テレワークのセキュリティルールはどう作る?総務省ガイドラインを基に徹底解説
- 公開日:
- 更新日:
目次
テレワークにはセキュリティ対策が不可欠です。万全のシステムが確立されていなければ、情報漏洩やウイルス感染のリスクにさらされてしまうでしょう。セキュリティルールの重要性や、ケース別のセキュリティ対策について解説します。
テレワーク導入になぜセキュリティルールが必要か
近年導入企業が増えているテレワークには、情報漏洩やウイルス感染などのリスクを軽減するためのセキュリティ対策が必須です。テレワークの基礎知識や、セキュリティ対策における総務省の取り組み、ルール設定の必要性について解説します。
新型コロナ拡大でテレワーク導入企業が急増
テレワークとは、情報通信技術(ICT)の利用により、時間・場所を有効活用できる多様な働き方のことです。企業の競争力強化・労働形態の改革・事業継続の向上・ワークライフバランスの実現など、テレワークの普及は企業や社会に多くのメリットをもたらすことが期待されています。
特に、新型コロナウイルスの感染拡大で、2020年4月に緊急事態宣言が発令されたことをきっかけに、テレワークを導入する企業が急増しました。これからテレワークを導入・推進しようとしている企業の担当者は、経営資源を無駄にしないよう、きちんとした対策を練っておくことが重要です。
テレワークの種類
雇用型テレワークは、勤務者が働く場所により、在宅勤務・サテライトオフィス勤務・モバイルワークの3種類に大別できます。在宅勤務は自宅利用型テレワークとも呼ばれ、勤務者が自宅でPC端末などを使って作業する働き方です。
通勤コストを削減できるメリットがあります。サテライトオフィス勤務は、職場以外のオフィススペースで業務を行う働き方です。都市企業が地方にサテライトを置き、現地の優秀な人材を雇用する方法としてよく利用されます。取引先・顧客先・出張先・移動中に、モバイル端末を用いて作業する働き方がモバイルワークです。営業・SE・サポートサービスなどの顧客対応業務に向いています。
情報漏洩やウイルス感染の恐れ
導入企業が急増しているテレワークは、企業にとってさまざまなメリットがある一方で、セキュリティ面でのリスクを多分に含んでいる側面もあります。総務省が実施した『テレワークセキュリティに関する実態調査』でも、テレワークを導入しない理由として、業務都合の理由以外ではセキュリティに関する懸念がトップです。
実際の現場でも、情報漏洩やウイルス感染など、さまざまなタイプのセキュリティ被害が発生しています。被害の程度によっては、企業が社会的な責任を問われることにもなりかねません。セキュリティの確保は、テレワーク導入を検討している企業にとっての上位課題と言えます。
総務省がセキュリティガイドラインを作成
セキュリティへの不安から導入を躊躇している企業の担当者へ向けて、総務省は『テレワークセキュリティガイドライン』を作成・公開しています。このガイドラインは、情報漏洩やウイルス感染などのリスクを恐れている企業でも、安心してテレワークを導入できるような指針を示している資料です。
ガイドラインでは、情報セキュリティ対策に関し、『ルール』『システム』『人』のバランスを保つ必要性が解説されています。中でも、ルール設定は、セキュリティ対策における重要な要素です。業務の進め方をルールとして設定しておけば、勤務者はルールに従うことだけを意識すればよいため、安全に作業を進められます。
テレワークにより起こりうるセキュリティリスク
テレワークには、情報漏洩やウイルス感染などのリスクが常に伴います。発生のメカニズムや予想される被害について解説します。
公共Wi-Fiやクラウドサービスからの情報漏洩
サテライトオフィスや自宅以外で端末を使う場合、通信回線として公共Wi-Fiを使うケースも多いでしょう。公共Wi-Fiはセキュリティが万全でないため、通信内容が抜き出される恐れがあります。インターネット上にデータを保存できるクラウドサービスの利用も、情報漏洩が発生する原因の一つです。
サービス管理者により対策は施されているものの、利用者自身の管理意識が低ければ、比較的簡単に情報を抜かれてしまいます。情報漏洩を引き起こしてしまうと、経済的損失に加え、企業としての信頼やイメージを損なう可能性があります。業務停止や賠償問題に発展するケースもあるでしょう。
コンピューターウイルス感染の懸念
テレワークでは、インターネット回線を利用する機会が増加します。インターネットの利用で懸念されるのが、PC端末のコンピューターウイルス感染です。マルウェアとも呼ばれる不正ソフトウェアに感染すると、PC内のデータが消失したり、PC自体が破壊されたりする恐れがあります。
インターネットでのWebサイト閲覧やクラウドサービスへのアクセスを行うだけで、マルウェアの侵入を許してしまう可能性も否定できません。データの消失やPCの破損は、業務の遅滞や無駄な費用の発生など、企業にとってさまざまな悪影響を及ぼすでしょう。
端末の紛失・盗難による情報漏洩
テレワークでは、ノートPCやスマートフォン、USBメモリなどのデバイスを社外に持ち出して業務を行う機会が必然的に増えます。通勤中の電車やカフェ、出張先などで、これらのデバイスを紛失したり、盗難に遭ったりするリスクは常に付きまといます。
デバイス内に重要な顧客情報や機密情報が保存されていた場合、その漏洩は企業の信用を著しく損なうだけでなく、多額の損害賠償につながる可能性もあります。
認証情報の流出
テレワーク環境において特に警戒すべきリスクの一つが、IDやパスワードといった「認証情報」の流出です。オフィス勤務であれば社内ネットワーク内での認証が主でしたが、テレワークではVPN装置やクラウドサービス、Web会議システムなど、インターネット経由でログインする機会が格段に増えます。攻撃者はこの接点を狙い、フィッシングメールを用いて偽のログイン画面に誘導したり、VPN機器の脆弱性を突いたりして認証情報を盗み出そうと画策します。
一度認証情報が流出してしまうと、攻撃者は正規の利用者になりすまして社内システムへ堂々と侵入します。これを許せば、機密情報の持ち出しやランサムウェアの展開といった致命的な被害に直結しかねません。また、従業員が複数のサービスでパスワードを使い回している場合、一箇所のサービスから漏れた情報を使って他の業務システムへ不正ログインを試みる「パスワードリスト攻撃」の餌食になる危険性も高まります。
したがって、多要素認証の導入や複雑なパスワードの設定といった、認証そのものを強化する対策が不可欠です。
家族や同居人による「のぞき見」
自宅での業務中、PCの画面を家族や同居人に見られてしまう「のぞき見(ショルダーハック)」も、テレワーク特有のリスクです。本人に悪気はなくても、画面に表示されていた機密情報や個人情報が意図せず漏れてしまう可能性があります。また、ウェブ会議中に機密情報に関する会話が聞こえてしまう、印刷した重要書類をテーブルに置いたまま離席してしまう、といったケースも想定されます。
『ルール』『システム』『人』のセキュリティ対策が必要
総務省のガイドラインでは、ルール・システム・人のバランスを保つことが、セキュリティ対策にとって重要であると示されています。それぞれの要素を必要な水準まで高めるポイントを解説します。
基本指針となる『ルール』
テレワークでは、想定されるセキュリティリスクが多岐にわたるため、問題が起きるたびに個別対応するのは現実的ではありません。そのため、あらかじめ基本方針となるルールを定め、従業員が判断に迷わず行動できる状態を作ることが重要です。
まず、自社のセキュリティガイドラインを作成します。
ガイドラインでは、情報セキュリティに関する基本方針、対策基準、実施手順を明文化します。そのうえで、「持ち出してよい情報・端末の範囲」「クラウドサービス利用時のルール」「社外ネットワーク接続時の注意点」など、日常業務で守るべき具体的なルールを定めます。
ルールを形だけにしないためにも、従業員が自然に遵守できる環境整備まで含めて設計することが重要です。
テレワークの安全性を担保する『技術』
情報セキュリティ対策においては、システムの安全性を確保する技術の対策が不可欠です。具体的には、『データの暗号化』『ウイルスソフトの導入』『安全性の高い回線の使用』が求められます。データの暗号化は、端末を社外に持ち出す場合に必要な対策の一つです。
インターネット回線を利用する全ての端末やサーバーには、ウイルスソフトを入れなければなりません。安全な回線を利用するためには、インターネット以外のネットワークをセキュリティ面で強固にする必要があるでしょう。ほかにも、重要機密へのアクセスを制限したり、強固な承認システムを導入したりするなどの対策が考えられます。
テレワークに従事する『人』
セキュリティ対策の中でも、従業員への対策は最も重要であり、同時に難易度が高い要素です。ルールやシステムを整備しても、最終的に運用するのは「人」であるため、情報セキュリティに対する意識と行動が結果を左右します。
まず、ルールを周知したうえで、管理者による確認・監視体制を整えることが重要です。
あわせて、研修やトレーニングを通じて、なぜそのルールが必要なのか、守らないとどのようなリスクがあるのかを具体的に伝えます。セキュリティ教育は一度きりではなく、最新の脅威や実際の事故例を踏まえて定期的に実施することが効果的です。
IT面だけでなく、端末や書類の紛失・盗難といった物理的なセキュリティ対策も欠かせません。クラウドシステムを利用する場合は、端末側にデータが保存されるかどうか、保存される場合は暗号化されているか、紛失時に管理者が遠隔で利用を停止できるかといった点を事前に確認しておくと安心です。
ケース別のテレワークセキュリティ対策
雇用型テレワークでは、業務の進め方や利用する仕組みによって、注意すべきセキュリティポイントが異なります。ここでは、代表的なテレワーク形態ごとに、押さえておきたいセキュリティ対策を整理します。
PC端末を持ち帰るケース
会社のPC端末を持ち帰ることで、オフィスと同じ環境から業務を開始できる点は大きなメリットです。端末自体のセキュリティ対策を会社側で統一でき、端末間でのデータ移動も不要なため、作業をスムーズに進められます。
一方で注意すべきなのが、利用するネットワーク環境の変化です。
セキュリティ対策が施された社内ネットワークから、自宅のインターネット回線やパスワード認証のないWi-Fiへ切り替わることで、ウイルス感染や不正アクセスのリスクが高まります。
そのため、公開Wi-Fiの利用禁止などのルールを定めるとともに、会社貸与のWi-Fi機器やVPN(Virtual Private Network)を利用することが有効です。
VPNを利用すれば、インターネット回線上に仮想的なプライベートネットワークを構築でき、社内ネットワークに近い安全性と利便性を確保できます。
また、社外から業務を行う場合でも、ファイル操作や権限管理を従来と同じ感覚で行える環境を整えることが重要です。
たとえば FileforceのようにWindowsエクスプローラーから直接ファイルにアクセスできるクラウドストレージであれば、特別なユーザー教育を行わずに、安全なテレワーク環境を構築できます。
操作性と安全性を両立した仕組みについては、Fileforceの特長をご確認ください。
リモートデスクトップや仮想デスクトップのケース
リモートデスクトップとは、テレワーク端末から会社のPC端末を遠隔操作する技術です。また、会社のサーバーに仮想PCを見立てて遠隔操作する技術を、仮想デスクトップと言います。自宅のPCや手持ちのタブレットなど、既存の端末で操作できることが魅力です。主に在宅勤務で採用されています。
どちらの技術も、テレワークを行う端末側にデータを保存しなくて済むため、テレワーク端末のセキュリティレベルを上げる必要が無く、会社貸与の機器を配布できない場合に有効です。ただし、システム管理者側で会社のPC端末やサーバー、社内ネットワークのセキュリティ対策は、きちんと施しておく必要があります。
クラウド型アプリケーションを使うケース
クラウドサーバー上のアプリケーションを利用すれば、場所を問わず同じ環境で業務を行えます。多くはブラウザベースで利用され、作成したデータもクラウド上に保存されるため、端末側にデータが残りにくい点が特徴です。
一方、アプリケーションをインストールして利用するタイプのクラウドサービスでは、操作性や利便性が向上する反面、端末側にデータが同期されないか、保存される場合は暗号化されているかを確認する必要があります。
クラウドサービスのセキュリティは提供事業者の体制に依存するため、操作ログ管理や権限設定など、法人利用を前提としたセキュリティ機能を備えたサービスを選ぶことが重要です。
こうした要件を満たし、ユーザー数制限なく全社導入できるクラウドストレージであれば、セキュリティと業務効率を全社で担保できます。
Fileforceは、操作ログや権限管理を標準で備えた国産クラウドストレージとして、こうした用途にも適しています。
コンテナ化するケースも拡大
テレワーク端末のホストOS上に、『コンテナ』と呼ばれる仮想環境を作成し、コンテナ内で作業する『アプリケーションラッピング方式』の導入も増えています。コンテナは、テレワーク端末にインストールされているOSやアプリケーションで動き、コンテナとローカル環境は独立しており、相互アクセスできません。仮にテレワーク端末がウイルス感染しても、コンテナ側で作成したデータには影響しないことがメリットです。
まとめ
テレワークには情報セキュリティ対策が欠かせません。セキュリティリスクへの対策を行った安全な業務環境を目指すためには、技術だけではなく、ルール・システム・人のバランスを保つことが重要ですセキュリティルールの必要性や具体的な対策例を理解し、安心してテレワークを導入できる環境を整えましょう。
