はじめに


現在、多くの企業が積極的にテレワークを導入していますが、それと同時に浮上しているのが、テレワークにおけるセキュリティのリスクです。

これまでオフィス内のネットワーク環境のセキュリティを万全に整備していた企業でも、急きょテレワークを導入した企業は、セキュリティ対策が不十分なケースが珍しくありません。

たとえば、次のようなケースに該当する企業は、テレワークの導入以前よりもセキュリティのリスクが高まっていると言えます。

☑ 社員が社用PCを家に持ち帰るようになった
☑ 情報システムやIT企画など専門部署がない
☑ テレワーク用のセキュリティ対策は行っていない

新型コロナウイルス感染症の影響もあり、奇しくもテレワークの導入による“働き方改革”が進んだ企業は多いでしょう。しかし、テレワークのセキュリティ対策がおろそかな場合は、顧客情報の流出や悪質なコンピュータウイルスに感染するなどのリスクを内在していることとなり、最悪の場合は多額の損害賠償責任を負うことなども考えられます。

今回は、テレワーク環境の整備(※特にセキュリティ対策)を検討している企業が、知っておきたいテレワークにおけるセキュリティのリスクとその対策について詳しく見ていきましょう。


テレワークにおけるセキュリティの不安とは



テレワーク導入における最大の懸念とは


総務省が発表した調査結果によると、調査の対象となった企業の50%が、テレワークを導入するにあたっての課題として、「情報セキュリティの確保」を挙げています。
※1

なぜ、半数を占める企業がテレワークの導入における課題として、「情報セキュリティ対策」を挙げているのでしょうか。その理由として大きく次の2つが考えられます。

・情報漏洩などのリスクが大きい(→リスクに懸念がありテレワーク導入に踏み切れない)
・セキュリティ対策の仕方がよくわからない(→リスクヘッジができない)

これらの共通点としては、「セキュリティ対策のリスク管理ができていない」ということが言えます。


情報漏洩・消失などテレワークにおける5つのリスク例



既にリスクを理解している企業も多いかもしれませんが、セキュリティ対策を怠った場合のリスクを改めて把握していきましょう。
ここでは、大きく5つに分類しご説明します。

1.自宅Wi-Fiや公衆Wi-Fi(フリーWi-Fi)利用のリスク
2.個人端末利用(BYOD=Bring Your Own Device)によるリスク
3.第三者に閲覧されるリスク
4.社員による不正利用のリスク
5.端末や記録媒体の紛失・盗難のリスク

1.自宅Wi-Fiや公衆Wi-Fi(フリーWi-Fi)利用のリスク



家庭内でWi-Fiルーターを使う際に、初期設定のまま社用PCを接続してテレワークをした場合には家庭内ネットワークから社内ネットワークにマルウェアが広がるリスクがあります。また、カフェなどのフリーWi-Fiなどにおいては、第三者に通信内容を傍受されることによって情報漏洩につながる恐れがあります。


対策の例)
・家庭内ネットワークの初期設定のパスワード変更
・公衆Wi-Fiの利用制限、モバイルWi-Fiの貸与
・社内用Wi-Fiルーターの「WPA2」への切り替え
・ゲストポート機能やネットワーク分離機能を搭載したルーターへの切り替え


2.個人端末利用(BYOD=Bring Your Own Device)によるリスク


社用PCではなく、自宅PCやスマートフォン、タブレットなどの個人端末をテレワークに使用した場合に、セキュリティソフトが入っていないことでトロイの木馬などマルウェアやウイルス感染などのリスクが高まります。また、自宅PCから社内ネットワークへのアクセス権を削除しなかったために、元従業員が情報を外部に漏らすリスクも内在しています。さらには社員が自己判断で脆弱性が内在するアプリケーションを利用することで、情報漏洩に至るケースも考えられます。


対策の例)
・ウイルス対策ソフト、フィルタリングソフトの貸与
・社内ネットワークへのアクセス制限
・個人判断でのアプリケーションのインストールの禁止


3.第三者に閲覧されるリスク


PCやスマートフォンなどをカフェや公園といった不特定多数の人がいる公共の場などで使う場合には、他人に顧客情報やログイン情報を閲覧されるリスクをはらみます。なお、故意によるのぞき見は「ショルダーハック」とも呼ばれ、予想外に被害が多い手口です。


対策の例)
・のぞき見防止フィルタの利用徹底
・自宅以外のテレワークの制限(顧客情報を取り扱わない業務はOKなどルール策定)
・MDMによってデータの取得・閲覧を制限、アクセスできるリソースの限定
・ワンタイムパスワード、マトリックス認証等の利用


4.社員による不正利用のリスク


テレワークになると個人情報など、機密情報の扱いを社員に委ねることになります。例えばテレワーク中の社員が大量の顧客情報を登録したデータベースにアクセスし、お客様のログイン情報などを取得して不正利用してしまう等のリスクが生じます。
このようなリスクに対しては、
USBメモリーなどの記録媒体の利用を不可とするなど、システム設定面の対応を検討する必要があります。
さらに社員には不正行為のリスクを理解してもらい、個人情報の取り扱いに関する研修を実施するなど、コンプライアンス面の教育が非常に重要です。


対策の例)
・個人情報取り扱いに関する研修の社内実施や外部セミナー受講
・テレワークのセキュリティ対策ガイドラインの策定および社員への配布



5.端末や記録媒体の紛失・盗難のリスク


社内のPCにはセキュリティーワイヤーなどを付けて社外への持ち出しを禁じることで、紛失や盗難のリスクを低減できます。一方、テレワークになると社員にPCやスマートフォン、USBメモリーなどの管理を任せることになるため、カフェやホテルなど自宅以外に持ち出す場合には紛失や盗難のリスクが高まります。


対策の例)
・持出機器の取り扱いルールの策定
・MDM(Mobile Device Management/モバイルデバイス管理)の導入

 

 

モバイル端末でのテレワークのセキュリティ対策はできていますか?



次のような場合は、スマートフォンやタブレットなどのモバイル端末のセキュリティ対策も考慮する必要があります。

☑ 私用のモバイル端末を業務連絡に利用しており、不正アプリや不正サイトの利用が不安
☑ 私用のクラウドサービスへ機密データの持ち出しなどが不安
☑ 深夜帯や休日などの業務時間外に、従業員のデバイスの盗難・紛失が不安



対策の例)
・個人情報取り扱いに関する研修の社内実施や外部セミナー受講
・スマートデバイス導入マニュアルの検討・策定および社員への配布
・MDM(Mobile Device Management/モバイルデバイス管理)の導入
・モバイル端末の利用・管理・運用を一括でアウトソースできるサービスの利用
・ウイルス対策ソフトやフィルタリングソフトの導入


これらの対策のうち、特にツール利用やアウトソースでできる対策の詳細は次の通りです。

◎MDM(Mobile Device Management/モバイルデバイス管理)
MDMを導入することで、管理者が遠隔操作により端末をロックやワイプ(データ消去)できるようになるため、データの持ち出しなどによるデバイスの盗難や紛失時にも情報漏洩・消失をしっかりとガードできます。
また、企業のポリシーに合わせたセキュリティ設定ができ、データの取得や閲覧を制限したり、アクセスできるリソースを限定したりすることで万が一のときに被害を低減する予防効果も発揮します。なお、デバイスの情報や状態を取得できる点での管理のしやすさもメリットといえるでしょう。

◎外部のヘルプデスクの利用
モバイル端末の利用・管理・運用を一括でアウトソースきるサービスを利用することもセキュリティ対策のひとつです。紛失や盗難時に外部のヘルプデスクに電話一本で遠隔で端末をロックできます。専任の担当者を置くのが難しい場合には、万が一の備えとして検討するといいでしょう。

◎モバイル向けのウイルス対策ソフトやフィルタリングソフトの導入
ビジネスでのスマートフォン利用が進むなか、多くのユーザーが既にマルウェアをインストールしていると言われ、PCと同様にスマホからも不正アプリや不正サイトへの適切なセキュリティ対策が求められています。
そのためにはマルウェア、OS脆弱性、ネットワーク脅威、情報漏洩リスクアプリを検知できる、エンドポイントセキュリティなどの導入もぜひあわせてご検討ください。

終わりに


テレワークによる業務効率の向上は顕著ですが、同時にさまざまなセキュリティのリスクがあるのが現状です。しかし、適切な対策を行えうことで、安全かつ効率化されたテレワークを実現できます。

業務でのテレワークの必要度、情報の重要度に応じたレベル分けを行ったうえで、テレワークでのセキュリティレベルを定めるという観点を持ち、安全性と利便性の両立を目指しましょう。一方で利便性が低下したり、コストがかさんだりといったデメリットもあるので、予算と利便性を相談できるような事業者に相談することもひとつの手です。

どのレベルが適切なのか、どういった製品を選べばいいのか、お困りの場合は当社までお気軽にお問い合わせください。

(※1出典:総務省「ICT利活用と社会的課題解決に関する調査研究」(平成29年)
https://www.soumu.go.jp/johotsusintokei/whitepaper/ja/h29/html/nd250000.html