テレワークのセキュリティ対策にはルールが重要。ケース別対策も紹介

公開日:
2021.02.08
 / 
最終更新日:
2021.02.08

テレワークにはセキュリティ対策が不可欠です。万全のシステムが確立されていなければ、情報漏えいやウイルス感染のリスクにさらされてしまうでしょう。セキュリティルールの重要性や、ケース別のセキュリティ対策について解説します。

テレワーク導入になぜセキュリティルールが必要か


近年導入企業が増えているテレワークには、情報漏えいやウイルス感染などのリスクを軽減するためのセキュリティ対策が必須です。
テレワークの基礎知識や、セキュリティ対策における総務省の取り組み、ルール設定の必要性について解説します。

新型コロナ拡大でテレワーク導入企業が急増

テレワークとは、情報通信技術(ICT)の利用により、時間・場所を有効活用できる多様な働き方のことです。

企業の競争力強化・労働形態の改革・事業継続の向上・ワークライフバランスの実現など、テレワークの普及は企業や社会に多くのメリットをもたらすことが期待されています。

特に、新型コロナウイルスの感染拡大で、2020年4月に緊急事態宣言が発令されたことをきっかけに、テレワークを導入する企業が急増しています。

これからテレワークを導入・推進しようとしている企業の担当者は、経営資源を無駄にしないよう、きちんとした対策を練っておくことが重要です。

テレワークの種類

雇用型テレワークは、勤務者が働く場所により、在宅勤務・サテライトオフィス勤務・モバイルワークの3種類に大別できます。

在宅勤務は自宅利用型テレワークとも呼ばれ、勤務者が自宅でPC端末などを使って作業する働き方です。通勤コストを削減できるメリットがあります。

サテライトオフィス勤務は、職場以外のオフィススペースで業務を行う働き方です。都市企業が地方にサテライトを置き、現地の優秀な人材を雇用する方法としてよく利用されます。

取引先・顧客先・出張先・移動中に、モバイル端末を用いて作業する働き方がモバイルワークです。営業・SE・サポートサービスなどの顧客対応業務に向いています。

情報漏えいやウイルス感染の恐れ

導入企業が急増しているテレワークは、企業にとってさまざまなメリットがある一方で、セキュリティ面でのリスクを多分に含んでいる側面もあります。

総務省が実施した『テレワークセキュリティに関する実態調査』でも、テレワークを導入しない理由として、業務都合の理由以外ではセキュリティに関する懸念がトップです。

実際の現場でも、情報漏えいやウイルス感染など、さまざまなタイプのセキュリティ被害が発生しています。

被害の程度によっては、企業が社会的な責任を問われることにもなりかねません。セキュリティの確保は、テレワーク導入を検討している企業にとっての上位課題と言えます。

総務省|テレワークセキュリティに係る実態調査

総務省がセキュリティガイドラインを作成

セキュリティへの不安から導入を躊躇している企業の担当者へ向けて、総務省は『テレワークセキュリティガイドライン』を作成・公開しています。

このガイドラインは、情報漏えいやウイルス感染などのリスクを恐れている企業でも、安心してテレワークを導入できるような指針を示している資料です。

ガイドラインでは、情報セキュリティ対策に関し、『ルール』『システム』『人』のバランスを保つ必要性が解説されています。中でも、ルール設定は、セキュリティ対策における重要な要素です。

業務の進め方をルールとして設定しておけば、勤務者はルールに従うことだけを意識すればよいため、安全に作業を進められます。

総務省|テレワークセキュリティガイドライン(第4版)

テレワークにより起こりうるセキュリティリスク


テレワークには、情報漏えいやウイルス感染などのリスクが常に伴います。発生のメカニズムや予想される被害について解説します。

公共Wi-Fiやクラウドサービスからの情報漏えい

サテライトオフィスや自宅以外で端末を使う場合、通信回線として公共Wi-Fiを使うケースも多いでしょう。公共Wi-Fiはセキュリティが万全でないため、通信内容が抜き出される恐れがあります。

インターネット上にデータを保存できるクラウドサービスの利用も、情報漏えいが発生する原因の一つです。サービス管理者により対策は施されているものの、利用者自身の管理意識が低ければ、比較的簡単に情報を抜かれてしまいます。

情報漏えいを引き起こしてしまうと、経済的損失に加え、企業としての信頼やイメージを損なう可能性があります。業務停止や賠償問題に発展するケースもあるでしょう。

コンピューターウイルス感染の懸念

テレワークでは、インターネット回線を利用する機会が増加します。インターネットの利用で懸念されるのが、PC端末のコンピューターウイルス感染です。

マルウェアとも呼ばれる不正ソフトウェアに感染すると、PC内のデータが消失したり、PC自体が破壊されたりする恐れがあります。

インターネットでのWebサイト閲覧やクラウドサービスへのアクセスを行うだけで、マルウェアの侵入を許してしまう可能性も否定できません。

データの消失やPCの破損は、業務の遅滞や無駄な費用の発生など、企業にとってさまざまな悪影響を及ぼすでしょう。

『ルール』『システム』『人』のセキュリティ対策が必要

総務省のガイドラインでは、ルール・システム・人のバランスを保つことが、セキュリティ対策にとって重要であると示されています。それぞれの要素を必要な水準まで高めるポイントを解説します。

基本指針となる『ルール』

テレワークを進める上で発生するセキュリティ問題に対しては、専門的な知識や経験が必要であり、その都度対応するやり方は非効率です。

基本指針となるルールを決めておけば、業務に携わる人がルールに従うだけで、テレワークの安全性を確保できるでしょう。

ルールの策定にあたっては、最初に自社のセキュリティガイドラインを作成します。セキュリティガイドラインとは、基本方針・対策基準・実施手順を明文化したものです。
次に、実践的なセキュリティルールと情報管理ルールを策定します。ガイドラインとルールを従業員が遵守できるよう、環境をきちんと整えておくことも重要です。

テレワークの安全性を担保する『技術』

情報セキュリティ対策においては、システムの安全性を確保する技術の対策が不可欠です。具体的には、『データの暗号化』『ウイルスソフトの導入』『安全性の高い回線の使用』が求められます。

データの暗号化は、端末を社外に持ち出す場合に必要な対策の一つです。インターネット回線を利用する全ての端末やサーバーには、ウイルスソフトを入れなければなりません。

安全な回線を利用するためには、インターネット以外のネットワークをセキュリティ面で強固にする必要があるでしょう。

ほかにも、重要機密へのアクセスを制限したり、強固な承認システムを導入したりするなどの対策が考えられます。

テレワークに従事する『人』

セキュリティ対策における従業員への対策は、最も重要かつ困難な対策と言えます。ルールを守らせると同時に、情報セキュリティリテラシーのレベルを向上させることが重要です。

ルールの遵守については、ルールを周知徹底した上で、管理者による監視体制を整える必要があるでしょう。

リテラシーレベルを向上させるためには、研修やトレーニングの場で情報セキュリティの意味や重要性を説き、一人一人の意識を高めなければなりません。また、セキュリティ教育は一度行えばよいというわけではなく、セキュリティリスクに関するトレンドや事例をに合わせて定期的に行うことが重要です。

IT系のセキュリティだけでなく、物理的なセキュリティ対策も重要です。例えば、社外に機器類、機密書類などを持ち出す場合は、万が一の紛失時の対策を講じる必要があります。例えば会社でクラウドシステムを使用している場合は、機器や端末側にデータが保存されるか、保存される場合は暗号化がされるか、また、紛失時に管理者がパスワードを遠隔で無効にできるかなどを確認しておくとよいでしょう。

ケース別のテレワークセキュリティ対策

雇用型テレワークでは、さまざまな形態で業務に取り組めます。主な働き方におけるセキュリティ対策を押さえておきましょう。

PC端末を持ち帰るケース

会社のPC端末を持ち帰れば、会社で行っていた直後の状態から業務を開始できます。会社が端末自体のセキュリティ対策を取りやすく、端末間でデータの移動を行う必要がないので、スムーズに作業を進められることがメリットです。

PC端末を持ち帰る際は、利用回線が変わることに注意しなければなりません。セキュリティ対策が万全な社内ネットワークから、自宅ので使っているパスワード認証のないインターネット回線に変わると、ウイルス感染する恐れがあります。公開された無償のインターネット回線を使わないなどのルールも策定しておきましょう。

このような状況では、会社がテレワーク用にWifi機器を貸与または指定のWifi環境を提供するか、VPN(Virtual Private Network)と呼ばれるネットワークを使うと安心です。インターネット回線を利用しながら、仮想のプライベートネットワークを構築できるVPNなら、社内ネットワークのような利便性や安全性を確保できます。

リモートデスクトップや仮想デスクトップのケース

リモートデスクトップとは、テレワーク端末から会社のPC端末を遠隔操作する技術です。また、会社のサーバーに仮想PCを見立てて遠隔操作する技術を、仮想デスクトップと言います。

自宅のPCや手持ちのタブレットなど、既存の端末で操作できることが魅力です。主に在宅勤務で採用されています。

どちらの技術も、テレワークを行う端末側にデータを保存しなくて済むため、テレワーク端末のセキュリティレベルを上げる必要が無く、会社貸与の機器を配布できない場合に有効です。

ただし、システム管理者側で会社のPC端末やサーバー、社内ネットワークのセキュリティ対策は、きちんと施しておく必要があります。

クラウド型アプリケーションを使うケース

インターネット上のクラウドサーバーにあるアプリケーションを利用すれば、どこにいても同じ環境で作業できます。

クラウド型アプリケーションは、端末のブラウザを操作するタイプが主流です。作成したデータもクラウド上に保存され、基本的にテレワーク端末側には保存できません。アプリケーションをインストールしてクラウドにアクセスするパターンのクラウドサービスもあり、その場合は操作性や利便性が向上するメリットがありますが、端末側にデータがむやみに同期されないことや残るデータが暗号化されているかは確認しましょう。

保存したデータに対するセキュリティは、クラウドサービスの提供側のセキュリティポリシーや体制に依存します。しっかりとした管理体制のサービスを選べば、情報の機密性を高められることがメリットですが、利用者のパスワード管理などは意識を高いレベルで保つことも求められます。また、会社が許可していないクラウドサービスは使用を禁止したり、業務で必要となったクラウドサービス導入時の申請方法やチェック項目などのルールを決めておくことも大切です。

コンテナ化するケースも拡大

テレワーク端末のホストOS上に、『コンテナ』と呼ばれる仮想環境を作成し、コンテナ内で作業する『アプリケーションラッピング方式』の導入も増えています。

コンテナは、テレワーク端末にインストールされているOSやアプリケーションで動き、コンテナとローカル環境は独立しており、相互アクセスできません。

仮にテレワーク端末がウイルス感染しても、コンテナ側で作成したデータには影響しないことがメリットです。

まとめ

テレワークには情報セキュリティ対策が欠かせません。セキュリティリスクへの対策を行った安全な業務環境を目指すためには、技術だけではなく、ルール・システム・人のバランスを保つことが重要です

セキュリティルールの必要性や具体的な対策例を理解し、安心してテレワークを導入できる環境を整えましょう。