テレワーク導入時、企業が考慮すべきセキュリティ対策

f:id:PentaSecurity:20190808172412j:plain

 

テレワーク導入時、

企業が考慮すべきセキュリティ対策

 

近年「働き方改革」が推進され、そのための手法としてテレワーク(リモートワーク)が注目を集めています。働く場所や時間にとらわれずに、自宅やリモートオフィスから自由に社内サーバ等にアクセスして業務を行えるテレワークを導入する企業も徐々に増えています。テレワークにおいて、インターネットや情報システムは業務の遂行にかかせないものとなっています。チャットツールやウェブ会議システム、クラウド化された業務システムなどを利用すれば、自宅にいながら社内の会議に参加し、コミュニケーションを取ることも可能です。

 

便利なネットワークシステムですが、きちんと管理されていないと大きなリスクを負うこととなります。今回は働き方改革の重要なテーマの一つであるテレワークについて、その現状や求められるセキュリティ対策等を踏まえて解説していきたいと思います。

 

働き方改革の重要テーマ、テレワークとは

テレワークとは、情報通信技術(ICT = Information and Communication Technology)を活用した、場所や時間にとらわれない柔軟な働き方のことです。テレワークによって、ワークライフバランスの実現 、人口減少時代における労働力人口の確保、地域の活性化など様々なメリットが生まれることで、総務省でも企業の導入と普及に向けた取り組みを推進しています。

 

f:id:PentaSecurity:20190808171658j:plain

引用:総務省|ICT利活用の促進|テレワークの推進

 

2013年6月に閣議決定した「世界最先端IT国家創造宣言」では「2020年度に、テレワーク導入企業を2012年度比で3倍、週1日以上終日在宅で就業する雇用型在宅型テレワーカー数を全労働者数の10%以上」と設定しています。

 

テレワークの形式

テレワークは働く場所によって、自宅利用型テレワーク(在宅勤務)、モバイルワーク、施設利用型テレワーク(サテライトオフィス勤務など)などの形式があります。

 

テレワークのパターン

さらにテレワークは社内システムのアクセス方法、データの保存方法などによって次の6種類に分けられます。

 

1. リモートデス クトップ方式

オフィスに設置されたPC等の端末のデスクトップ環境を、テレワーク端末から遠隔操作したり閲覧したりする方法。

 

2. 仮想デスクトップ方式

オフィスのサーバ上で提供される仮想デスクトップ基盤(VDI)に、テレワーク端末から遠隔でログインして利用する方法。

 

3. クラウド型アプリ方式

オフィスかテレワーク環境かどうかを問わず、インターネットで接続されて いる環境からクラウドサーバ上で提供されるアプリケーションにアクセス することにより、作業を行う方法。

 

4. セキュアブラウザ方式

パターン3(クラウド型アプリ方式)の安全性を高めた方式。特別なインターネットブラウザを用いることで、ファイルのダウンロードや印刷など の機能を制限しテレワーク端末に業務で利用する電子データを保存しないようにすることが可能。

 

5. アプリケーションラッピング方式

テレワーク端末内に「コンテナ」と呼ばれる、ローカルの環境とは独立した 仮想的な環境を設けて、その中でテレワーク業務用のアプリケーションを動作させる方式。

 

6.会社PCの持ち帰り方式

オフィスで用いている端末をテレワーク先に持ち出して作業を行う方式。ネットワーク経由でオフィスにアクセスする必要がある場合は、インターネットの経路上での情報漏えい対策としてVPNで接続することが前提となります。

 

テレワークにおけるセキュリティの注意点

ライフワークバランスを実現できる、地方企業が都会にサテライトオフィスを、逆に都市部の企業が地方に支店代わりのサテライトオフィスを簡単に構える事ができるなど、テレワークには様々なメリットがあります。その一方で職場以外での勤務は情報漏えいやウイルス感染などのリスクが高まる懸念があります。

 

テレワーク導入によるリスク

  • 書類(紙ベース)の盗難・紛失や盗み見
  • 電話の盗聴や盗み聞き
  • 業務情報が保存されたPCや記憶媒体の盗難・紛失
  • 業務に利用するPCへのサイバー攻撃(ウイルス感染や標的型攻撃)
  • 他者による業務用PCのなりすまし操作

 

これまでオフィス内で厳重に管理されていた情報資産(電子データ、情報システム、紙文書など)を扱う作業を自宅で行ったり、従業員同士の情報のやりとりがインターネットを経由して行われたりするようになると、情報漏えいのリスクが高くなります。また在宅勤務形式の場合、家族にも社内の機密情報が洩れてしまう可能性もあります。

 

機密情報の漏えいや、個人情報の流出を防ぐには、企業も一定のルールを定めリスクを回避しなければなりません。そのため総務省は安全確保のガイドラインとして「テレワークセキュリティガイドライン」を制定しています。このガイドラインは現在2018年に5年ぶりに改定された第4版が出ていますが、クラウドSNS脆弱性ランサムウェアなど近年のセキュリティ動向を反映したものとなっています。

 

経営者が実施すべき対策

  • 経営者は、テレワークの実施を考慮した情報セキュリティポリシーを定め定期的に監査し、その内容に応じて見直しを行う。
  • 社内で扱う情報について、その重要度に応じたレベル分けを行った上で、テレワークでの利用可否と利用可の場合の取扱方法を定める。
  • テレワーク勤務者が情報セキュリティ対策の重要性を理解した上で作業を行えるようにするため、定期的に教育・啓発活動を実施させる。
  • 情報セキュリティ事故の発生に備えて、迅速な対応がとれるように連絡体制を整えるとともに、事故時の対応についての訓練を実施させる。
  • テレワークにおける情報セキュリティ対策に適切な理解を示した上で、必要な人材・資源に必要な予算を割り当てる。

 

システム管理者が実施すべき対策

  • 情報のレベル分けに応じて、電子データに対するアクセス制御、暗号化の要否や印刷可否などの設定を行う
  • ランサムウェアの感染に備え、重要な電子データのバックアップを社内システムから切り離した状態で保存する
  • テレワーク端末において無線LAN脆弱性対策が適切に講じられるようにする
  • メッセージングアプリケーションを含むSNSに関する従業員向けの利用ルールやガイドラインを整備し、その中でテレワーク時の利用上の留意事項を明示する
  • ファイル共有サービスなどのパブリッククラウドサービスの利用ルールを整備し、情報漏えいにつながる恐れのある利用方法を禁止する
  • フィルタリング等を用いて、テレワーク勤務者が危険なサイトにア クセスしないように設定する。

 

 テレワーク勤務者が心がけること

  • テレワーク作業中は、利用する情報資産の管理責任を自らが負うことを自覚し、情報セキュリティポリシーが定める技術的・物理的及び人的対策基準に沿った業務を行い、定期的に実施状況を自己点検 する。
  • テレワークで扱う情報について、定められた情報のレベル分けとレ ベルに応じたルールに従って取り扱う。
  • 情報セキュリティ事故の発生に備えて、直ちに定められた担当者に 連絡できるよう連絡体制を確認するとともに、事故時に備えた訓練 に参加する。

参考:総務省 テレワークセキュリティガイドライン 第4版

 

これらのガイドラインは情報セキュリティ保全対策、悪意のソフトウェアに対する対策、端末の紛失・盗難に対する対策、重要情報の盗聴に対する対策、不正侵入・踏み台に対する対策、外部サービスの利用に対する対策などが経営者、システム管理者、テレワーク勤務者それぞれが注意すべき点を網羅してまとめられています。他にもクラウドサービスの利用についての注意点として、パスワード、暗号鍵の管理方法や個人アカウントでの利用による同期や第三者との不注意な共有の問題なども指摘されています。

 

最後に

育児・介護と仕事の両立などワークライフバランスに有効であるテレワークは働き方改革の重要なテーマの一つです。しかしテレワークを活用して職場の外で仕事を行う場合、社内で仕事を行う場合よりも情報漏えいの可能性が高まるなど、一定程度のリスクが存在します。企業や組織にとって、情報セキュリティに対するリスクマネジメントは重要な経営課題のひとつです。特に、個人情報や顧客情報などの重要情報を取り扱う場合には、これを保護することは、企業や組織にとっての社会的責務でもあります。テレワークを実施する場合には、十分な情報セキュリティ対策を講じることが求められているといえます。ここでまとめたセキュリティに関する注意点に留意して、適切に情報管理できるよう心掛けていきましょう。