好きな所から読む
昨今のコロナウィルスの影響で、企業へのテレワークの要請は日に日に高まっています。しかし、テレワークを実現しようにも、それが可能なITインフラ・体制になっていないことが殆どではないでしょうか?そのような企業様のために、本記事ではテレワーク時のセキュリティの課題について解説致しました。
⇒テレワークに必要なセキュリティを実現するのがゼロトラストです。ゼロトラストに関する資料を今だけ無料プレゼント中!
テレワーク時のセキュリティ対策
これまでの日本企業の働き方と言うのはオフィスに通い、オフィスで働くことが当たり前でした。しかし、今ではテレワークの重要性が日に日に高まっています。テレワークとは職場以外の場所でも職場と同様の働き方を行い、時間と場所に囚われない柔軟な勤務形態を指します。政府の推し進める働き方改革の影響もありますが、昨今のコロナウィルスの流行により急速に広まりました。テレワークが可能になれば、時間の使い方がより効率的になり業務の生産性が上がります。また多くの人材に働く機会を提供できます。この労働人口が減少していく中、効果的な対策として期待されます。今後この需要はますます高まっていくことが予想されています。
テレワークの形態では社外から社内のシステムにアクセスする必要があります。これで社外でも社内システムの情報が取り扱えます。そして、時間と場所にとらわれない働き方を実現する事が出来ますします。一方で、この勤務形態にはリスクも伴います。社外から社内システムへのアクセス、また社外に機密情報を持ち出すことによるデータ流出のリスクです。新しい働き方が普及し、企業は新たな取り組みを求められています。
本日はこのテレワーク時のセキュリティ対策についてお話致します。まず、リモートワークにはどのようなリスクがあるのでしょうか? 具体的なシチュエーションに分けてご説明いたします。
企業からテレワーク環境が提供されている場合
まず、企業からリモートワークの環境が用意されている場合です。これは企業から従業員にノートPCや携帯等が貸与され、リモートワーク用にVPN接続などの通信環境を用意された場合です。企業が機器を用意しネットの安全面での環境は整えた上でリモートワークの環境整備している以上、そこには厳格な社内ルールがあります。このルールは機密情報を守るためにあります。その社内ルールをきちんと確認して、会社全体での徹底がまず重要です。特に、全員の労働状況を監視できませんので一人一人が決められたルールを守ることが大切です。
また、これはテレワークの導入により新しくできたルールのはずですから、不具合が出たり、不明な点等が必ず出てきます。その際に自分の判断ではなく必ず会社に判断を仰いでから問題を解決しましょう。また、自分が利用する機器に関してもセキュリティ対策がなされているか再度確認する必要があります。
企業からテレワーク環境が提供されていない場合
次に、企業が上述したようなリモートワーク環境が提示されていない場合です。この場合のセキュリティ対策は自分自身で行うしかありません。ネット使用環境や、機器の多要素認証など取れる対策を行いましょう。いくつかの機関(総務省、IPA)がセキュリティ対策のガイドラインを公開しているのでこれらを参照してください。以下はIPAと呼ばれる独立行政法人 情報処理推進機構が出しているセキュリティ対策です。
こういった情報を参考にして、セキュリティ環境を準備してください。
- 修正プログラム
- セキュリティソフトの導入、定義ファイルの最新化
- パスワードの管理と設定
- 不審メールへの注意喚起
- USB等の取り扱いへの注意
- 社内ネットワークへの接続ルールの遵守
- ソフトウェアインストール時の注意点
- PC画面のロック機能設定
テレワーク環境で特に注意すること
テレワークを行う上で特に注意すべき点があります。それは企業の機密情報の取り扱い方です。リモートワーク時のセキュリティ対策と言うとリスクはネット上にだけあると考えがちです。確かに、脆弱なセキュリティ環境でネットから社内システムへのアクセスにはリスクが伴います。しかし、情報流出のリスクはそれだけではありません。リモートワークのようなオフィス外で働く状況だからこそ、話し声や書類、PCの管理の仕方だけで情報が漏洩する可能性があるのです。またオフィスとは違い、社員の働き方一人一人を監視できないため、どこから情報が漏れるか分からないと言うリスクも企業側は抱えています。
万が一、企業の機密情報が流出してしまうと、その企業が損失を被るだけでなく、企業自身の社会的信用が著しく損なわれます。また取引先の情報なども漏洩させてしまった場合は取引先にも損害を与える可能性もあります。最悪の場合、損害賠償を請求される事態にもなり得ます。従って、情報の取り扱いには細心の注意と対策を取る必要があります。以下に注意点を整理します。
- 情報漏洩防止の観点から、PC画面を覗かれないように注意する
- 公共の場で通話やオンライン会議などの場合に周囲の人に声が聞こえないように注意する
- 公衆WIFI利用時にPCのファイル共有機能はオフにする、または快適さを犠牲にして信頼性の高いVPN接続を利用する
- デジタルデータだけでなく、紙の書類からの情報漏洩にも注意する
では、具体的な安全上の課題と言うのはどんなものでしょうか? 次では具体的な課題について説明していきます。
テレワーク環境で問題になりやすいセキュリティ上の課題
先ほども少し触れましたが、テレワーク環境では安全対策をどのようにとるかが非常に重要です。リモートワークは便利な反面、絶えず情報流出の危険性にさらされているためです。そしてリスクはネット上にも、実生活の中にも存在します。安全上の課題には以下のリスクが挙げられます。以下にて1つずつ解説していきます。
セキュリティ上の課題
- 業務データの損失
- 公共の場での盗み見
- 公共の場での盗難
- 自宅などの通信環境の脆弱性
以下にて1つずつ解説致します。
業務データの損失
企業が扱う情報は大半が機密情報です。それをもし失うと企業に損失をもたらし、取引先の信用も失います。そのような大切な情報を外部に持ち出すので、この取り扱いには注意が必要です。紙媒体での書類やUSBでのデータの持ち出しはデータ自体を紛失するリスクがあります。書類やUSBをどこかに置き忘れたり、誰かに盗まれたりするリスクです。このようなリスクを防ぐためには情報の持ち出しには会社として制限を設ける必要があります。
また社内で利用しているクラウドサービスではなく外部のクラウド利用する場合も注意が必要です。会社で利用が許可されていないクラウドサービスを利用することでここから情報流出のリスクがあります。
公共の場での盗み見
例え、インターネット上でデータが流出しなくても、テレワークで機密情報が流出する事は考えられます。例えば、カフェなどの公共の場でPCを開いてテレワークを行う場合などです。ここでは後ろや横の席からパソコンの画面を覗かれて情報が流出するリスクがあります。このようなリスクに備えて、隣の人との間隔をあけて座る、通路側の席は避ける、鏡の近くは避けるなどの対策は最低限必要です。
またパソコンには覗き見防止フィルター等の対策を講じましょう。ただ、このフィルターも万能ではないので、1番の基本は人に覗かれるような位置に座らないことです。さらに作業中のパソコン画面も企業ロゴは隠すなど、パッと見られただけでは何の情報かわからない工夫も必要です。
公共の場での盗難
テレワークの場合ノートPCや携帯端末を外に持ち出します。あるいは機密情報の入った書類やUSBを外に持ち出すことになります。公共の場でテレワークで行う場合、これらの管理が非常に大切になります。万が一、これらの道具が盗難にあった場合、会社の情報が盗まれてしまう、顧客情報などの機密情報が外部に漏洩してしまうことになります。また、このような情報の管理は会社ではなく個人に完全に依存してますので、従業員一人ひとりの管理が非常に重要になります。特に、USBや書類などは一度盗難にあうとトレースはほぼ不可能です。ノートPCについてはPCにアクセス権や読み取り専用などの保護環境を整備しましょう。
自宅など通信環境の脆弱性
社外から社内システムにアクセスする場合、インターネット回線を必ず使います。この際、使用する場所でのネット回線状況がセキュリティに大きく影響与えます。特にセキュリティ対策がとられていないフリーWi-Fiの環境下では注意が必要です。セキュリティが脆弱な環境下ではハッキングやウィルス感染のリスクに晒されます。
フリーWi-Fiが利用できる場所の近くでは、悪意を持ったものが偽のアクセスポイントを用意して、ネットにアクセスする人を待ち構えるケースもあります。そこでID、パスワードを盗み取りIDを乗っとられるリスクがあります。機密情報が漏洩するリスクを避けるためにも、ご自身が使用するインターネット環境がセキュリティー対策のとられたものなのかを事前に確認する必要があります。フリーWi-Fi環境下で社内ネットワークにアクセスする場合はVPN接続を選択するなど情報漏洩に最善の注意を払いましょう。
このように多くの課題がありますが、次では具体的な対策についてご説明致します。
テレワーク時のセキュリティ対策
ここまで述べてきたようにテレワークにはセキュリティ上の課題がたくさんあります。情報を取り扱う個々人の意識レベルを高く保つことが大切ですが、やはり企業としてはセキュリティ保全のために具体的な対策を取る必要があります。では、ここで具体的なテレワーク時のセキュリティ対策について解説致します。代表的なセキュリティ対策としては以下の2つがあります。大切な事はセキュリティ対策は1つでは十分ではないと言うことです。複数組み合わせて使う必要があります。
- 通信の暗号化
- 多要素認証など強力な認証
以下1つずつご説明致します。
通信の暗号化
公共の場にあるフリーWi-Fi等の通信環境では行き交う情報は暗号化されていません。ここでのリスクはこの情報が盗み見られたり、入力したIDパスワードがそこでハッカーに盗まれるといった事態です。よくある、「なりすましメール」というのはこのような場所でIDやパスワード盗まれてアカウントを乗っ取られています。このような脆弱なセキュリティ環境下で社内ネットワークに接続することは絶対に避ける必要があります。
安全に情報をやり取りするためには情報を暗号化する必要があります。ここで、VPN接続が必要となります。VPNとはVirtual Private Networkのことで仮想の専用回線を指します。インターネット上で安全な情報交換のできる空間を作り出す接続方法です。VPN接続された状態であれば仮想の専用回線の中で情報がやりとりされます。このようにしてネットワークの安全性が保たれます。
とはいえ、VPN自体の脆弱性をつかれた場合やVPNの帯域が詰まって接続が遅くなるケースは非常に多いので、多要素認証などと上手く組み合わせて利用していく必要があります。
数あるVPNの中で、おすすめは『NordVPN』です。NordVPNの担当者様にお話しをお伺いしたところ、NordVPNは2023年10月2日時点で世界各国(60ヵ国)に5,863台の高速VPNサーバーを持ち、最先端のセキュリティ技術を採用しています。スマートフォンやタブレットなど同時に最大6台のデバイスに接続できます。24時間年中無休のライブチャットでいつでもサポートを受けられる点も魅力のひとつです。
多要素認証など強力な認証
次にネットワークにアクセスする際の認証についてです。これはネットワークに接続する端末を事前に特定すると言うことです。先ほど、なりすましのリスクを防ぐためにVPN接続の重要性について説明しました。
では、既に乗っ取られたID・パスワードを使って攻撃者が社内システムにアクセスを試みた場合、どのように対処できるでしょうか ?パスワードリスト型攻撃などをはじめ、離職者などが悪意を持ってアクセスするケース、内部犯行などにも備える必要があります。VPNは明確にこれらのケースに対抗することが出来ません。ここで出てくるのが多要素認証です。
機器認証
多要素認証の中で、認証の1要素として機器の認証を扱うケースがあります。その代表的な例が電子証明書になります。利用する端末に電子証明書の機能をインストールします。VPN接続時にパスワードだけでなく、この電子証明書も加えてシステム側が端末を認証します。こうすることでID・パスワードを持つだけでは社内ネットワークに侵入できません。電子証明書を持ち、認証された機器だけが社内ネットワークにアクセスできるのです。このようにしてアカウント乗っ取りへのリスクに対処します。
社内ネットワークの安全性を保つためにはいくつかのセキュリティ対策を組み合わせ、安全性を高めることが望ましい方法です。
IPAや他機関によるテレワーク時のセキュリティ参考資料
ここまでテレワーク時のセキュリティ対策について説明してきましたが、より深く知りたい方は信頼できる機関の情報を参照してください。ここではいくつかの代表的な機関(総務省、IPA)をご紹介致します。
総務省はテレワークのガイドラインにつき過去何度か発表していますが、平成30年4月にテレワークセキュリティガイドライン(第4版)を発表しています。この中でテレワークを行う上での注意点やセキュリティー環境について触れられています。企業側の取り組みと従業員側の取り組み、どちらの視点でもとるべき対策が書かれています。
先程も軽くIPAについては触れましたが、IPAとは経済産業省の政策を実現するための機関として2004年に設立されました。独立行政法人 情報処理推進機構が正式名称となります。情報セキュリティの強化、IT人材の育成、IT社会の潮流や動向の調査・分析がこの機関の事業領域です。この機関もテレワークにおけるセキュリティ対策についての情報を発信しています。
本日は以上となります。テレワーク時のセキュリティ対策について皆さんの会社、ご自宅では十分な対策が取れているでしょうか? 企業の機密情報というのは漏洩した場合に会社に重大な損害をもたらします。この情報の取り扱いとシステムの利用環境には十分な対策をとって臨んでください。これをきっかけとして、ご自身の勤務環境を見直し、完全なテレワーク環境での働き方を実現してください。
