テレワークを行う社員のセキュリティ意識とシステムのセキュリティレベル
働き方改革
テレワークの導入を検討している会社のなかには、セキュリティの不安を感じているところも少なくないでしょう。すでにテレワークを導入している会社でも「検証が不十分だった」「改善の余地がある」と感じているケースもあるかもしれません。テレワークのセキュリティ対策について、システムとテレワーカー(テレワークを行う社員)双方の視点から見てみます。
テレワークではセキュリティ対策が必須
企業で管理する紙文書、電子データ、情報システムなどはすべてその企業の「情報資産」です。業務で日常的に情報資産に触れていると感じにくいかもしれませんが、その価値は大きいものです。そのため、情報資産は保護されなければなりません。テレワークでは勤怠管理や業務管理などの「マネジメント」、情報共有や意思疎通の「社内コミュニケーション」などが重要とされますが、セキュリティ対策も最初に検討すべき必須の項目です。
テレワーク時のセキュリティ対策には3つの視点があります。
1:技術的なセキュリティの確保
技術面でセキュリティの確保を計ります。具体的には次のような項目です。
アクセス権の制限や管理を行う
本人認証や端末認証、もしくは貸与端末の一元管理などにより、データ流出を防ぎます。
暗号化対策
ハードディスクの暗号化、USBメモリの暗号化などによって、万が一、端末やデータが紛失した場合のデータ流出を防ぎます。
ウイルス対策ソフトのインストールや安全なインターネット回線の確保
ウイルス対策ソフトやインターネット回線の暗号化などで、端末とネットワークへの不正侵入を防ぎます。
2:社内のセキュリティルール作成
社内のセキュリティ技術に応じたルールを作成します。高いセキュリティ技術があったとしても、その運用方法を知らなければ人為的なミスが起こり得ます。また、「このように業務を進めていけばセキュリティが守られる」とのルールが定められていれば、テレワーカーも安心して在宅での業務に従事できるはずです。
さらに、ルールを作成したらルールの周知も十分に行っていきましょう。
3:テレワーカーのセキュリティ意識の向上
いくらセキュリティ技術が高く、社内ルールが整えられても、テレワーカー自身のセキュリティ意識が高くなければ意味を成しません。
テレワークを行う場合は通常、ノートパソコンやタブレットなどの端末が利用されます。会社支給の場合もあれば、私用端末を利用することもあるでしょう。端末自体の盗難や紛失、端末のウイルス感染などのリスクは会社に赴く場合よりも高くなるため、テレワークを行う個々人が緊張感を持って業務に当たるべきです。個々のセキュリティ意識については後述します。
代表的な6種類のテレワークシステムとセキュリティ
代表的な6種類のテレワークシステムの種類をセキュリティ面から見ていきます。セキュリティにはさまざまな側面がありますが、ここではテレワーク端末に電子データを保存するかどうかを主に確認します。
1 リモートデスクトップ方式
オフィスに設置されたPCのデスクトップ環境を、テレワーク端末から遠隔操作及び閲覧する方法です。
テレワーク端末への電子データの保存
オフィスの端末を遠隔操作する形で作業するため、データはオフィスにある端末上に保存されます。手元の端末にデータは残らず、データ流出は起きにくいです。PC環境がオフィスと同じなので新たな作業フローを構築する必要がない点もメリットです。
テレワーク環境の特徴
オフィス内の端末がインターネットにつながっていれば、専用アプリケーションや認証キーなどを介して、テレワーカーが在宅で業務を行えます。ただし、オフィス端末の電源は常にオンにしておく必要があります。
2 仮想デスクトップ方式
オフィスに設置されているサーバーから提供される仮想デスクトップ(VDI)に、テレワーク端末から遠隔でログインする方法です。仮想デスクトップサーバーにアクセスする点がリモートデスクトップ方式と異なります。
テレワーク端末への電子データの保存
仮想デスクトップサーバー内の仮想端末を遠隔操作します。データも仮想デスクトップサーバーに保存されるため、テレワーク端末には残りません。
テレワーク環境の特徴
リモートデスクトップ方式と異なり、オフィス端末の電源管理をする必要がありません。インターネットを経由して社内システムにアクセスするため、テレワーク端末に通信の安全性を高めるVPNソフトをインストールします。
仮想デスクトップの環境はシステム管理者が一括して管理することができるため、セキュリティレベルは高いと言えます。
3 クラウド型アプリ方式
クラウドで提供されるアプリケーションを使って業務を行う方法です。インターネットを経由してクラウドサーバーにアクセスします。
テレワーク端末への電子データの保存
アプリケーションによっては、クラウド上で作成した資料をテレワーク端末にダウンロードすることが可能なため、セキュリティ上注意が必要です。
テレワーク環境の特徴
オフィスでもテレワークでも同じ作業環境となります。必要なアプリケーションは、社内のコンピューターやオフィス専用サーバーにではなくクラウドサーバーに存在します。そのため、既存の社内システムに新しくシステムを組み込む必要がありません。
4 セキュアブラウザ方式
クラウドで提供されるアプリケーションを利用する方法です。基本的な方式は「クラウド型アプリ方式」と同じですが、より安全性が高いやり方と言えます。なおセキュアブラウザとは、不正アクセスやデータ流出を防止するための対策が施されている特別なブラウザのことです。
テレワーク端末への電子データの保存
セキュリティ機能に特化した「セキュアブラウザ」を用いることで、ファイルのダウンロードや印刷などの機能を制限することが可能です。データ流出を防ぎやすくなるでしょう。
テレワーク環境の特徴
クラウド型アプリ方式と同じくオフィスでもテレワークでも同じ作業環境です。ただし、使用できるアプリケーションは、「セキュアブラウザ」経由で利用できるもののみとなります。セキュリティレベルは高くなりますが、業務に制限がかかる可能性があります。
5 アプリケーションラッピング方式
インターネットで社内システムやクラウドにアクセスする方式です。ただしその際、テレワーク端末内に「コンテナ」と呼ばれる、ローカルの環境とは独立した「保護領域」を設けます。コンテナ内でテレワーク業務用のアプリケーションを動作させます。
テレワーク端末への電子データの保存
「保護領域」と「ローカル領域」は分離されていますし、「保護領域」を閉じるとデータは消去されます。そのためテレワーク端末にデータを残しません。
テレワーク環境の特徴
テレワーク端末を利用して、インターネット経由で社内システムやクラウドサーバーにアクセスします。
6 会社PC(端末)の持ち帰り方式
通常業務に利用しているPC等のオフィス端末を、そのまま持ち帰ってテレワークに利用する方法です。主にインターネットを経由して社内システムにアクセスし業務を行います
テレワーク端末への電子データの保存
テレワーカーは使い慣れた端末で業務を進めることができますが、業務データが多く格納されたパソコンを持ち出すことになるため、セキュリティ管理が重要です。パソコンの紛失や盗難などによるセキュリティリスクも高いと言えます。
テレワーク環境の特徴
社内システムにアクセスする場合、インターネットの経路上での情報流出が懸念されるため、通信の安全性を高めるVPNで接続することが前提となるでしょう。
「保存」「ネットワークへのアクセス」「端末管理」など、システムごとにセキュリティの留意点が異なります。特徴をよく知りシステムを採択していきましょう。
テレワーク時に意識すべきセキュリティ対策
テレワーカーが個々で意識すべきセキュリティ対策を紹介します。
テレワーク時に必ず行うこと
業務に使用するPCや端末の管理は次のような点に留意します。
- テレワークで使用するPCの環境は自分が管理することになるので、油断しがちであるが、最新のセキュリティに対応するため、使用しているOSや必要なアプリケーションは常にアップデートして最新の状態にしておく
- 自宅でテレワークしているケースが多いと、サイバー攻撃の存在は他人事に感じやすいが、ウイルスや他の攻撃も日々進化していくなか、つねに万全な防御環境を維持するために、セキュリティソフトの定義ファイルもアップデートしてウイルスに備える
- 家族共有のPCを使用している場合はもちろんのこと、取引やプロジェクト内でのデータの共有であったとしても、その段階でウイルス感染するかは予断を許さないため、万が一に備え、定期的にPCや端末内のウイルスチェックを行う
- テレワーク時は取引先やプロジェクトメンバーからのメール連絡、データ共有が多くなるため、警戒せずに電子メールやデータを開示しがちになるが、電子メールの添付ファイルの開封やリンク先のクリックは慎重に行う
- 不特定多数が利用できる公衆Wi-Fiは使用しない
- 社外から社内システムにアクセスするためのパスワードは適正に管理。また、パスワードを定期的に変更する
これらは基本的なことだからこそ重要性を理解し、実行を徹底したいです。
社内で整備したいセキュリティ項目
テレワーカーがセキュリティ意識を持てるように、社内で整えておきたいルールには次のようなものがあります。
- 社内で扱う情報やデータについて、重要度に応じたレベル分けを行う
- セキュリティレベルごとに、テレワークでの利用可否と、利用する場合の取り扱い方法を定める
- アプリケーションのインストール可否や、必要があってインストールする場合の申請方法を定める
- 貸与するテレワーク端末の所在や利用者などを管理する
- 私用端末の利用を認める場合は、私用端末に必要なセキュリティ対策が施されているか確認する
- 万が一セキュリティ事故が起こった場合の連絡先を決定しておく
- セキュリティ事故の連絡を受けたらいつでも迅速に対応できるよう体制を整える
セキュリティ対策のメインは予防ですが、いくら予防しても「万が一」の事態がないとは言えません。そのため、データ流出のようなセキュリティ事故が生じてしまったときのガイドラインも作成しておきましょう。
テレワーク成功のために、バランスの良いテレワーク体制を作ろう
セキュリティ対策には複数の視点があり、環境整備だけでなくテレワーカー個々人の意識も重要です。システム環境や社内ルールを整えるのは会社ですが、それを使う側の意識についても留意しながらテレワーク体制を構築していきましょう。また、予防だけでなく、万が一、セキュリティ事故が生じてしまった場合の対策まで考えておきましょう。
参考: