「働き方改革」の推進で効果的なテレワーク
昨今、テレワークという言葉はすっかり定着した感があります。総務省の定義によれば、テレワークとは「情報通信技術(ICT)の利用により時間・空間を有効に活用する多様な就労・作業形態」であり、「企業にとっての競争力強化だけでなく、新しいビジネスの創出や労働形態の改革、事業継続の向上をもたらすとともに、多様化する個々人のライフスタイルに応じた柔軟かつバランスのとれた働き方の実現に寄与する」としています。
テレワークは、少子・高齢化対策、経済再生、雇用創出、地域振興、防災・環境対策などさまざまな面で効果があることが認められており、特に近年は、ワークライフバランスを実現する柔軟な「働き方」として注目されています。
テレワークは、災害発生やパンデミックといった緊急事態発生時における企業等の事業継続性の確保に貢献する手段としても有効です。実際に2020年に流行した新型コロナ感染症から従業員を守るため、多くの企業が急速にテレワークの導入や活用が進んだことからもわかるのではないでしょうか。
テレワークの方式には、「在宅勤務」「モバイル勤務」「サテライトオフィス勤務」などがあります。在宅勤務は文字通り従業員が自宅で業務を行うこと。モバイル勤務は、ノートPCやタブレット端末などを使用し、外出先で業務を行うこと。サテライトオフィス勤務は、企業の本拠地や常勤している拠点などとは別の場所に設置したワークスペースで仕事をすることです。いずれの場合も、社外のさまざまな場所で業務や会議が可能になるため、通勤や移動にかかるコストや時間を軽減できます。企業側からみれば業務が効率化されますし、従業員側からみれば、より柔軟な働き方が可能になるわけです。
テレワークが情報漏えいのリスクを高める?
総務省が2021年に発表した「テレワークセキュリティガイドライン第5版」では、「従来のオフィス環境と比較して、テレワーク環境では従業員同士で情報をやりとりする場合にインターネットを利用する必要があったり、従業員以外の第三者が立ち入る可能性のある場所で作業を行ったりといった、セキュリティ的な観点から環境が異なることがあります」と指摘しています。
企業が管理する紙文書、電子データ、情報システム等を「情報資産」と呼びますが、これまでは情報資産はオフィス内で管理され、外部の目に触れることはありませんでした。しかし、テレワークを行う場合は、インターネット上を流れる、持ち運びが容易なノートPC等の端末で利用される、第三者が近くにいる状況下で画面に表示されることもあります。セキュリティ対策が充分に施されたオフィス環境とは異なり、テレワーク環境では情報資産はウイルス等の感染、インターネット経由でのサイバー攻撃、テレワーク端末や記録媒体の紛失・盗難、通信内容の窃取やのぞき見等の脅威にさらされやすくなるのです。
まずセキュリティ対策を効率的に行うための第一歩は、保護すべき情報資産を洗い出し、どのような脅威や脆弱性があるのかを把握、認識することです。その上で重要度に応じたレベル分けを行い、レベル分けに応じた体系的な対策を実施することが重要になります。セキュリティ対策は「最も弱いところが全体のセキュリティレベルになる」ため、どこか1箇所に弱点があれば、他の対策をいくら強化しても全体のセキュリティレベルの向上にはつながらないため注意が必要です。情報資産を脅威から守るためには、「ルール」「人」「技術」のバランスがとれた対策を実施し、全体のレベルを落とさないようにする必要があります。
暗号化やVPNなどテレワークに有効な最新のセキュリティ対策を
セキュリティ対策で特に重視すべきなのが端末とアカウントの管理、情報漏えい対策です。
まずは、テレワークに「誰」の「端末(PCやタブレットなど)」が使われているのかを正確に把握し、個人IDと紐づけられた端末を管理する必要があります。また、端末やグループウェア・クラウドサービスなどのログインには、可能な限り「多要素認証」を導入します。多要素認証とは、IDとパスワードの組み合わせに加え、指紋などの生体認証やワンタイムパスワードなど複数の認証を組み合わせることです。
さらに端末上のデータを暗号化する、もしくはVDI(仮想デスクトップ)、リモートデスクトップなどにより端末上にデータを保存しない手法もセキュリティの一環となります。これらの手法を採用することで、万が一紛失や盗難に遭っても、情報を盗まれるリスクを低減することができるでしょう。
ネットワーク接続の情報漏えい対策としては、テレワーク環境においてもインターネットを経由しない閉域網の安全なVPN(バーチャル プライベート ネットワーク)などで社内システムへの接続を図ることが効果的です。Wi-Fiの利用時にもVPNを利用することで安全にアクセスできるようになります。
ちなみに、テレワーク環境から社内システムに接続し、ファイアウォールなどを経由してインターネット上のSaaSなどに接続すると通信が遅くなる、つながりにくくなることがあります。この場合、「ローカルブレイクアウト」(Local Break Out)の導入を検討してみてもいいかもしれません。これは信頼できる特定のクラウドサービス向けトラフィックについては、本社やデータセンターなどのゲートウェイを使わず、各拠点から直接アクセスするネットワーク構成です。各拠点に置いたルーターなどで通信内容を識別し、あらかじめ登録されたSaaSであればインターネット、そうでなければVPNへトラフィックを振り分けることができます。
会社貸与・個人所有(BYOD)の端末に関わらず、テレワーク環境で使用するPCやタブレット、スマートフォンなどの端末にはセキュリティ対策ソフトの導入は必須です。この際、単機能のアンチウイルス製品ではなく、複数の機能を持ったものを選ぶことが大事です。マルウェア対策だけでなく、アンチスパムやフィルタリング、侵入防御、Wi-Fiの安全性の判定など、多機能対策が備わったセキュリティ対策を実装することでさらなるセキュリティレベルの向上が期待できるでしょう。
これらのテレワーク環境整備と同時に、各従業員に割り当てているIDの管理も、外部環境から社内サーバーへのアクセスが増加した際には見直しを図りたいものの1つです。ID管理に関しては、多要素認証の導入を検討してみることをおすすめします。