テレワークで負う企業のセキュリティリスクと最低限の対策を紹介

新型コロナウイルスの流行もあり、全国的にテレワークが取り入れられるようになっています。
しかし、セキュリティ対策を取っていなければ取り返しのつかない事態に陥る可能性があります

ここではIPA(独立行政法人 情報処理推進機構)が公表する内容を参考に、テレワークでの注意事項およびに企業が取るべきセキュリティ対策について紹介していきますので、ぜひ参考にしてください。

目次

テレワークにおける問題・リスク

まずはテレワークにどのような危険が潜んでいるのか、問題点や生じ得るリスクについて知っておきましょう。

一番はやはり「情報漏洩」です。

オフィスに通勤して、社内で完結するネットワークを使っていれば情報が漏れる可能性は低いです。すでにマルウェアに感染していた場合などでなければ、そもそも情報が外部の通信網を移動しないからです。

しかし、安易にテレワークを取り入れた場合、インターネットを活用して情報のやり取りを行うことになるでしょう。これだと全世界と接続されますので、それだけリスクも大きくなります。
悪意ある攻撃者に触れる機会が増えますし、外部からアクセスする従業員自身の操作ミスなどによって情報が漏れるおそれもあります

情報漏洩が起こり、その内容が重要な営業秘密だとすれば、企業が直接的に回復困難な被害を受けてしまいます。
サプライチェーン含む多様な情報だとすると、取引先からの信頼、消費者からの信頼を失うことになってしまいます。

これは企業活動を続けていく上で大きなダメージです。

テレワーク環境を始めるにあたって企業が取り組むこと

それでは、テレワークによるリスクを最小限に留めるため、企業はどのような取り組みをすべきなのでしょうか。

IPAでは、主に以下のことを示しています。

テレワーク環境における規定を定める

自宅や外出先でも仕事ができるように環境を整えることは大事です。

しかし、どのように働くのか、してはいけないことなどをルールとしてしっかり定めてから運用を始めなくてはなりません

例えば後述するようにフリーWi-Fiはセキュリティ上のリスクが大きいです。
そのためフリーWi-Fiを使った社内システムへのアクセスを禁ずるなど、情報漏洩が発生し得る行為に制限をかけましょう。

他にも例えば、秘匿性が高い職務の従業員に対し、カフェのように多数人が自由に行き来できる場での仕事を禁じるといった対策も考えられます。
通信内容をハックされるかもしれませんし、技術的に十分な環境を整えても、直接背後から情報を盗み見られては意味がありません。
そのため特定の職務は、自宅や自社の従業員のみが出入りできるコワーキングスペースでのみ認めるといった運用が推奨されます。

システム部門による相談体制を整える

あらゆる場面を想定した規定を設けるのは困難です。

そのため、実際に何かアクションを起こす際、従業員が「これは行っても良いのだろうか?」と不安を感じる場面も出てきます。

そこで、社内のシステム部門・システム管理者等に相談できる体制を整えましょう。窓口を設置したこと、どのように窓口が活用できるのか、といったことを周知しましょう。

セキュリティ意識を高め、デバイスの扱い方に注意してもらう

なお、システム部門等が存在しない企業も多いですので、その場合にはやはり従業員個人のセキュリティ意識の向上に努めるしかありません。

テレワーク実践前にセキュリティ研修を受けたり、定期的に講習を行ったりしてリスクを低減させましょう。

なお、IPAでは以下の実施を推奨しています。

  • デバイスのOSやソフトを最新版に保つ
  • セキュリティソフトの導入
  • 定義ファイルを最新に保つ
  • パスワードの適切な管理
  • 不審なメールへの注意
  • 中身が明確でないUSBメモリ等への注意
  • 社内ネットワークへの接続ルール遵守
  • アプリインストールにおける注意
  • デバイスのロック機能活用

ソフトとハード、どちらにも注意が必要です。

ソフト面に関しては、特に最新版に保つことが重要ですが、アップデートやインストールを行う際、安全が担保されたネットワークを使わなければなりません。

また、ハード面に関して、上述のショルダーハック(背後からの盗み見)の防止、盗難・紛失への対策として画面のロック機能活用などが重要です。
「中身が明確でないUSBメモリ等への注意」に関しては、ウイルス感染の可能性を危惧すべきという意味です。誰のものか分からない記憶媒体には要注意です。容易にパソコンやネットワーク機器に接続してはいけません。

組織のシステム管理者に向けても「定期的なバックアップ」や「不要なアカウントの削除」など、いくつか実施すべきことが示されています。

詳しくはこちらのページ(日常における情報セキュリティ対策:IPA)を参考にしましょう。

Wi-Fiでの通信には特に注意

IPAでは、特に公衆のWi-Fiに注意すべきと喚起しています。

ファイル共有機能をオフにして利用

公衆の場で提供されているWi-Fiの多くは、何ら手続を要することなくすぐに使えたり、簡単なアカウント登録をするだけでインターネットに接続できたりします。

しかし、こういったWi-Fiサービスでは攻撃も受けやすいです。Webサイトを閲覧するだけの利用であれば大きな被害を受けにくいですが、社内システムへのアクセス、特にファイル共有機能を使っている場合には危険です。

クラウドストレージサービスなどで、自動的に保存ファイルを共有する機能などもありますが、公衆Wi-Fiを使うのであればこういった機能はオフにしておくべきと注意しています。

必要に応じてVPNサービスを利用

公衆のWi-Fiの利用はリスキーですが、信頼できるVPNサービスを利用すればそのリスクを低減させられます。

Virtual Private Networkの略がVPNで、これは公衆の回線を専用回線のように利用する技術です。

「VPN接続すれば必ず安全」というものではありませんが、フリーWi-Fiよりははるかに安全性が高いです。

いろんなVPNサービスが展開されていますので、費用等比較しつつ、テレワークに際して契約すると良いでしょう。

「YubiKey」で会社のコンプライアンスレベルを上げましょう

弊社では、GoogleやFacebookなどといった世界的企業をはじめ4,000を超える企業が利用している「YubiKey」をおすすめしています。

PCに挿すだけでセキュリティを多要素認証にでき、手間と費用を抑えながら、安心安全なシステム環境を整えられる「YubiKey」で、あなたの会社のコンプライアンスレベルを上げましょう。

※「YubiKey」取扱会社であるPJ-T&C合同会社は、弊社のパートナー企業です。

オンラインストア:https://yubikey.pj-tc.com/store/