツール利用時には、業務上の重要なやり取りが漏れてしまわないよう信頼性の高いツールを利用することも必要となります。
オンラインストレージ
オフィスでは簡単にできたファイルの共有もテレワークではひと工夫が必要となります。
GoogleドライブやDropbox(ドロップボックス)などのオンラインストレージを利用することで、オフィス内のネットワークでのファイル共有のように気軽にデータを共有することができます。
ただし、利用ルールを定め、必要に応じてデータの暗号化を行うなどセキュリティ対策の取られたツールを選定する必要があります。
のぞき見防止ツール
テレワークの中でも、家ではなく、コワーキングスペースやカフェ等で仕事をする場合には、のぞき見にも注意する必要があります。
のぞき見を防止するフィルムが販売されていますので、機密性の高い仕事を外でしなければならなければ導入を検討しましょう。また、スマートフォンやタブレット等のデバイスを利用する場合は、照度やフィルターを設定できるアプリもあります。
暗号化した記憶媒体を利用する
パソコン内のドライブやリムーバブルディスク等の記憶媒体を持ち出したり、持ち運ぶ場合に出てくるのが、盗難や紛失によるデータの漏洩リスクです。
盗難や紛失そのものを避けるための対策はもちろん必要ですが、万が一の事態に備え記憶領域の暗号化を行っておくことをお勧めします。
フィルタリング
テレワーク中のインターネットアクセスにはリスクが伴います。危険なWebサイトへアクセスしてウイルス感染することで起こる情報漏洩や業務中のSNS利用などで起こりうる誤発信には、ネットワークをフィルタリングするサービスを導入することで未然に防ぐことが可能です。
終わりに
テレワークは緊急時の対策に限らず、その利便性はとても高いため、社会制度の見直しや働き方の多様化などの対策として今後普及が見込まれる働き方です。
そのためにはセキュリティ面での問題のない体制を作り上げていく必要がありますから、今回の新型コロナウイルスの流行を機に、感染予防とともにセキュリティ意識を高めるきっかけにしていけるとよいのではないでしょうか。
【関連リンク】
・テレワークのガイドライン(一般社団法人 日本テレワーク協会)
https://japan-telework.or.jp/tw_about-2/guide/
・テレワークセキュリティガイドライン(総務省)https://www.soumu.go.jp/main_content/000199491.pdf
・テレワークセキュリティガイドライン第4版(総務省)https://www.soumu.go.jp/main_content/000545372.pdf
TEXT:セキュリティ通信 編集部
PHOTO:iStock