テレワークのセキュリティ対策集 | リスクと事故事例から見た14項目
2020年11月11日公開 (最終更新日:2020年11月11日)
政府による緊急事態宣言を機に、テレワーク(リモートワーク、在宅勤務)を導入する企業が増えています。まだ導入していなくとも、採用戦略の一環として、あるいは取引先や同業他社の動きを受けてテレワークをまさに検討している、という場合もあるでしょう。
社員がそれぞれの自宅で働くことには、さまざまなメリットがある一方で、企業の視点ではセキュリティ上の懸念がつきまといます。
この記事では、テレワークを実施する上で知っておきたい、セキュリティ対策の考え方についてチェックリスト形式で紹介します。
セキュリティ対策のチェックポイント
セキュリティ対策にはいろいろな考え方がありますが、大きくは「組織的な対策」と「テレワーク利用者の対策」の2つに分類することができます。
テレワークを始める前の一つの考え方として、ここでは全部で14項目のチェックポイントを紹介します。
チェックポイントのPDF版ダウンロードはこちら(PDF形式/645KB)
組織的な対策
ここからは、チェックポイントごとに気をつけるべき点などを解説していきます。まずは「組織的な対策」の7項目です。
1. テレワークで可能な業務・役職を整理し、起こりうるリスクを想定した
まず考えるべきは、テレワークで対応可能な業務とそうでない業務を分けていくことです。分類をする上では、部署ごとに業務の棚卸し(リストアップ)を行い、その業務ごとに出社の要/不要を考えていくと良いでしょう。
よくあるのは、部署ごとにテレワークの可否を切り分けてしまい、「経理部門だけは出社」といった判断に至るケースです。実情としてそうせざるを得ない場合もありますが、所属の違いによる勤務形態の違いが社内での不公平感を生む可能性もあるため、テレワークを導入する場合は業務ごとに「テレワーク可否」「起こりうるリスク」を想定することが大切です。
2. パソコンなど機器使用に関するリスクと対策を想定した
テレワークをする場合、機器の持ち出しが必須になります。イメージしやすいのはパソコンですが、ほかにも携帯型のWi-Fiルーターや携帯電話、パソコンの周辺機器などがあります。
これらを持ち出す際には盗難・紛失、破損などの懸念があるため、事前に防止策や、万一の際の対応策などを考えておきましょう。
また、そもそも社内でデスクトップ(据え置き)型のパソコンしか利用していないといった場合は、テレワークに対応できる機器の準備や、BYOD(Bring Your Own Deviceの略で、社員自身の機器を使用すること)の検討から始めることになります。その場合も同じく、事前にリスクと対策を想定することが大切です。
3. ネットワーク接続に関するリスクと対策を想定した
機器には物理的な被害のリスクだけでなく、使用上のリスクがあることも忘れないようにしましょう。特に通信は傍受されたり、不正アクセスを狙われたりなど、テレワークでなくとも常に一定のリスクが存在しています。
インターネット接続時は、安全性が担保されていない回線を使わないことや、知らない差出先から送られてきたメールのリンクをクリックしないなど、社内で周知するためのルールを設けておくことが大切です。
4. ファイル管理に関するリスクと対策を想定した
電子ファイルの管理も気をつけるべきポイントがあります。1つは閲覧時のリスクです。たとえばテレワーク中に息抜きを兼ねてカフェなどで社員がパソコンを開き、ファイルを近くの人に覗き見られ、重要機密が流出するケースがこれに該当します。
もう1つは共有時のリスクで、電子ファイル送信時に宛先を間違えるケースです。どちらも人的エラーによるものですが、パソコンに覗き防止フィルターを付けることや、宛先を間違えた際に後から取り消しやデータ削除などができるサービスを導入するなど、対策をほどこすことでリスクを軽減できます。
5. チャットやビデオ会議など、コミュニケーションに関するリスクと対策を想定した
テレワークで必須になるのが、物理的に離れた仕事相手とのコミュニケーションです。有料・無料問わず便利なアプリケーションがありますが、これらにもセキュリティ上のリスクがあります。
アプリケーション自体の安全性はもちろんですが、ログインパスワードの管理・設定不備や、ビデオ会議URLの設定・共有方法の不備による不正アクセスが起きることもあります。日常的に使うツールほど社員一人ひとりの管理が甘くなりがちなので、その点もふまえてリスク対策を行いましょう。
6. 経営陣と情報システム部門で定めたルールをガイドライン化した
ここまでに挙げたような項目は、情報システム部門や総務部門を中心にしてルール化するケースが一般的です。社内の各部門とも連携しながら大枠のルールを決めつつ、最終的には経営陣ともリスク想定をし、対策までをまとめたガイドラインをつくっておきましょう。
ガイドラインを策定することで、万一の際も被害や損失を最小限にとどめることができます。
7. ガイドラインを社内で配布し、理解促進のために研修等を行った
最後に、策定したガイドラインを社内に周知します。またこの時、情報セキュリティの意識を高めるために、説明会や研修を行うことが理想的です。
テレワークを導入していなくても、昨今はスマートフォンやパソコンを使ったコミュニケーション、文章や動画の作成など、業務に類似した活動を個人で行うことが増えています。日常的な活動だからこそ情報セキュリティのリスクを忘れがちなので、その意味でも会社としての啓蒙活動は重要です。
テレワーク利用者の対策
ここまでに紹介した、会社として行うべきセキュリティ対策をもとにしながら、テレワークを利用する社員がとるべき対策について見ていきましょう。
基本的には1から7までの項目に対応しているので、補足として気をつけておくべき点を中心に解説をしていきます。
8. セキュリティリスクについて理解するための研修に参加した
テレワークを開始する前には、7で挙げた、会社からの研修や説明会に参加することを必須化するなど、情報セキュリティに対する意識を高めていくことが重要です。
情報システム部門や総務部門から全社員に向けた研修は、営業などプロフィット部門からすると「数字につながらない用件」としてないがしろにされてしまいがちな側面もあります。一方でプロフィット部門こそ、社外とのやりとりはセキュリティリスクと隣合わせとも言えるで、意識改革を含めて全社員を巻き込めるかが一つのカギになります。
9. パソコンにセキュリティ対策ソフトをインストールした
テレワークで使用するパソコンは、必ず会社が用意したセキュリティ対策ソフトをインストールしてから使用するようにしましょう。
ソフトがなければ必ずウイルス感染や不正アクセスの被害にあうわけではありません。ですがそもそも、そうした危険が迫っていること自体は、ソフトがなければ検知しづらくなってしまうのも事実です。
加えて、セキュリティ上の欠陥を潰すという意味でも、パソコンのOSは常に最新バージョンにアップデートすることも非常に重要です。
10. パソコンなど機器の紛失・盗難時の対策を施した
セキュリティ対策ソフトと同じく、機器の紛失・盗難時に、不正利用やデータ流出などの二次被害を避けるための対策を事前に行いましょう。
また、ソフトウェアのインストールをするだけでなく、もし紛失・盗難が起きた場合の情報伝達の仕方なども対策の一つに含まれます。
11. 会社が定めたネットワーク環境を利用している
日常的にインターネットを使う私たちにとって、もっとも無意識にリスクを冒してしまいがちなのがネットワーク環境です。仕事でインターネットに接続する場合は、原則として安全性が担保された回線を利用することが望ましいでしょう。具体的な例でいえば、個人の判断だけで無料Wi-Fiなどの公衆回線を利用しないといったことを徹底することが万一の自体を防ぎます。
12. 会社が定めたファイル管理の手法・ツール等を利用している
クラウドサーバーの利用が会社でルールになっている場合は、そのルールを形骸化させないよう、各部門や課・チームなどの単位で意識合わせすることが大切です。
また、会社により方針が異なりますが、故障などによるデータ消失や、盗難によるデータ流出などを防ぐためにも、クラウド上でファイルを管理することが安全性の面で対策となる場合があります。また、特に社外に対してファイル共有をする場合は、誤送信を避ける意味でもクラウドサーバーの活用は有効です。
13. 会社が定めたコミュニケーションツールを利用している
チェックポイント5でも挙げたように、ビデオ会議やチャット、プロジェクト進捗管理など、多くのアプリケーションが提供されています。どれも便利で、無料で使えるものもあることから、気軽に利用できますが、会社が認めたものを使用することがセキュリティリスクを減らします。
なお、最近は取引先が指定したアプリケーションを利用して「リモート会議」をする場面などもあります。セキュリティの側面だけでなく、業務を円滑に進めるための柔軟性も重要なので、「取引先などから指定されたアプリケーションをどの範囲まで許容するか」については、現場の事情もふまえた決め方が良いでしょう。
14. 万一セキュリティ問題が発生した際の、対応方法を理解している
頻発するわけではないものの、もし起きてしまうと大きな影響を及ぼすのが情報セキュリティ事故です。そのため、予防策だけでなく、有事の際の対応方法についてもきちんと一人ひとりが把握しておきましょう。
また、個人のミスを隠すために会社への情報共有が遅くなるケースなども避けなければいけません。会社の視点では、システムなどで事故を自動検知できるようにすることや、社内の各チーム内での情報共有の円滑さも重要な観点です。
セキュリティ対策が不十分なリモートワーク環境には、どんなリスクが潜んでいる?
セキュリティ対策ができていない場合でも、必ずしも想定したようなリスクが現実にならないかもしれません。ですがセキュリティ事故が起きた際、経営に悪影響を及ぼすほどの重大な事案になったケースもあります。
「ルール・人・技術」の視点で見た、セキュリティ事故の例
総務省が2018年に発表した「テレワークセキュリティガイドライン 第4版」では、「ルール・人・技術」という考え方が提唱されています。情報セキュリティにおいては、この3つの要素のバランスが取れていなければセキュリティレベルが低下してしまう、ということを意味しています。
出典:「テレワークセキュリティガイドライン 第4版 別紙3」(総務省)https://www.soumu.go.jp/main_content/000545372.pdf(2020年11月に利用)
「ルール」を要因にした事故例
会社に情報セキュリティに精通したスタッフがいないことや、ルールやガイドラインの項目に抜け漏れがあると、ルールを守っていたのに事故が起きることもあります。
たとえば添付ファイルの送信や、クラウドサーバーを使ったファイル共有をする際、混乱を避けるためにファイル開封パスワードを、社名など第三者から推測されやすいものに統一しているケースが実際にあります。せっかくパスワードを設定することをルール化していても、脆弱性の高いパスワードを使っているとリスクが高まってしまい、実質的な意味がなくなってしまいます。
「人」を要因にした事故例
人的なミスは、社員が多ければ多いほど起きる確率が多いため、その意味ではもっとも気をつけなければいけない要素です。
たとえばある社員が自宅近くのカフェでテレワークをしていて、リモート会議で取引先の名前や商品名、社内の情報などを無意識に話しているシーンを見かけることがあります。競合会社に務める人が周囲にいた場合、会話の内容や、画面の覗き見によって情報漏えいにつながるリスクもあります。
また、会社として万全なルールや技術を導入していても、それをうまく利用しきれない場合もセキュリティリスクを高めてしまいます。
「技術」を要因にした事故例
技術とは、セキュリティ対策ソフトやクラウドサーバーなどを指します。ルールや各個人の意識だけではどうしても防ぎきれないウイルスや不正アクセスなどについては、技術によって防ぐことが重要です。
技術の側面が欠けたことによる事故としては、費用の理由や、知識不足の理由からセキュリティ管理ソフトの導入を見送り、社員のパソコンがウイルスに感染してしまうなど、ルールとも関連した事故例があります。
テレワークでなくても情報セキュリティには要注意
ここまで紹介したリスクや事故事例の一部については、実はテレワークをしていない場合でも起こる可能性があります。たとえば営業担当社員が取引先に訪問する際、あるいは社員が自宅にパソコンを持ち帰ることを許可している場合なども、同様のリスクが潜んでいます。
昨今はノートパソコン利用が一般化し、Wi-Fiなどインターネット環境も利便性が非常に高まっています。先ほど紹介したように、オフィス街などの都心部では、カフェや駅などの公共の場所で仕事をすることが当たり前の光景になっています。こうした中でも、覗き見や機器盗難といった物理的なリスク、あるいは会社に許可されていない回線を使用することでのリスクと隣り合わせです。
そのため、テレワークだけでなく、オフィス外で仕事をする場合などにもガイドライン策定や社員への啓蒙が効果を発揮します。
日常的に発生するファイル送受信に安心を
ここまで紹介したリスクを回避するための手段として、セキュリティ対策ソフトやビデオ会議アプリなど、多くのツールがあります。
NTTコミュニケーションズでも、より安全で便利なテレワークを実現するためのファイル共有ツール「Bizストレージ ファイルシェア」を提供しています。
テレワークを導入する際には、機密性の高さや容量の大きさなど、メール添付が難しいファイルのやりとりをどうするかが思わぬ課題になることがあります。また、この記事のチェックリストでも紹介したように、社内のファイル管理にも安全性がより求められます。
ファイル共有ツールは、こうした課題の解決策として多くの企業で利用されています。
その中でも特に、Bizストレージ ファイルシェアは「信頼性の高いサービスを利用したい」「人的ミスをカバーする機能がほしい」といったニーズを持った利用者さまから選ばれています。
単に大容量ファイルをクラウド上に保存できるだけではなく、社内の部署や顧客ごとなど、アクセス制限をかけたフォルダーの作成機能や、クライアントにファイル送信をする際にダブルチェックをはさめる機能など、利便性と安全性を兼ね備えているのがBizストレージ ファイルシェアの特徴です。
より詳細な機能の紹介や、無料トライアルに関する情報は、こちらの資料をダウンロードするとご覧いただくことができます。