目次
新型コロナウイルスに対応するマーケティング戦略とテレワーク導入という特集の中でお送りしている「テレワーク導入に向けたステップ」も今回で3回目となりました。
テレワークの全体像や効果を紹介した第1回、逆に懸念やデメリットに目を向けた第2回。この2記事で、テレワークついて具体的に見えてきたのではないでしょうか。
新型コロナウイルスの影響も、もうほとんどの企業にとって無視できないレベルになってきています。従業員を守るためにも、迅速にテレワーク導入に向けて動いている企業も多いのではないでしょうか。
今回のテーマは、テレワークにおける最大の懸念でもある「セキュリティ対策」についてです。
この記事を読まれている方の中には、新型コロナウイルスの影響、緊急事態宣言を受けて緊急的に導入しようとされている方も多いと思います。そうした場合、今回紹介するようなセキュリティ対策を行うことは難しいでしょう。そんな場合は、できる範囲を取捨選択したうえでいったんテレワークを導入してください。セキュリティ対策はテレワークの重要な課題ですが、現状に応じて何をどこまでやるかは柔軟に考える必要があります。
第1回:テレワークの概要とメリット
第2回:テレワーク導入によくある懸念
第3回:セキュリティとルール策定
第4回:テレワーク導入に必要なツール
第5回:テレワーク導入事例
テレワークとオフィスワークの最大の違い
2018年、総務省が公表した「テレワークの最新動向と総務省の政策展開」という資料の中では、人口減少、高齢化、経済成長率といった要因から、テレワークの必要性を説いています。適切なテレワークの導入は、社会、企業、就業者のそれぞれに様々な効果があり、一億総活躍、女性活躍を推進します。テレワークを導入している企業はしていない企業に比べて、1.6倍も労働生産性が高いという調査結果も報告しています。
事実、ICTの進歩により、テレワークはオフィスで働いているのとほとんど変わらない効率で仕事を進めることができるようになりました。
こう言われると、テレワークを導入しない理由がないように感じますが、やはり一番の懸念がセキュリティです。
しかし、オフィスワークであってもセキュリティは重要な課題であるはずで、様々な対策を講じていると思います。では、テレワークとオフィスワークのセキュリティ対策の一番の違いは何でしょうか。
それは、基本的にすべての仕事がインターネットを通じて行われることと、従業員以外の第三者が立ち入る可能性のある場所で仕事をするということです。
企業が管理する紙文書、電子データ、情報システムなどをまとめて「情報資産」といいますが、基本的にはオフィスの中で管理され、外部からのアクセスは用意ではありません。しかし、テレワークにおいては、こうした情報資産に会社の外からインターネットを通じてアクセスします。
そのため、物理的に隔離されていたり、一律のセキュリティ水準が保たれたオフィス内と異なり、テレワークで利用する端末は紛失や盗難、サイバー攻撃のリスクが高いといえます。
では、具体的なセキュリティ対策の前に、テレワークにおける情報セキュリティの考え方を紹介します。
テレワークにおける情報セキュリティの基本的な考え方
情報セキュリティ対策を行うには、守るべき情報資産が何かを洗い出し、どういった脆弱性やリスクがあるのかを把握する必要があります。その上で、情報の重要度などからレベルを分け、各レベルに対してセキュリティ対策を考えていきます。
情報セキュリティの水準は「最も弱いところが全体のセキュリティレベルになる」といわれ、バケツにたとえられます。せっかく各レベルに応じたセキュリティ対策を講じても、どこかに抜け漏れがあれば、そこが全体のセキュリティ水準になってしまします。
そのため、情報セキュリティを構成する「ルール」「人」「技術(システム)」の3つのすべてを、必要な水準まで高める必要があります。
情報セキュリティを構成する要素① ルール
情報セキュリティ対策を行うとき、都度専門家や上司の意見を仰ぐことは効率的ではありません。特にテレワークのセキュリティ対策においては、小さな判断の連続です。
そのため、情報セキュリティ対策置けるルール、つまり「このように仕事をすればセキュリティ上安全である」というルールを定める必要があります。
ルール策定においては、ルールそのものの完全性に加え、実行しやすさも重要です。あまりにも厳格すぎるルールはかえって仕事効率を下げてしまいます。
また、テレワークに対しては、オフィス内のセキュリティ対策とは異なるルールが必要になることも意識しておきましょう。
情報セキュリティを構成する要素② 人
情報セキュリティ対策において、最も重要で難しい要素が「人」です。ルールを定めても、テレワーク従業員それぞれがルールを守らないと意味がありません。テレワークでは目の届かないところでの仕事が多いため、ルールが守られているかを確認し、定着させる方法も検討する必要があります。
また、より重要なことが個々人の情報セキュリティリテラシーです。ルールで細かいことを定めだしたらきりがありませんし、どうしても限界があります。ルールの意味を理解してもらう必要もあります。そのため、テレワーク従業員それぞれの情報セキュリティリテラシーレベルを上げることも、重要な課題となります。
情報セキュリティを構成する要素③ システム
人やルールでは対策しきれない部分を補完するのがシステム、技術的対策です。例えば、セキュリティ対策ソフトウェアのインストールや、重要機密へのアクセス制限、強固な承認システムなどが該当します。
テレワーク導入では、この3つの要素の情報セキュリティレベルを一定以上にあげる必要があります。たとえ強固な対策システムを用いても、利用する人が適切に利用しなければ意味がありません。逆に人がどれだけセキュリティを意識しても、ルールに抜けがあれば仕事効率が落ち、システムがなければ十分な対策を行うことができません。
テレワークセキュリティの種類
続いて、テレワークの実施方法を紹介します。第1回の記事で「モバイルワーク」「サテライトオフィス勤務」「在宅勤務」という3つのテレワークの形態を初回しましたが、今回紹介するのは、テレワークの実施方法です。
総務省は、「テレワーク端末への電子データの保存の有無」「オフィスで利用する端末との関係」と「クラウドサービスを利用するかどうか」によって、テレワークの実施方法を6種類に分けています。
リモートデスクトップ方式と仮想デスクトップ方式
オフィスに設置されたPC端末を、テレワーク端末から遠隔操作する方式をリモートデスクトップ方式といいます。オフィスに出社すれば普段遠隔操作しているPCと同じものを操作できるため、部分在宅勤務に向いている方法です。
また、オフィスにPCを用意せず、オフィス上のサーバーで仮想デスクトップ環境を構築する方法を仮想デスクトップ方式といいます。この2つは、オフィスに実際のPCを置くかおかないかの違いです。
リモートデスクトップ方式、仮想デスクトップ方式の利点は、実際の業務はすべて社内に用意されたPCまたはサーバー上で行うため、テレワーク端末に情報が保存されないという点です。テレワーク端末のセキュリティ対策に細かな要件を設けなくとも、社内PC、サーバーのセキュリティ対策を徹底しておけば、ある程度のセキュリティ水準が保たれます。
また、今使っているPCを個人のPCからリモートアクセスすればいいため、テレワーク用の端末を新たに用意する必要がないことも利点です。
一方、デメリットとして、すべての操作を遠隔で行うため、インターネットの回線速度に操作性が依存してしまうという点です。テレワーク端末側では仕事を行わないため、PCの性能よりもインターネット環境の整備が重要になります。
クラウド型アプリ方式とセキュアブラウザ方式
クラウドサーバー上のアプリケーションを利用して仕事を行うテレワークの方法を、クラウド型アプリ方式といいます。また、クラウド型アプリ方式の方法で安全性の高い特別なブラウザを用いて機能を制限し、テレワーク端末側にデータを保存できないようにする方法をセキュアブラウザ方式といいます。
クラウド型アプリ方式では、実際の作業はクラウド上で行いますが、そのデータをテレワーク端末に保存することも可能です。セキュアブラウザ方式では、テレワーク端末にデータを保存できないため情報の機密性を高めることができますが、セキュアブラウザを通じて利用できるアプリケーションしか利用できません。
アプリケーションラッピング方式
テレワーク端末に「コンテナ」と呼ばれる仮想的な環境を設け、そのコンテナ内で業務を行う方式をアプリケーションラッピング方式といいます。コンテナとローカル環境は互いにアクセスできないため、コンテナで作業していてもそのデータがローカル環境に保存されることはありません。
また、コンテナを動作させるOSやアプリケーションはPCにインストールされたものを利用するため、インターネット環境が整っていなくても業務が可能です。
コンテナは仮想的な空間のため、データを取り出すことはできませんし、万が一PC本体がウイルス感染しても、コンテナの内部には影響を与えません。
PC持ち帰り方式
そして、オフィスで使用しているPCをそのままテレワークでも利用する方法をPC持ち帰り方式といいます。会社のPCに対してしっかりとセキュリティ対策しておけば、同じ安全性でテレワークが可能になります。しかし、インターネット環境は会社のものではないため、インターネットの接続等にはVPNなどセキュリティ対策を講じる必要があります。
会社のPCがあればどこでも会社と同じように仕事ができる点がメリットですが、逆にPCがないと仕事ができません。そのため、PCを持ち帰っていない状態で災害によって出社できなくなるとテレワークに移行できません。緊急的な対応には向いていない場合があります。
6種類のテレワーク方式を紹介しましたが、どれが向いているかは、モバイルワークか完全在宅勤務かなどテレワークの種類、現在使っているサービス、ソフトウェア、求められるセキュリティ要件により様々です。
それでは、テレワークにおけるセキュリティ対策の具体的な指針を見ていきましょう。
テレワークセキュリティ対策の具体的な指針
ここまで、テレワークにおけるセキュリティ対策の考え方と、テレワークの実施方法を紹介しました。
テレワークにおいて、セキュリティ対策は大前提です。しかし、セキュリティ対策を意識するあまり、ちょっとした空き時間での作業にも暗号データを復号するためのパスワードを入力し、リモート用の仮想OSが起動したらリモートアクセスVPNの認証を行い、そこから使いたいシステムにアクセスして…、と手間がかかっていては、非常に生産性の悪いテレワークになってしまいます。
テレワークにおいては、セキュリティ対策を大前提に、利便性も考慮しましょう。利便性とは、オフィス内での仕事とほぼ同水準の業務をテレワークでできるようにするということです。リモートデスクトップに接続して業務を行うにしても、マウス動作にさえタイムラグが発生するようなインターネット環境では業務効率が大幅に下がります。
そのため、紹介した6種類の実施方法のどれか一つを選び取るのではなく、適切に組み合わせることを考えましょう。例えば、現在の新型コロナウイルス対策の一環としてであれば、リモートデスクトップ方式でひとまずテレワークができる環境を作る。それ以外の場合はPC持ち帰り方式を基本に、業務に応じてセキュアブラウザ方式を用いる、といった具合です。
それでは、テレワークのセキュリティ対策として、具体的な指針を12個紹介します。これができれば完璧、というものではありませんが、テレワーク導入にあたって最低限考えておきたいものを選びました。
テレワーク従業員に対するセキュリティ教育
最初に最も重要なセキュリティ対策を紹介します。それが、テレワーク従業員、また社内全体へのセキュリティ教育です。
情報セキュリティは一番水準が低いところが全体の水準になるという話を紹介しました。システムやルールは適切に導入すれば一定の水準を保つことができます。水準がバラバラになり、全体の水準を下げてしまう要因が、人です。
従業員に対するセキュリティ教育の方法は、マニュアル作成やセミナー、勉強会の開催、その他さまざまな啓蒙活動があります。
テレワークに限らず、セキュリティリスクの多くは人が要因で発生します。例えば、次のような事例があります。
社外からも社内と同じように、社内システム内の全てのファイルにアクセスできるようにしていたところ、従業員が外出先でテレワーク中に顧客の秘密情報が表示された状態で作業画面を放置してしまい、秘密情報が盗み見され、ネット上の匿名掲示板に書き込まれてしまったことで、顧客から取引停止を申し渡された。
引用:総務省 テレワークトラブル事例と対策
この事例の対策として、口述する情報レベルによる扱いの取り決めがありますが、それ以上に従業員の意識改革が重要です。どれほどルールを決め、システムを厳重にしたところで、機密情報を開いたままPCを放置するようなことがあれば意味がありません。
後述する様々なセキュリティ対策も、前提となるのはそれを使う、守る人であることを意識しておきましょう。
情報セキュリティポリシーの策定
企業の情報セキュリティ対策について取りまとめた規定を情報セキュリティポリシーといいます。
経済産業省が2017年に行った調査によると、情報セキュリティポリシーの策定し宣言している企業は全体の57.9%で、実施・検討を行っていない企業は21.0%に上りました。この調査は資本金3000万円以上、従業員50人以上の中規模以上の企業を対象に行われたものです。小規模企業も含めるとまだまだ情報セキュリティポリシーを策定し運用できている企業は少ないといえます。
情報セキュリティポリシーは全体の根幹となる「基本方針」、基本方針に対して実施すべきことを規定する「対策基準」、対策基準を具体的に実施するための手順を示した「実施内容」の3段階で構成されます。
具体的には、「どの情報を誰がアクセスできて、誰がアクセスできないようにするか」「情報の取り出しや編集を誰に許可するか」「ウイルス等の被害に対してどのように対処するか」「テレワーク業務中の情報漏洩に対し責任の所在はどこにありどのように対応するか」「誰が情報セキュリティポリシーを維持管理するか」といったことを定めます。
まだ定めていない場合は、テレワーク導入に必要最低限の部分だけでも策定してください。
情報のレベル分けとレベルに応じた取り扱い
情報セキュリティポリシーの策定には情報のレベル分けが欠かせません。情報のレベル分けとは、何が機密情報で、何をどこまで守るべきかということです。例えば、顧客への請求情報は外部に流出してはならないものです。一方、テレワーク導入について調べる中で参考になるURLをまとめたメモであれば、流出しても甚大な被害には繋がらないでしょう。
情報のレベル分けでは、「機密情報」「業務情報」「公開情報」の3つに分類することが一般的です。テレワークでは、外部に漏れたとき甚大な影響に繋がる恐れがある機密情報は持ち出さず、業務情報と公開情報だけを持ち出すことが一般的です。
いずれにせよ、まずは情報のレベル分けを行い、取り扱い方法を定めること。続いてアクセス制限などのシステムを導入し、取り扱い方法について全員が認識することが重要です。
情報セキュリティ事故に対する対策基準の策定
テレワークの導入有無にかかわらず、セキュリティ事故のリスクは常にあります。セキュリティ事故に対しては、発生を防ぐことはもちろん、発生したときに迅速に対応し、影響を最小限に抑えることが大切です。
具体的には、セキュリティ事故に対する対応方法を明示しておくことです。セキュリティ事故発生時の報告・連絡・相談経路を整え、可能であれば定期的に訓練しておきましょう。
テレワーク端末へのマルウェア・ウイルス対策実施
マルウェアの対策も、テレワーク導入においては必須です。たとえリモートデスクトップ方式で実際の業務をテレワーク端末側で行わないとしても、もしテレワーク端末がマルウェアの被害を受けてしまったら業務に支障をきたす可能性があります。
社内で普段使っているノートパソコンを社外に持ち出しテレワークを行っていた。業務上必要な情報収集をおこなうため、海外のウェブサイト(情報のまとめサイト)を閲覧したところ、そのサイトを通じてパソコンがランサムウェアに感染し画面がロックされてしまった。復旧の期間、作業をストップしなければならなくなり、納期遅延が発生した。
引用:総務省 テレワークトラブル事例と対策
総務省からは上記のような事例を啓発しています。情報セキュリティのリテラシーを高めることである程度対策することはできますが、テレワーク端末へのセキュリティソフト導入、OSやアプリケーションのアップデート、ブラウザ側のフィルタリングといった対策が有効です。
テレワーク端末へのインストールルール策定
業務では様々なアプリケーションを利用すると思います。それらに対するルールも重要です。例えば、個人的にデザインツールをインストールして、そこに悪意のあるプログラムが紛れ込んでいる可能性もあります。アプリケーションのインストールは原則申告制とし、セキュリティ上問題がないことを確認したうえで許可するなどのルールが必要です。
テレワーク端末端末のOS・ソフトウェア管理
マルウェア対策やインストールルール策定とも絡みますが、テレワーク端末のOSや利用するアプリケーションの種類やバージョンの管理を行いましょう。OSやアプリケーションのアップデートは、利便性や機能の改善はもちろん、セキュリティ水準を上げるためにも行われています。以前問題がなかったアプリケーションも、久しぶりに開いてみるとマルウェアの侵入口になってしまった、ということが考えられます。
テレワーク端末外部でのデータバックアップ
データをどこにどのようにバックアップするかは、テレワークにおけるセキュリティ対策の中でも難しい部分です。テレワーク端末に直接保存することはセキュリティ対策上おすすめできません。かといって、テレワーク端末で作成したデータを社内サーバーに直接保管することも危険です。
セキュリティ対策の基本の一つに分散があります。テレワーク端末、社内サーバー、それらとは切り離された別サーバーに分散し、バックアップデータはバックアップ用の別サーバーに保管しましょう。
マルウェアの中でもランサムウェアはデータを暗号化し中身を見れなくしてしまうものです。テレワーク端末でランサムウェアの被害を受けた場合も、独立したバックアップデータがあれば対処することができます。
メールのフィルタリング設定
メールのフィルタリング設定も、テレワークにおいてオフィスワーク以上に慎重に考える必要があります。オフィスで働いている場合、不審なメールが届いてもすぐに「このメールおかしくないですか?」と相談することができます。テレワークではそうしたちょっとした相談が難しい場合があるため、フィッシングメールの被害リスクが高まります。
対策としては、メールのフィルタリング設定を強化することはもちろん、個人のセキュリティリテラシーの向上、そして軽に相談できるコミュニケーション環境の構築が重要です。
重要機密データに対する暗号化ルール
機密性の高いデータをテレワーク端末で取り扱う場合、暗号化を行いましょう。公衆無線LANには通信傍受の可能性があります。機密性の大小にかかわらず、オフィスとデータのやり取りを行う場合はセキュリティ対策された方法を用いましょう。ギガファイル便、ファイアストレージに代表されるフリーのファイル共有サービスは気軽に利用できますが、URLさえ知っていれば誰でもアクセスできるため、セキュリティ上推奨できません。
公衆無線LANを使って電子メールの送受信を行っていたところ、添付ファイルに入っていた機密情報がいつの間にか競合企業に知られてしまっていた、という事例もあります。
公衆無線LANを利用しないことはもちろんですが、データのやり取りは安全な方法で行うルールを徹底しましょう。
無線LANの脆弱性対策
上記の続きになりますが、無線LANには脆弱性があり、そのことを認識する必要があります。自宅などで利用する無線LANは通信経路が暗号化されるよう設定し、推測されないパスワードを用いましょう。公衆無線LANを利用する場合でもVPNを経由した利用、SSL化されたサイトだけの利用、信頼できるアプリケーションのみの利用に限定することに加え、機密性の高い情報の送受信を行わないといったルールが必要です。
テレワーク端末のディスプレイへプライバシーフィルターを装着
物理的な対策になりますが、テレワーク端末のディスプレイにプライバシーフィルターを装着しましょう。在宅勤務であれば問題ありませんが、コワーキングスペース、カフェ、交通機関等で業務を行う場合、ディスプレイを覗き見される可能性もゼロではありません。
もちろん、第一として一目が多い場所で機密情報を扱わないことが重要ですが、プライバシーフィルターを装着し覗き見されないようにすることも重要です。
プレゼンテーション用の資料作成等、文字サイズが大きい書類を扱う場合、覗くつもりがなくてもふとした瞬間に目に入ってしまうこともあります。人目が多い場所で仕事をする場合、プライバシーフィルターの装着はエチケットの一種と考えましょう。
次回予告:テレワーク導入に必要なツール
さて、今回はテレワーク導入最大の懸念、セキュリティ対策とそのルール策定について紹介しました。具体的な指針を12個紹介しましたが、ほとんどは最初の2つ、テレワーク従業員に対するセキュリティ教育と情報セキュリティポリシーの策定がきちんとできていれば大丈夫だと思います。
テレワークとセキュリティリスクは切っても切れない関係にあります。ここはトレードオフではなく、いかに両立するかが重要です。セキュリティリスクがあるからテレワークは導入しない、テレワークに関するルールを厳格にする、というのではなく、テレワークの働きやすさとセキュリティ対策の両立を目指しましょう。
冒頭で述べたように、新型コロナウイルスの影響で急遽テレワークを導入するという場合、今回の内容はそぐわないかもしれません。しかし、テレワークのセキュリティ対策はどのように行うのか、現状最低限出来ることは何なのかを考えることは重要です。
次回は、テレワーク導入に必要なツールを紹介します。テレワークには、コミュニケーションツールはもちろん、セキュリティ対策や勤怠管理の観点から、様々なツールが必要になります。
第1回:テレワークの概要とメリット
第2回:テレワーク導入によくある懸念
第3回:セキュリティとルール策定
第4回:テレワーク導入に必要なツール
第5回:テレワーク導入事例