そこで今回は、テレワークにおけるセキュリティの基本概要・テレワークで起こり得る5大リスク・セキュリティ強化のためにやるべきことについて解説します。
【目次】
テレワークにおけるセキュリティの基本概要
テレワークにおけるセキュリティを検討するときに、押さえておきたい基本概要を、以下の3点から解説します。
- テレワークの環境とセキュリティの必要性
- 総務省の「セキュリティガイドライン」
- テレワークでの企業のセキュリティ体制
1つずつ見ていきましょう。
テレワークの環境とセキュリティの必要性
テレワークの環境にセキュリティが必要な理由は、セキュリティが整備されたオフィスとオフィス以外の場所では、環境が大きく異なることが挙げられます。情報処理推進機構(IPA)による2023年のセキュリティ被害TOP3には、1位に「ランサムウェアによる被害」、2位に「サプライチェーンの弱点を悪用した攻撃」、3位に「標的型攻撃による機密情報の窃取」が挙げられます。これらを起こさないようオフィスにおいてはさまざまなサイバーセキュリティ対策が取られています。しかし、テレワークの環境では、セキュリティ対策に脆弱性が生まれる懸念があるのです。
たとえば、自宅のWi-Fiに企業から貸与されたPCを接続した場合、不特定多数の人とインターネット環境を共有することになります。また、カフェなどで仕事をしていれば、公共のインターネットに接続することもあります。このような状況でセキュリティ事故が起これば、企業は社会的責任を問われることになるでしょう。
テレワークでは、オフィスで行う業務をそのままオフィス以外の場所で行うことになります。多くの業務には社外秘の情報が含まれるため、外敵から情報を守るためにも、万全なセキュリティ対策が必要なのです。
総務省の「セキュリティガイドライン」
テレワークを行うにあたり、総務省から「テレワークセキュリティガイドライン」が出ています。このガイドラインでは、テレワークを導入・活用するために必要となるセキュリティ対策等について示しています。
この中で「情報資産を守るためには、『ルール』・『人』・『技術』のバランスがとれた対策を実施し、全体のレベルを落とさないようにすることが重要」とあり、バランスが良いことは、セキュリティレベルの維持につながるということがわかります。
また、テレワークを実施するにあたり経営者・システム管理者・テレワーク実施者がそれぞれの立場でセキュリティの確保に関して必要な役割を認識し担うことが重要とされています。
テレワークでの企業のセキュリティ体制
総務省において、「テレワークのセキュリティに係る実態調査(2次実態調査)」を行いました。その中にある「テレワークの実施に当たり、テレワークセキュリティ対策について検討・実施したこと」の順位が挙げられています。
1位は「セキュリティに関する注意事項の周知」、2位「テレワーク利用に特化したルールの新設」、3位「セキュリティポリシーなどのルールの整備変更」です。多くの企業ではセキュリティに関するルールを策定し、周知や教育を行っていることがわかります。また、すでにあるルールに対しても、テレワーク環境に合わせて変更を行っている企業が多くあるといえます。
しかし、コロナウイルス感染症拡大にともなう緊急事態宣言解除後は、新たなセキュリティ対策を設けず、テレワークを実施する企業が増加しています。緊急措置として行ったテレワークがそのまま定着した結果といえます。
テレワークのセキュリティについては、まだ対策が進んでいない企業もあり、今後導入する企業だけでなく、すでに導入済みの企業においても対策を講じて運用することが求められています。
関連記事:テレワークとリモートワークの違いとは?定義・関連用語や導入のポイントを解説
テレワークで起こり得る5大セキュリティリスク
テレワークでは、自社の環境よりもセキュリティリスクの不安が高まります。情報処理推進機構(IPA)の資料を参考に、セキュリティリスクが引き起こした被害について、以下の5点から解説します。
- 紛失・盗難
- ウイルス感染
- 情報漏えい
- 不正アクセス
- フィッシング詐欺
1つずつ見ていきましょう。
紛失・盗難
テレワークで起こり得るセキュリティリスクの1つ目は、紛失・盗難です。
たとえば、自宅以外の場所で業務を行っている最中に、少し席を外している間に企業から貸与されたPCやモバイル端末などが盗難されたり、置き忘れなどによる紛失が起きたりする危険性があります。企業から貸与されたPCやモバイル端末には、重要な顧客の個人情報・社外秘の機密情報などが入っていることが多く、情報漏えいのリスクが高まります。
ウイルス感染
テレワークで起こり得るセキュリティリスクの2つ目は、ウイルス感染です。
自宅や外出先のカフェなどのインターネット環境では、不特定多数と回線を共有するため、ウイルス感染のリスクが高まります。また、私物端末を使用した場合、ウイルス対策が十分でないことが多く、その場合マルウェア感染のリスクが高まります。マルウェアとは、端末に悪影響をもたらす悪意のあるプログラム・ソフトウェアを指します。マルウェアに感染することで、個人情報を抜き取られたり、情報が流出したりして、企業に大きな影響を与えます。
情報漏えい
テレワークで起こり得るセキュリティリスクの3つ目は、情報漏えいです。
情報漏えいには、セキュリティを突破されたときの情報の流出や盗難・盗み見などから起こるものが考えられます。カフェなどで仕事をするときにつなげてしまいがちな公衆Wi-Fiの中には、通信の暗号化が行われないもの・通信傍受を目的としたものがあり、セキュリティリスクが高いといえます。
また、自宅への侵入者による盗難・盗聴、そして、サテライトオフィスなどで仕事をする場合に後ろから情報をみられたりなど、さまざまなケースでの情報漏えいが考えられます。
不正アクセス
テレワークで起こり得るセキュリティリスクの4つ目は、不正アクセスです。
近年増えているのが、Windows OSに付随するサービスである「リモートデスクトップ」への攻撃です。リモートデスクトップとは、外部の端末から組織内ネットワーク上のサーバーにアクセスし、サーバーのリソースを用いて作業を行うことを指します。テレワークの普及で利用が増えると同時に、その状況を狙った不正アクセスが増加しているのです。不正アクセスが行われると、攻撃者がID・パスワードの本来のアカウント所有者になりすまし、さらに所有者の権限を悪用してデータの改ざんなどが行われる恐れがあります。
フィッシング詐欺
テレワークで起こり得るセキュリティリスクの5つ目は、フィッシング詐欺です。
フィッシング詐欺とは、有名企業と称してメールを送り、本文にあるURLをクリックさせ偽サイトに誘導します。そして、不正にID・パスワードなどを盗み取ることを指します。近年は手口が巧妙化しており、本物のように見せて誘導されるケースが増えています。本物のサイトか偽物のサイトかを見破ることが難しくなっており、今後も被害が拡大する懸念があります。
テレワークのセキュリティ強化のためにやるべきこと
テレワークのセキュリティリスクを回避するための、セキュリティ強化策は個人で対応できるものから法人・組織として対応すべきものまで、幅広くあります。ここでは、情報処理推進機構(IPA)が公開している「日常における情報セキュリティ対策」から、テレワークのセキュリティ強化のためにやるべきことを、以下の7点から解説します。
- ロック画面の設定
- 最新バージョンのOSの利用
- セキュリティソフトの導入
- 適切なパスワード設定と管理
- 不審メールへの警戒
- 外部記録媒体の取り扱いへの注意
- 社内規定の遵守
1つずつ見ていきましょう。
ロック画面の設定
テレワークのセキュリティ強化のためにやるべきことの1つ目は、ロック画面の設定です。
在宅勤務・サテライトオフィスなど自社に関係のない第三者に情報をのぞき見されたり、操作されたりしないように、PCやスマートフォン・タブレット等には画面ロックを設定しましょう。離席するときなどは、たとえ家族だけが周りにいる場面であっても、画面ロックをすることが大切です。
最新バージョンのOSの利用
テレワークのセキュリティ強化のためにやるべきことの2つ目は、最新バージョンのOSの利用です。
使用するPC・スマートフォン・タブレットのOSは最新の状態にしておきます。OSの更新や修正は随時行われるため、自動でアップデートされるよう設定しておくことが有効です。
セキュリティソフトの導入
テレワークのセキュリティ強化のためにやるべきことの3つ目は、セキュリティソフトの導入です。
使用するPC・スマートフォン・タブレットにセキュリティソフトをインストールし、常に最新な状態になるよう設定しておきましょう。また、万が一、自動更新されていない場合を想定して、最新の状態になっているかを定期的に確認しましょう。
適切なパスワード設定と管理
テレワークのセキュリティ強化のためにやるべきことの4つ目は、適切なパスワード設定と管理です。
パスワードは、アルファベットの大文字・小文字・数字・記号などを含めて複雑な長い文字列を設定しましょう。最低でも10文字が推奨されています。また、複数のサービスで同じパスワードを使いまわさないことが重要です。他にも初期設定のパスワードをそのまま使用し続けることは避けましょう。
不審メールへの警戒
テレワークのセキュリティ強化のためにやるべきことの5つ目は、不審メールへの警戒です。
日々届くメールのなかには、ウイルスが含まれたファイルが添付されていたり、ウイルスが仕掛けられたサイトに誘導するようなURLが記載されていたりする可能性があります。これらをクリックすることで、大きな被害につながる懸念があります。少しでもあやしいと感じたら、上司とシステム管理者に報告を行うようなルールを作りましょう。
また、一見すると不審なメールなのかそうでないのかを簡単に見抜きにくいメールもあります。その場合も、システム管理者に連絡し、必要に応じて送信元に確認を取るなどの対応をしましょう。
外部記録媒体の取り扱いへの注意
テレワークのセキュリティ強化のためにやるべきことの6つ目は、外部記録媒体の取り扱いへの注意です。
USBメモリなどの外部記録媒体はウイルス感染の可能性を高めます。そのため、許可された外部記録媒体以外は、接続しないように防止する必要があります。
社内規定の遵守
テレワークのセキュリティ強化のためにやるべきことの7つ目は、社内規定の遵守です。
企業から従業員に貸与するデバイスには、セキュリティを導入するだけではなく、セキュリティに関する規定が守られるようにしましょう。たとえば、外部記録媒体をPCに接続するとツールが検知し上司にメールが飛ぶようにしたり、上司を含まない外部へのメール発信についても、上司に警告が届くようにするなどの設定がおすすめです。
また、企業が貸与するデバイス以外の機器を持ち込む場合には、直接システム管理者に許可を得ることを必須としましょう。
まとめ
今回は、テレワークにおけるセキュリティの基本概要・テレワークで起こり得る5大リスク・セキュリティ強化のためにやるべきことについて解説しました。
安全にテレワークを導入し推進するためには、オフィス以外の場所でのセキュアな環境の確保が欠かせません。そのため、企業はテレワーク時のセキュリティルールを策定し、従業員がチェックリストなどを利用してルールを守りながら業務が進められるよう、継続的に啓蒙することが必要です。
テレワークを狙ったサイバー攻撃も常に進化しているため、いつでも対処できるような体制・環境を整えましょう。
|
テレワーク導入による変化に対応!
最新のビジネスコミュニケーション調査をもとに、テレワーク環境におけるコミュニケーションの課題を明らかにし、それらに対応するための具体的なアプローチとツールの活用方法を紹介しています。
|
