

念のため確認!テレワーク導入時に気をつけたい3つのポイント
システムマネジメントサービス部 大川です。
新型コロナウイルスの感染拡大防止対策として、当社が支援するお客様においてもテレワークの導入が急激に進んでいます。それは当社も例外ではなく、自社やお客様のルールを確認し遵守することを第一に取り組んでいます。
テレワークを導入するにあたり、本来は事前の検証により問題点を洗い出し、対策の実行をした上で本格導入するというのが通常の流れですが、今回はスピード重視で導入を進めているお客様が大半です。
そこで気になるのがセキュリティ対策です。
これまで当社が支援した事例も参考に、テレワークの導入にあたり、主にセキュリティの観点で注意すべきポイントを整理してみました。テレワークのセキュリティ対策に不安を感じている方、テレワークができず通常通り出勤されている方、そしてこれからテレワークを導入しようという企業の方はもちろん、既に導入済み企業の方もぜひ参考にしていただければ幸いです。
テレワークにおけるセキュリティ対策
テレワークの導入時に気をつけたいポイントは以下の3点です。
端末やネットワーク環境を整える
まずはテレワークを行うための環境についてです。
テレワークを行うためには端末(パソコンやタブレットなど)や社内システムを利用するためのネットワーク環境が必要です。そして、社内で業務を行う場合と同様に適切なセキュリティ対策が必要です。
会社支給の端末であれば必要な設定がされていると思います。
しかし、急きょテレワークを行うことになり、個人用のパソコンを利用する場合もあるでしょう。この場合において、テレワーク導入前に利用する個人用パソコンの状態を確認が必要です。
パソコンへの対策の例
- 持ち歩き時の紛失や盗難を想定し、パスワードを設定する(例:BIOSパスワード)
- HDD/SSDが盗難されたことを想定し、ドライブの暗号化を行う(例:WindowsのBitLocker)
- OSやブラウザ、アプリケーションを最新の状態に保つ(例:Windows Update)
- ウイルス対策ソフトの定義ファイルを最新の状態に保つ
ネットワーク環境への対策の例
ネットワーク環境も同様に、自宅のネットワーク環境を利用するケースも多いでしょう。
- 無線LANを利用する場合はWPAやWPA2で暗号化設定を行う (WEPでは脆弱です)
- 無線LANに接続する場合はWPSを使わない
- ルータや無線アクセスポイントのIDやパスワードを初期値から変更する
- ルータや無線アクセスポイントのファームウェアを最新の状態に保つ
- 社内システムへの接続にはVPNなどを利用し認証を行う
- MACアドレスフィルタリングの利用を検討する
この他にも、設定によっては自宅の同じネットワークに接続するパソコンからファイルを見られてしまう可能性もあるため注意が必要です。
利用ルールを整える
通常、オフィス内で業務を行う場合、私たちが取り扱う情報が外部の方の目に触れる機会はほぼありません。しかしテレワークを行う場合、ノートパソコンを持ち歩くことや、第三者の目に触れる場で業務を行うことが多くなります。
端末やネットワーク環境に対して適切な対策を行うことも重要ですが、テレワークを行う場合のルールも重要になります。
パソコンの利用ルールの例
- カフェなどでパソコンを放置して離席しない
- 自宅でもあっても離席時には画面ロックを必須とする
- のぞき見を防止するためのフィルターを取り付ける、壁を背にして作業する
- 暗号化されていない公衆無線LANを利用しない
- 個人や共有パソコンは原則利用を禁止し、やむなく利用する場合はVDIなどローカルにファイルを保存できない仕組みで利用する
他にもパソコンやスマートフォンを利用してWeb会議を行う場合、意図せず第三者に会話の内容を聞かれてしまう場合があります。機密情報の漏洩にもつながりますので、Web会議を行う場所、声の大きさには注意が必要です。
また、情報の取り扱い範囲も注意が必要です。
業務上、個人情報を扱う方もいらっしゃるはずです。あるお客様では情報の内容に応じてレベルを設定した上でルールを定め、テレワークで扱ってよい情報の範囲を限定していました。今後はルールだけでなく、システムを利用したアクセス制御、利用履歴の記録も検討されるようです。
人に対する働きかけを行う
端末やネットワーク環境、利用ルールを整えて終わりではありません。もっとも重要なことは、テレワークを行う人に対する働きかけです。
情報を取り扱う上で、本来はオフィス内であっても、外出先であっても、自宅であっても考え方は同じはずです。オフィス内であれば、上司や周囲の目があり自然とチェックが働きますが、自分ひとりで業務を行う場合は、ついつい気が緩みがちです。せっかく定めたルールが形骸化する恐れもあります。
特に今回、急きょテレワークを導入した企業も多いと思います。本来であれば必要な対策が十分にできていないことも多いでしょう。リスク教育や利用ルールの周知徹底を通じて、情報の取り扱いに対する注意点や取るべき行動を、経営層や管理者層を含む全ての利用者に経営リスクとして理解してもらい、徹底してもらうことが重要です。
バランスのとれた適切な対策を
端末やネットワーク環境、利用ルール、そして人に対する働きかけの3点を中心にテレワークを導入する上で注意すべきセキュリティの観点を紹介しました。
情報を取り扱う以上、情報の漏えいや情報の消失といったリスクがあります。
自社環境やルールの整備状況により、全ての対策を早期かつ完璧に実施する事が難しいケースもあると思いますが、テレワークの特徴を踏まえたセキュリティ対策を行うことは、オフィス勤務時のセキュリティ対策と同様にとても重要です。
総務省が紹介するガイドラインでも、情報資産を守るためには、「ルール」「人」「技術」のバランスがとれた対策を実施し、全体のレベルを落とさないようにすることがポイントと紹介されています。
総務省のガイドライン
今回紹介したテレワーク導入時の注意点をまとめるにあたり、総務省が公開しているガイドラインも参考にしました。
「ルール」「人」「技術」とは
(「ルール」について)
業務を進めるにあたって、情報セキュリティの面で安全かどうかをその都度判断して必要な対策を講じていくのは必ずしも効率的ではなく、また、専門家でなければ適切な判断を行うこともできません。そこで「こうやって仕事をすれば安全を確保できる」という仕事のやり方をルールとして定めておけば、従業員はルールを守ることだけを意識することで、安全に仕事を進めることができます。テレワークを行う場合、オフィスとは異なる環境で仕事を行うことになるため、そのセキュリティ確保のために新たなルールを定める必要があります。そこで、組織としてどのようなルールを定め、守っていけばよいかについて留意する必要があります。
(「人」について)
情報セキュリティ対策の「ルール」・「人」・「技術」のうち、実施が最も難しいのは「人」の部分です。ルールを定めても、実際にテレワーク勤務者やシステム管理者がそれを守らなければ、ルールによる効果が発揮されることはありません。特にテレワーク勤務者はオフィスから目の届きにくいところで作業をすることになるため、ルールが守られているかどうかを企業・組織が確認するのが難しいことに留意する必要があります。したがって、ルールを定着させるには、関係者への教育や自己啓発を通じてルールの趣旨を自ら理解し、ルールを遵守することが自分にとってメリットになることを自覚してもらうことが重要です。また、テレワーク勤務者が情報セキュリティに関する必要な知識を習得していれば、フィッシングや標的型攻撃等の被害を受けにくくなります。
(「技術」について)
技術的対策は「ルール」や「人」では対応できない部分を補完するものです。技術的対策は種々の脅威に対して「認証」、「検知」、「制御」、「防御」を自動的に実施するものであり、テレワーク先の環境の多様性を考慮して、それぞれの環境での情報セキュリティ維持のために適切に対策を講じておく必要があります。
https://www.soumu.go.jp/main_content/000545372.pdf
おわりに
新型コロナウイルスの感染拡大防止策だけではなく、働き方改革の観点からも、今後テレワークの利用は進んでいくものと思われます。
テレワークのセキュリティ対策というと、PCやネットワークなど利用環境の整備を意識しがちですが、働く場所や時間が各利用者の裁量によるものが大きいという特徴を踏まえて、利用ルールをきちんと整備し、対象者へ継続的な働きかけを行うことも、とても重要です。
今回紹介したポイントも参考にバランスのとれたセキュリティ対策を実施し、よりよいテレワーク環境を整備しましょう。