中小企業もテレワーク導入待ったなしの状況!情報漏えいを避けるためのセキュリティポイントとは

テレワークとセキュリティ対策

 

世界中で広がるコロナウィルスの影響が連日報道されている中、日本も感染拡大を抑え込む重大局面を迎えています。埼玉、千葉などの県知事は不要不急の用件で東京都内に出かけることを控えるよう県民に訴える声明を出しています。コロナの発生以来、すでに大企業を中心に自宅待機、テレワークが広がりつつありました。さらに事態が深刻化した場合、首都封鎖、ロックダウンなどが現実的になれば中小企業もテレワークの導入に舵を切らざるを得ないでしょう。以前『新型コロナウィルス対策でテレワーク導入企業が続出!不安なセキュリティ面の課題を解消するには?』と題したコラムで、テレワーク導入に伴うリスクを中心に警鐘を鳴らしましたが、今回はより具体的にその対策にも踏み込んでお届けします。

 

テレワークの種類による必要な対策を把握する

総務省のまとめたガイドラインによると、テレワークには社内システムへのアクセスの有無やテレワーク端末へのデータ保存の有無から分類された3つの型があります。したがって、各テレワークの方法に応じた対策が必要となってきます。

 

パターン①(オフライン持ち出し型)

USBメモリやパソコン等に電子データを格納し、これをテレワーク先まで従業員が移送することで作業を行う方法です。テレワーク先でインターネットを利用する場合でも、社内システムへのアクセスにインターネットを使わなければこの方法に該当します。テレワーク端末内に電子データがあるため、災害等で社内システムが止まってしまうような状況でもテレワーク先では作業することができます。しかし、テレワーク先における電子データの安全確保のための対策と、移送中の安全確保のための対策がそれぞれ必要となります。

 

パターン②(オンライン持ち出し型)

インターネット等を用いて電子データをテレワーク端末にコピーした上で、その電子データを用いて作業を行う方法です。①と同様、社内システムの稼働状況に関わらず作業をすることができます。しかし、テレワーク先における電子データの安全確保のための対策と、ネットワーク上での安全確保のための対策がそれぞれ必要となります。

 

パターン③(シンクライアント型)

シンクライアントと呼ばれる専用のアプリケーション(USBインタフェースに接続する機器の場合もあります)を用いることで、テレワーク端末に電子データの実体を持ち出すことなくテレワーク先での作業を可能とする方法です。パターン①と②に比べて、テレワーク先での安全確保のための対策が少なくて済みます。しかし、社内システムが停止してしまうとテレワーク先から社内システムにアクセスすることができなくなります。よって、テレワーク先での作業環境を維持するには社内システムを稼働し続けることが必要です。

 

テレワークの方式は上述のとおり、大きく3種類のパターンに分類されます。さらに、私物端末の利用を認めるかどうかでも、実施すべきセキュリティ対策が変わってきます。私物の利用を認めるとテレワークの導入コストを抑制することができますが、管理が不十分にならざるを得ないデメリットがあります。そのため、経営者は自社にふさわしいテレワークの方式について、セキュリティリスクと導入コストの両面から慎重に検討する必要があります。

 

具体的なセキュリティ対策

企業がテレワークを導入するときには、社外でのセキュリティの確保が重要となります。オフィス内のPCは社内ネットワークに接続され、インターネットとの出入口はファイアウォールやIPS(Intrusion Prevention System)といった不正侵入防止システムなどで守られているでしょう。しかし、テレワークでは社内のような保護がない環境でPCやタブレットスマホなどの端末を使い業務を行うことになります。社外アクセスのセキュリティ対策がされていない場合は直接インターネットへ接続することが多くなるため、逆にインターネット側から端末へアクセスされる可能性というリスクが生じます。無防備に社内サーバーにアクセスしようとしれば、ログインや接続のためのIDやパスワードなどが悪意のある第三者に盗み取られる危険性も生じます。こうしたリスクをさけるため、次のような対策が取られているかきちんとチェックしましょう。

 

個人アカウントと紐づけられた端末管理

テレワークを実施するには、まず個人アカウントを設定し、そのアカウント(ID)と紐づけられた端末をきちんと管理する必要があります。そして誰のアカウント(端末)からアクセスされ、どのような作業を行っているのかを把握できるようにします。アカウントごとに情報にアクセスできる権限を設定し、管理する必要があります。社外ネットワーク上のPCに対し、インターネット経由でインベントリ情報や各種ログの収集、ポリシーの適用が可能なアプリケーションも販売されています。そうしたソフト等を使って、社内システムと同じようにテレワークにおいても一元管理することが望ましいでしょう。

 端末等の紛失への対策も必要です。データの原本のバックアップを必ず取っておき、盗難のリスクも踏まえて通信の暗号化だけでなく、ハードディスクそのものの暗号化などの対策もきちんと行いましょう。

 

多要素認証

端末やグループウェアクラウドサービスなどのログインには、可能な限り「多要素認証(MFA:Multi-Factor Authentication)」を導入する必要があります。容易に推測可能なパスワードを設定しているユーザやアカウントは未だに多数存在します。また、強固なパスワードを設定していたとしてもそのパスワードを複数のサービスで使いまわしている場合は、パスワードリスト攻撃により複数サービスのアカウントをまとめてハッキングされる可能性があります。ID/パスワードだけに頼った認証の問題を解決するため、広く用いられている認証方式が「多要素認証」です。多要素認証とは、認証の3要素である「知識情報」、「所持情報」、「生体情報」のうち、2つ以上を組み合わせて認証することを指します。

 

  • 知識情報:利用者のみ知っている情報。パスワード・秘密の質問・ワンタイムパスワードなど。
  • 所持情報:利用者が持っているもの。ICカード・ハードウェアトークン・携帯電話など。
  • 生体情報:利用者自身の特性。顔認識・指紋・声紋・虹彩・静脈認証など。

 

ひとつの要素内で、複数回の認証を行えばその分セキュリティは担保されますが、それは多要素認証とは言い切れません。テレワークで重要情報があるデータベースに接続する際は、多要素認証を利用することでセキュリティリスクを軽減させることが可能です。

 

Wi-Fi通信の暗号化

Wi-Fiに関する情報漏えい対策としては、各種サービスを利用する前に通信に強度の暗号化が施されているかを確認しておきます。また暗号化されていないWi-Fiサービスは原則利用禁止などの規則を設けておきましょう。現在推奨されている暗号化方式であるWPA2にも脆弱性が確認されています。そのためWi-Fi利用時にはVPNと組み合わせて使用するなどの工夫も必要です。

 

端末のセキュリティ対策ソフトの導入

PCやタブレットスマートフォンなどのテレワーク用の端末には、個人の私物、貸与に関わらずウイルス対策ソフトを必ずインストールしましょう。マルウェア対策だけでなく、アンチスパムやフィルタリング、侵入防御、Wi-Fiの安全性の判定など多機能対策が備わったセキュリティソフトやアプリケーションが望ましいでしょう。そしてフィルタリング機能を設定する、OSを常に最新の状態に保つ、アプリケーションの新規インストールはその都度申請し、許可を受けた後にインストールするといったことが重要です。

 

さいごに

テレワークを行う場合、オフィスとは異なる環境で仕事を行うことになるため、 そのセキュリティ確保のために新たな「ルール」を定める必要があります。ルールを定めても、実際にテレワーク勤務者やシステム管理者がそれを守らなければ、ルールによる効果が発揮されることはありません。そのためルールを定着させるには、「人」に対しての意識も高めていかなければいけません。関係者への教育や自己啓発を通じてルールの趣旨を自ら理解し、ルールを遵守することが自分にとってメリットになることを自覚してもらうことが重要です。技術的対策は「ルール」や「人」では対応できない部分を補完するものです。技術的対策は種々の脅威に対して「認証」、「検知」、「制御」、「防御」を自動的に実施するものです。よって、テレワーク先の環境の多様性を考慮しそれぞれの環境での情報セキュリティ維持のために適切に対策を講じておく必要があります。テレワークのセキュリティにおいては、この「ルール」、「人」、「技術」をバランスよく取り入れ全体のレベルを落とさないようにすることがポイントとなります。