法律事務所や企業でテレワーク導入を検討した際、気になるのがセキュリティ面の問題ではないでしょうか。
引用元;情報通信白書平成29年版|総務省
個人情報や機密性の高い情報を扱う場合には、おいそれと従業員にテレワークを認めるわけにはいきませんよね。
ですが、経営面においては、テレワーク導入による業務効率の改善や従業員満足度の上昇も、気になるところではあるかと思います。
確かに、テレワークにセキュリティの面でリスクがあるのは否めませんが、きちんと対策をすれば被害を最小限に抑えることが可能です。
また、オフィス内で仕事をするからといって、セキュリティの問題がゼロになるわけではありません。
であれば、テレワーク導入を機にセキュリティ対策を見直し、より一層安全な体制づくりを目指してみてはいかがでしょうか。
この記事では、テレワークに潜むセキュリティ上の危険や安全に実施するための対策・ツール、導入で困った際の相談先などを解説します。
目次
テレワーク時に潜む5つのセキュリティに関する危険
テレワーク時に発生する可能性がある主なセキュリティに関するリスクは以下の通り。
- ・迷惑メールに添付されたファイル・URLを開いてしまう
- ・外での作業中に画面を盗み見される
- ・外出先でオンライン会議を行い機密が漏れる
- ・設定ミスによる機密ファイルの漏洩
- ・公衆無線LANにみせた偽のアクセスポイントを利用してしまう
万が一情報漏えいが起きた場合、うっかりでは済まされないのでしっかりと確認しておきましょう。
迷惑メールに添付されたファイル・URLを開いてしまう
テレワークでの業務に切り替わると、外部とのやり取りにメールを使用する機会が多くることから、迷惑メールをうっかりと開いてしまうリスクが高くなります。
迷惑メールを開封しただけであれば、そこまで心配する必要はないですが、問題なのは添付されたファイル・URLを開いてしまうこと。
添付されたファイルやURLにウイルスが仕込まれており、クリックしたことで感染し、大切な情報が盗まれてしまうかもしれません。
最近では、WEB会議システムの招待メールを装ったものも存在するようです。
身に覚えがないアドレスからのメールは開かないことを徹底しましょう。
参考:
外での作業中に画面を盗み見される
テレワーク時に自宅だと集中できないからといって、カフェやシェアオフィス、電車内などの公共スペースで作業をする人もしばしば。
作業に集中できれば、どこで仕事をしてもよさそうに思えますが、外での作業は誰かに画面や入力模様を盗み見られるリスクがあります。
「ソーシャルエンジニアリング」というIDやパスワードなどの重要な情報を盗み出す手法の一つ。肩越しから画面を覗き見る様からショルダーハックと呼ばれています。
外での作業は重要な情報が盗み見されるリスクだけではありません。
画面内容や貸出端末から社名が判明し、セキュリティ対策がお粗末な企業と知られてしまう点でも注意が必要です。
カフェで仕事してる人は結構見かけるけど、あれって結構セキュリティ甘く考えてたりするよね。ウィルスソフト云々じゃなくて、目視で知らん人たちが情報見られる状況だし。
— しゅんみょ(手洗い推奨 (@syunmyo) May 25, 2019
https://twitter.com/Heesey_Smile/status/1174872424325636097?s=20
外出先でオンライン会議を行い機密が漏れる
前述した画面の盗み見と同様に、カフェやシェアオフィスなどからオンライン会議に参加する人もいますが、これもセキュリティ的に問題アリな行動です。
自分では気を遣って小さくしているつもりでも、電話会議では声のボリュームが大きくなりがち。
会議に集中すればするほど声が大きくなり、機密情報をうっかり口にしやすくなります。
https://twitter.com/pinky_jp/status/1152007202204336128?s=20
そのへんのチェーン店のカフェの電源席でweb会議しているひとに両隣を挟まれながらお茶飲む羽目になることが結構あるので今さらWi-Fiのセキュリティとか言われても(会話筒抜け)
— wordcage (@wordcage) March 16, 2020
設定ミスによる機密ファイルの漏洩
設定ミスによる機密ファイルの漏洩も、テレワークの際には気をつけておきたいところです。
- ・ネットワークプロファイルの設定
- ・クラウドストレージサービス利用時のファイル共有設定
上記2つの設定でミスをすると、機密ファイルが漏えいのリスクが非常に高まるため、細心の注意を払う必要があります。
ネットワークプロファイルの設定
WINDOWSユーザーは公衆無線LANを利用する際、ネットワークプロファイルの設定に気をつけましょう。ネットワークプロファイルには「プライベート」と「パブリック」2種類の設定があり、公衆無線LAN利用時は「パブリック」を選択して下さい。
プライベートとパブリックの違いは、同じネットワークにつながる他のPCとファイルの共有できるかどうかです。
- プライベート…同じネットワーク上のPCとファイルの共有が可能
- パブリック…同じネットワーク上のPCとファイルの共有不可
仮にプライベート設定で公衆無線LANに繋いでしまうと、その無線LANの利用者全員が社員端末のパブリックフォルダの閲覧が可能となってしまいます。
なお、MACの場合はシステム環境の共有パネルから、各サービスのチェックを外しましょう
クラウドストレージサービス利用時のファイル共有設定
テレワーク時は、クラウドサービス上でデータやファイルのやり取りをすることが多いかと思います。
その際に注意したいのがファイルの共有設定。
公開範囲の設定を誤ってしまうと、該当URLを知っている人は誰でもフォルダ・ファイルにアクセスが可能となってしまいます。
公衆無線LANにみせた偽のアクセスポイントを利用してしまう
公共無線LANを利用する場合は、アクセスポイントのなりすましによる被害にも注意が必要です。アクセスポイントの名称(SSID)とパスワードは、設定により変更することができます。
ということは、悪意を持つ人が公衆無線LANと同じ名称・パスワードのアクセスポイントを用意することも可能なわけです。
同じ名称・パスワードなので利用者が真偽を判断するのは難しく、万が一、偽物のアクセスポイントに繋いでしまった場合は、端末にある情報すべてを抜き取られてしまうかもしれません。
テレワークを安全に行うために取るべきセキュリティ対策とは
テレワークを自社に導入する際には、最低でも以下のセキュリティ対策は行っておきたいところです。
- ・情報セキュリティポリシーを作成する
- ・実務的なルールの取り決めを行う
- ・テレワークで使用する端末にセキュリティソフトを導入する
- ・従業員に対する研修を定期的に行う
- ・自社の状況に合わせたテレワーク方式を採用する
それぞれどのような趣旨で行う必要があるのか確認しておきましょう。
情報セキュリティポリシーを作成する
それなりの数の従業員が在籍している場合には、情報セキュリティポリシーを作成しておいたほうがよいでしょう。情報セキュリティに関する対策は、従業員それぞれの管理意識に任せておくような問題ではありません。
組織として適切に情報を管理するために、所属する従業員全員が情報セキュリティに関する意識を高く持つことが大切です。
また、形だけ整えたセキュリティポリシーを用意しても意味はなく、企業規模や業務形態、やシステムの構成などを踏まえた上で、自社に適したものを作成する必要があります。
実務的なルールの取り決めを行う
従業員によってテレワーク時のセキュリティに関する対応が異ならないように、実務におけるルール作りも必要となります。
というのも、情報漏えいの原因の多くが人為的ミスによるものです。
特にテレワークだと、人為的なミスに対するチェックが行き届かない場合が多いといえます。
とはいえ、いちいち確認を取りつつ、作業を進めるようでは効率が悪く、テレワーク導入の意味がありません。
であれば、テレワーク時にやってはいけない行動・取るべき行動をルールとして明確にすることで、業務効率を落とすことなく、セキュリティ対策を施すことが可能となります。
テレワークで使用する端末にセキュリティソフトを導入する
テレワークで利用する端末には、セキュリティソフトの導入は必須です。
ウェブサイトの中には、閲覧だけでマルウェアやウイルスに感染してしまうような危険なサイトも少なくありません。
また取引先のPCがウイルスに感染している可能性もあります。
どこに危険が潜んでいるかわからない以上、端末のセキュリティ状態を万全にしておくことは当然といえます。
もちろん、ただセキュリティソフトを導入すれば安全という話ではなく、ソフトのアップデートを怠らない、疑わしいサイトを閲覧しないなど、従業員個々の意識的な行動も大切です。
従業員に対する研修を定期的に行う
従業員にセキュリティに関する意識を高く持ってもらうためには、定期的な教育活動が欠かせません。
導入直後はルールをしっかりと守っていても、時間が経つにつれて、気持ちにゆるみが出てきてしまうのは、ある意味当然のことです。
ですが、当然だからといって放置するわけにはいきません。
従業員の気持ちを引き締めるためにも、研修等の教育活動を定期的に行うことが大切です。
自社の状況に合わせたテレワーク方式を採用する
テレワークと一言にいっても、導入・運用の仕方はさまざまです。
企業規模や業務形態、扱う情報などを踏まえた上で、自社にあったテレワーク方式を採用し、環境構築する必要があります。
【テレワークの方式6つ】
- リモートデスクトップ方式
- 仮想デスクトップ方式
- クラウド型アプリ方式
- セキュアブラウザ方式
- アプリケーションラッピング方式
- 会社PCの持ち帰り
上記のうち、①~⑤の方式では、テレワーク端末に電子データを保存せずに作業が行えるため、情報漏えいのリスクが少ないですが、環境構築にコストがかかります。
他方、会社PCの持ち帰りによるテレワークは端末さえあれば、すぐにでも実施が可能ですが、盗難・紛失等による情報漏えいリスクが高いことから安全性は低めです。
安全性が高いに越したことはありませんが、その分コストも高くなるため、自社の状況に合わせてテレワーク環境を構築し、具体的なセキュリティ対策の取り決めを行いましょう。
テレワークのセキュリティに関して困ったときの相談先
もしテレワークのセキュリティ問題に関して困った場合には、公的機関が運営する相談窓口を利用するとよいでしょう。
公的機関運営の相談窓口は以下の3つ。
- テレワーク相談センター(全国対象)
- 東京テレワーク推進センター(都内にある企業が対象)
- 情報セキュリティ安心相談窓口|情報処理推進機構(実際にウイルス・不正アクセス被害に合った企業向け)
また、民間企業の中にもテレワークに関する相談窓口を設けているところがあります。
【民間企業】
ただし、基本的にはこれからテレワークを導入しようと考えている企業が対象ですので、注意してください。
自社のテレワークセキュリティに問題がないかチェックする際のポイント
テレワークに関するセキュリティ対策を行う場合、実施漏れがないようチェックしながら行うことが大切です。
【テレワークのセキュリティ対策に問題がないかチェックするポイント】
- ・情報セキュリティポリシーを作成した
- ・テレワーク実施時の運用ルールを設けている
- ・問題発生時における対応の手順が定められている
- ・テレワーク端末にセキュリティソフトが導入されている
- ・テレワーク端末のOSが最新の状態になっている
- ・定期的にテレワークのセキュリティに関する研修を行っている
- ・推測が容易なパスワードを利用していない
上記のチェックポイントは、あくまでも主な項目を列挙しただけのものです。
より具体的な確認をしたい場合は、総務省の「テレワークセキュリティガイドライン(第4版)」と「セキュリティ対策のポイント」を参考にしてください。
まとめ
自社にテレワークを導入するのであれば、セキュリティ対策は必要不可欠。
セキュリティソフトの導入はもちろん、テレワーク環境の構築も重要ですが、最も大事なのが人為的なミスを起こさない体制づくりをすることです。
基本的に情報漏えいの多くは人為的ミスが原因で起こっています。テレワークで扱う端末やシステムに制限をかけることで防ぎやすくなりますが、その分コストや知識が必要となるため、どこの企業でもできる対応ではありません。
そのため、まずはテレワーク時における実務的なルール作りや従業員への情報セキュリティ教育など、できることからやっていくとよいでしょう。
どれだけセキュリティ対策を実施しても、情報漏えいのリスクをゼロにはできません。リスクを最小限に抑えつつ、就業員が最も効率良く働ける体制づくりすることが大切です。
-
-
-
-
-
-
記事タイトルとURLをコピーする
