働き方改革関連法の実施や新型コロナウイルスの世界的流行によってここ数年でワークスタイルの主流となったテレワークは、従業員の生産性を高め、オフィスの在り方やワークライフバランスを見つめ直すきっかけとなりました。
テレワークは英語の「Tele(離れて)」と「Work(働く)」を組み合わせた造語で、その名の通り『オフィスから離れた場所で<時間>と<場所>にとらわれずに柔軟性のある働き方』を指します。
自宅を仕事場として働く「在宅ワーク」やICT技術を活用してカフェやコワーキングスペースで働くモバイルワーク、レンタルオフィス等の所属するオフィス以外のオフィスを活用したサテライトオフィスワークなど様々なスタイルの働き方がありますが、オフィスから離れて働くことで新たにセキュリティ対策における課題が浮き彫りになりました。
本記事ではテレワークにおけるセキュリティ対策について紹介します。
テレワークにおけるセキュリティ対策の重要性
オフィス以外の場所で仕事をするテレワーク(またはリモートワーク)は就業場所にとらわれずに従業員の生活に合わせた柔軟な働き方が実現するとして注目を集めていました。
新型コロナウイルスの世界的流行により、感染症対策として在宅勤務を中心としたテレワークが一気に浸透しました。
しかし、テレワークの導入を急速に進めたことで、多くの企業はテレワークに移行する環境を整えられていない反動で生産性の低下や業務に対する正当な管理・評価ができないといった課題が発生してしまったのも事実です。
特に「セキュリティ」に関する課題に悩む企業は少なくありません。
実際にテレワークによって以下のセキィリティ被害が発生しています。
- 個人情報や顧客情報が入ったUSBやPCの紛失
- フィッシングサイトへの誘導及びクリック
- 認証情報への攻撃(例:Web会議システム)
- ウイルスによるデータ破損や漏洩
機密性の高い情報が外部に漏洩することで、企業に与える損失は大きく、最悪の場合会社の倒産につながる恐れもあります。
しかし、テレワークが今後主流になり、ワークライフバランスを保つためには欠かせない要素であることも事実としてあります。
そこで重要視されているのがセキュリティ対策です。
ここからは総務省による「テレワークセキュリティガイドライン」をもとにテレワークにおけるセキュリティ対策について紹介します。
ルールによるセキュリティ対策
最初に重要になる要素は「テレワークにおけるルールづくり及びルールを元にテレワークを遂行するための環境づくり」が挙げられます。
テレワーク時には数多くのICT技術による情報システム、管理システム、アプリケーションといったシステムを扱います。
これらを扱う際の注意点や外部に持ち出す際のルールを決めておくことで、テレワークを安全に取り組めるようになります。
セキュリティガイドラインの策定
最初に決めたいのは「テレワークを行う際のガイドライン」の策定です。
「何をしても大丈夫」で「何をしたらダメ」なのかをしっかりと会社側から提示してあげることで従業員の混乱を防ぎ、セキュリティ被害を減らすことに繋がります。
テレワークでは基本社員は自宅で業務に取り組むか、レンタルオフィスを活用したサテライトオフィスのような設備を使って業務に取り組みます。
そのため、何か問題が発生した際にどのように答えを見つけるべきなのか予め具体的な取り決めをガイドラインで決めておくのがオススメです。
ガイドラインの制作時は総務省の「テレワークセキュリティガイドライン」を参考にするとスムーズに進められるでしょう。
本記事では具体的に定めるべき要素を端的に解説します。
ガイドラインの基本的な構造として「①テレワークの基本方針」「②テレワークを行う上での行動指針」「③情報管理及びシステムを使用する上でのルール」「④セキュリティ対策基準」「⑤実施手順」が含まれます。
例えばテレワークとして業務に取り組める場所や環境の基本方針・基準・ルールを定めるにあたって『オフィス外からアクセスするための制限及びセキュリティソフトの使用』『企業が指定した特定の場所以外でのPC使用制限』などを取り決めることで、情報漏洩のリスクを抑えることができます。
情報を取り扱う際のルールを策定
ガイドラインの次に取り組むべきは「情報を取り扱う際のルール」を策定することです。
例えば「自宅でのPCの保管方法」「持ち出す際の管理方法」「アプリケーションインストールの可否や条件」「クラウドの使用についての推奨環境」「機密性の高いデータ(顧客情報など)の保管方法」をテレワーク下での行動をルール化することで、従業員は安心して業務に取り組めます。
テレワークの導入にはクラウドサービスやSNS、Web会議等のメッセージアプリケーション及びシステムを活用するのが必要不可欠です。
そのため、導入しているツールについてもルールやガイドラインで留意事項を明確にしておけば、情報漏洩を未然に防ぎ、サイバー攻撃を受けるリスクも減らすことが可能です。
ルールを守れる環境づくり
ガイドラインやルールを策定しても「ルールを守れる環境」でなければ、情報漏洩を引き起こしてしまう可能性は大いにあり得ます。
セキュリティ対策に取り組めるための環境(例:全 PCへのセキュリティソフトの完備、自宅以外の就業できる環境の構築、セキュリティ性の高いアプリケーションの利用など)を用意しましょう。
また、次項で解説しますが「教育制度」や「啓発活動」のように従業員に重要性を理解してもらうことも環境づくりの一環です。
特にテレワークでは組織が個人を直接管理することができないため、より一層ルールを守る重要性を理解してもらえる環境づくりが必要になってきます。
紙媒体やUSBメモリの取り扱いルールを徹底するには、それらを守る重要性を説くことも欠かせません。
ガイドラインやセキュリティルールを策定して満足しないように注意しましょう。
技術によるセキュリティ対策
情報漏洩を防ぎ、サイバー攻撃から身を守るための具体的な対策として「技術によるセキュリティ対策」は欠かせません。
代表的な技術としては「本人認証・端末認証」「アクセス制限」「ウイルス対策ソフト」「通信の安全性を高めるVPNの導入」「暗号化」などが挙げられます。
また、最初からセキュリティ性の高いクラウドサービスを活用することもセキュリティ対策に繋がるため、既存のツールの見直しも重要な要素です。
データ暗号化技術を活用する
テレワークでは「機密情報の持ち出し」が発生してしまうため、持ち出しリスクに対する対策は必ずしなければなりません。
どれだけ認証システムを徹底したり、セキュリティを強固にしても「PC・スマートフォンの紛失」や「端末の盗難」被害にあってしまうと情報漏洩に繋がってしまいます。
そこで効果的なのが『情報の暗号化』です。
どれだけ徹底的にデータ管理がされた体制だとしても一度漏洩してしまえば全て無意味となってしまうため、個人情報や顧客情報、社外秘のデータなどは全て暗号化しておくのがオススメです。
暗号化は特定のルール・アルゴリズムをもとに文字列を変更することで第三者に内容を理解されないようにする技術です。
暗号テキストは暗号鍵を持つ受信者がデータにアクセスすると複合化されるようになっており、サイバー攻撃を受けたとしても顧客情報の流出等を防げるようになります。
ウイルス対策ソフトを導入する
セキュリティ対策の代表例である「ウイルス対策ソフト」の導入は、テレワークにおいても非常に重要な手法です。
テレワーク向けのウイルス対策ソフトの条件として「動作が軽い(重くならない)」「ランサムウェア対策機能がついている」「VPN機能」「フィッシングブロック」「ブラウザ保護」「パスワード管理」「Wi-Fiの安全性チェック」といった機能が揃っているところがオススメです。
また、安全性を高めるならば、機能が制限されていない有料ソフトを利用しましょう。
さらにソフトを導入したら「常に最新のOSに更新しておく」ことも推奨です。
基本的なセキュリティ対策と組み合わせることで、ウイルス対策ソフトのポテンシャルを存分に活かし切れるようになるでしょう。
多要素認証システムの導入
多要素認証とは、ひとつの情報だけでなく複数の情報で本人確認を行い、認証するシステムを指します。
具体的にはID/パスワード、PINコードなど本人しか知らない「知識情報」、対象が保有しているスマートフォンを使用したSMS認証やアプリ認証、IC、トークンなどから得られる「所持情報」、顔や指紋、声紋、虹彩(目の膜)のような身体的な情報である「生体情報」の3つの要素の中から2つ以上を組み合わせて本人認証を行います。
例えば特定のデータに外部からアクセスするには、「ID/パスワード入力後に従業員が所持しているトークンからワンタイムパスワードを取得し、入力することでログインできるようにする」といった一連の流れが多要素認証システムです。
通常の認証システムよりも複雑であり、本人以外の認証が難しいため、セキュリティ対策を強化するのであれば、オススメのシステムです。
セキュリティが万全なインターネット回線を使う
ウイルスの侵入経路でもあるインターネット回線は、オフィスであれば対策できますが、外部環境にまで徹底して対策するのは難しいという課題があります。
不特定多数がアクセスするインターネットの中で安心・安全に使用するには通信を暗号化し、リモートでも社内ネットワークにアクセスできるVPNを活用するのが良いでしょう。
VPNは「Virtual Private Network」の略で、「仮想専用線」と呼ばれています。
VPNを導入するとインターネットトラフィックが暗号化されるため「公衆Wi-Fiの利用」や「ブラウジング中」の時にVPN接続をすることで、オンラインでの追跡を防ぎ、セキュリティ対策が行えます。
データ盗聴者から自身のデータを隠せるため、テレワークのように会社が用意した回線以外の回線を使用する場合でも、安心して業務に取り組めるようになります。
VPNを活用すればレンタルオフィスやシェアオフィスを活用した「テレワーク用のオフィスづくり」もすぐに取り組めるようになります。
また、セキュリティソフトやクラウドセキュリティサービスの中にはVPNがサービスとして付属しているケースもあります。
人によるセキュリティ対策
ガイドラインを定め、セキュリティ対策の技術を導入したとしても、物理的に防ぎ用がないシーンは多々あります。
情報を扱う「人」によるセキュリティへの意識がリスク回避に大きく影響を与えるため、企業はテレワークを行う人のセキュリティ対策は不可欠です。
セキュリティ対策の意識を高める教育・啓発活動
ガイドライン・ルールを策定し、セキュリティソフトやツール、システムを導入したら、次は「利用する従業員に向けた教育・啓発活動」を行いましょう。
定期的にセキュリティ対策に関する研修を定期的に開催することで従業員の意識を上げましょう。
特に紙媒体の取り扱いに関する教育はデータと異なり個人の意識に委ねられるため重要度が非常に高いです。
また、定期的にセキュリティガイドラインやシステム利用のルールに則った活動ができているかチェックをするのもオススメです。
セキュリティリスクを従業員全員が意識することで、セキュリティ対策に対する重要度を組織全体で高め、リスクを極限まで減らしましょう。
安全に業務へ取り組める場所の確保
自宅でテレワークを行うのが難しい方は少なくなく、実際にテレワークを導入した企業の課題として「従業員によって労働環境に差がある」ことが挙げられます。
これらの課題は一朝一夕で解決できるものではなく、改善するのが難しいケースは珍しくありません。
そこで、注目を集めているのがレンタルオフィスを活用したサテライトオフィスやテレワーク専用オフィスを作り、誰でもテレワークを行える環境を会社から提供する環境づくりです。
レンタルオフィスであれば「安心して仕事ができる環境」「個室のため情報漏洩のリスクが少ない」「外部持ち出しのリスクを減らせる」「通勤にかかるコストを減らせる」「低コストでオフィス機能が揃う」といったテレワークの課題を解決できる環境が揃っています。
また、仕事場を外部に作り運営することで、コミュニケーションの活性化が起こり、ルール・人・技術でのセキュリティ対策を浸透させやすい点も大きな特徴です。
