この記事でわかること
- テレワークによる情報漏洩の具体例を知ることができる
- 総務省が推奨するテレワーク時のセキュリティ対策がわかる
- テレワークを社内で推進する際に、必要な対策がイメージできる
この記事でわかること
現在、職場以外の場所で仕事を行うテレワークの導入が急速に進んでいます。本記事では、テレワークのセキュリティ対策を最新の総務省ガイドラインと合わせて紹介します。
目次
テレワークとは、情報通信技術(通称「ICT (Information and Communication Technology)」)を活用した労働形態を指し、場所や時間にとらわれない働き方として注目されています。働き方改革の具体策や企業イメージの向上、ワーク・ライフ・バランスの推進、業務効率化、生産性向上、地方創生に効果的とされています。
テレワークは「雇用型テレワーク(在宅勤務・モバイルワーク・サテライトオフィス勤務)」と「自営型テレワーク(個人事業主や小規模事業者)」の大きく2種類に分けられます。
テレワークは社外で仕事ができる利便性がある一方、情報セキュリティリスクが高いことで知られています。テレワークには多くの利用環境があり、情報漏洩に細心の注意を払う必要があります。
個人端末での作業は、企業の社内ネットワークにくらべてセキュリティが脆弱になりがちです。多くの場合は社内ネットワークに接続するために、会社のサーバを経由しますが、個人のインターネット環境で同様のセキュリティ対策を行うことは難しいといえます。
セキュリティソフトの導入や推測されにくい強固なパスワードの設定、USBメモリの取り扱い、離席時の画面ロックの設定など、テレワークを行う一人ひとりがセキュリティ対策を強く意識し、セキュリティ環境を見直さなければなりません。
多様な場所で会社の機密情報を扱う機会が増えると、インターネットへの接続から情報が漏洩する危険性があるため注意が必要です。
公共の無線LAN利用の際は、ネットワークプロファイル設定と、クラウドストレージサービス使用の際のパブリックフォルダ権限設定に注意しましょう。
パブリックフォルダは「パブリック」と「プライベート」の2種類があり、公共の無線LANを使用する際は「パブリック」に設定を変更します。「プライベート」選択すると、同じ無線LANに接続する他人のパソコンからのアクセスが可能となり、情報漏洩につながる可能性が高まります。
個人パソコンで作業を行う場合、直接インターネットに接続するだけでウイルス感染する危険性があります。ウイルス感染や攻撃の被害に遭う多くのケースがポート(サーバとの通信に使うデータの出入り口)の設定不備によるものであり、ファイヤーウォール機能を持つセキュリティソフト導入が不可欠です。
また、有線・無線LANを介したインターネット接続の場合、マルウェアによる脅威は比較的下がります。優先・無線LANを介したインターネット接続を行い、マルウェア対策を徹底しましょう。
テレワークの普及に伴い、フィッシングメールや標準型攻撃メールが増加する可能性があります。
テレワークやWeb会議が普及している欧米諸国では、カレンダー登録や会議招集を行うスパムメールが問題とされていました。今後、日本でのテレワークの急速な普及に伴い、このようなメール関連の脅威が発生するかもしれません。
身に覚えのない会議やカレンダー上のイベント招集には、危険性を疑い、確認する運用フローを取り入れましょう。
会社のクラウドストレージサービスを通じてファイル共有する際は、ファイルやフォルダの権限設定に注意を払いましょう。
多くのクラウドストレージサービスは、フォルダやファイルの個別に公開範囲を設定できる機能を備えており、アクセス権限を利用者のみに設定できます。
私用パソコンの作業では、ファイルをコピーする目的でアクセス権限を変更した場合、ファイルURLが漏洩した際に誰でもアクセス可能となってしまいます。ファイルやフォルダのアクセス権限を一時的に変更した場合は、アクセス権限を元に戻し、該当ファイルを削除するなどの手順を徹底しましょう。
場所を選ばずに仕事ができるテレワークだからこそ、公共の場での作業による情報漏洩には細心の注意が必要です。
電車や公共の場でパソコンを開いて仕事を行う場合、第三者が簡単に画面を盗み見される危険性があります。
見積書や契約書といったビジネス上重要な情報の漏洩、不正利用など深刻な事態を招きかねません。
盗み見対策にはプライバシーフィルターの着用が推奨されています。漏洩リスクの軽減はもちろん、「見られるかもしれない」という漠然とした不安を抱えることなく仕事に集中できるというメリットもあります。
公共の場所でWeb会議を行うと、その話し声から情報漏洩する可能性が高まります。不特定多数の人が出入りするカフェなどでWeb会議を行う場合、イヤホンの着用は必須です。
しかし、イヤホンをしていても周囲の騒がしさから発言する声が大きくなってしまいがちです。自身の会議での発言内容が周囲の人に聞こえてしまい、情報漏洩する可能性も否定できません。大声で機密情報を暴露しない、周囲との座席の間隔を空けるなど、細心の注意を払いましょう。
テレワークのセキュリティ対策に関しては、総務省ガイドラインで明示されており、「ルール」「人」「技術」のバランスが取れた施策として推奨されています。
情報セキュリティ対策として最重要となるものは、各社で定める「情報セキュリティポリシー」です。情報セキュリティポリシーとは、自社における情報セキュリティに関する方針や行動指針をまとめた文書であり、下記の3段階で構成されています。
【引用】テレワークセキュリティガイドライン┃ 総務省
情報セキュリティポリシーの内容は企業の業種・業態、企業理念、経営戦略によって異なるため、自社の企業活動に合致する情報セキュリティポリシーの策定が必要です。
悪意あるソフトウェアへの対策は欠かせません。システム管理者は、フィルタリングなどの設定を行い、テレワーク勤務者の危険なサイトへのアクセスを制限しましょう。
また、テレワーク勤務者には、インターネット経由での感染例が多いウイルスやワームの脅威への備えも重要です。テレワークで使用する端末から危険なサイトへのアクセスは行わず、アプリケーションをインストールする際はシステム管理者から許可を受けた後にインストールしましょう。
職場外に情報資産を持ち出す際は、予めその原本を安全な場所へ保存しておきます。ウイルス感染による電子データの改ざんや破壊に対する最終的な防衛方法は、取り外しが可能な記録装置(外付けハードディスク、SSD、USBメモリなど)にバックアップし複製を用意することが有効です。
複製を用意しておくことで、ウイルス感染だけでなく、コンピュータの故障や人為的なミスによる電子データの削除への対策にもなります。
機密性が求められる電子データを送信する際は、必ず暗号化を行いましょう。
インターネットを経由する際、悪意ある第三者が通信内容を傍受している可能性があります。
機密情報を含む全てのデータのやり取りを行う場合は、VPNを使った暗号化通信を用いることで安全を確保できます。
インターネット経由での電子メールを暗号化する場合は、別途指定が必要です。
テレワーク先から社内システムへのアクセス経路は、第三者に悪用されると不正侵入につながる恐れがあります。
したがって、システム管理者はテレワーク勤務者の利用者認証について、技術的基準を明確に定め、適正に管理、運用を行いましょう。
また、社内システム接続のためのアカウントとパスワードが外部に流出すると、悪意ある第三者がテレワーク勤務者になりすまし、社内システムにアクセスする可能性があります。パスワードやICカードなどの利用者認証情報の適切な管理が必要です。
・テレワークは情報セキュリティリスクが高く、多くの利用環境において細心の注意を払う必要がある
・場所を選ばずに仕事ができるテレワークだからこそ、公共の場での作業による情報漏洩には細心の注意を払う
・テレワークのセキュリティ対策は、総務省ガイドラインで明示されており、「ルール」「人」「技術」のバランスが取れた施策として推奨されている
社会保険労務士の中でも、10%に満たないと言われる助成金を専門に手掛ける特定社会保険労務士/ワークスタイルコーディネーター。なんば社会保険労務士事務所の所長。
詳しいプロフィールはこちら