最近、大企業や中小企業問わずに導入が進んでいるテレワーク。
東京都が都内の1万社を対象にした『多様な働き方に関する実態調査』では、2019年度は25.1%の企業がテレワークを「導入している」と回答しており、2018年度の19.2%という結果から上昇傾向にあります。
働き方改革や感染症対策により在宅勤務やテレワークが推奨されていますが、オフィスではない場所で業務をするということは情報漏えいや不正アクセスなどのセキュリティ事故が発生する可能性も。
つまり、テレワークを導入する際には、企業はセキュリティ面での対策を講じなければいけません。
今回は、テレワーク・リモートワークにおけるセキュリティの脅威を確認し、企業としてどのような対策ができるのか、そしてどのようなツールを活用できるのかを解説したいと思います。
▶️▶️︎テレワークに監視が必要? テレワークの実態についてはこちら
この記事の内容
テレワーク・リモートワークとセキュリティ
自宅やサテライトオフィス、カフェなどで仕事をするという働き方のテレワークやリモートワークですが、オフィス外で業務にあたるためオフィスと同様の環境で仕事ができるというわけではありません。
特に、テレワークを導入するにあたってインターネット環境は必要不可欠ですが、テレワークだとインターネットセキュリティが脆弱になってしまう可能性が高いのです。
なぜなら、会社では社内ネットワークのみで接続したり、インターネットに接続できる端末を限定したりするため、保護された環境でインターネットを使用することができますが、テレワークとなると同様のセキュリティ環境を整備することは難しいからです。
その結果、顧客情報やアカウント・パスワードなどの重要な情報が漏えいしてしまう危険性をはらんでいます。
インターネットセキュリティ以外にも、テレワークではデバイス盗難やパソコンの覗き見などの危険もあります。
セキュリティリスクの具体例
テレワークにおいて注意が必要なセキュリティリスクは、主に以下のものが挙げられます。
・公衆Wi-Fi利用による情報漏えい
カフェや商業施設、駅や空港など、さまざまな場所で公共の無線LANが提供されるようになっています。
どこでもインターネットに接続できて便利ですが、公衆Wi-Fiはセキュリティ対策がされていない場合も多く、通信内容を傍受されてしまうケースも。
つまり、公衆Wi-Fiを使用して取引先へ重要なファイルを送ったり社内の機密事項をやり取りしたりすると、第三者に筒抜けになってしまう可能性があります。
「公衆Wi-Fiを使用してネット通販で買い物をした際に、カード情報が漏れてしまった」という事例があるため、社内で使用しているITツールへのログイン情報が知られてしまうと、社内の全ての情報が漏れてしまうのです。
・偽Wi-Fiへの誘導
カフェなどのスポットで使える公共Wi-Fiを装って、偽のWi-Fiへ誘導するケースもあります。
偽Wi-Fiを経由してインターネットへアクセスしてしまうと、通信内容が漏れてしまうだけでなくウイルス感染などの危険性も。
安全性が確認できないWi-Fiは使わないようにしましょう。
・デバイスや資料などの紛失・盗難
テレワークを始めるにあたり、たいていの会社ではパソコンやスマートフォンなどのデバイスを貸与するでしょう。
また、業務内容によってはUSBメモリや紙の資料・名刺などが必要となるケースもあり、テレワーク・リモートワークではそれらも持ち歩かなければいけません。
それらを紛失してしまったり盗難されたりしてしまうと、簡単に情報が漏えいしてしまうでしょう。
つまり、テレワークではデバイスや資料などの管理を徹底する必要があります。
・パソコン画面の覗き見、電話の盗み聞き
自宅で自分一人だけで仕事をしている時は問題ないのですが、公共の場所で仕事をしている時は、周囲に注意が必要。
パソコンの画面を覗き見されたり、電話の内容を盗み聞きされたりしてしまう可能性があるからです。
業務や取引などに関わる重要な情報をやり取りする際には、周囲に人がいないか確認しましょう。
テレワーク・リモートワークのセキュリティ対策
先ほど紹介したセキュリティリスクを軽減するため、テレワークやリモートワークを導入する際には対策を講じる必要があります。
【セキュリティポリシーの設定】
社内で情報セキュリティについての体制や規定を統一しなければいけません。
そのためにも、情報セキュリティに関する方針や運用指針などを定める「セキュリティポリシー」を取りまとめましょう。
具体的なセキュリティポリシーがあることで、社内のセキュリティレベルを一定に保つことができます。
設定の際には、テレワーク・リモートワークを考慮した内容にすると良いでしょう。
【システムの対策】
社内で共通のシステムを使用する場合は、システム上の対策も必要。
・ログイン時の多段階認証
・アカウントやパスワードの管理、定期的な更新
・クラウドツールの導入
【端末の対策】
仕事で使うパソコンや携帯電話などの端末も対策しておきましょう。
・起動時のパスワード設定
・フィルタリング機能の設定
・ウイルス対策ソフトのインストール
・紛失や盗難の際のアカウントロック
【スタッフ教育】
スタッフ一人ひとりのセキュリティリテラシーに差がある場合は、社員教育も必要となります。
・不審なサイトやメールを開かない
・データのバックアップを取る
・業務環境の整備
ゼロトラストネットワークという新しい潮流
自社サーバではなくクラウドツールの活用が進んでいる現代では、新しいネットワークセキュリティのモデルとして「ゼロトラストネットワーク」という概念が広がってきています。
今までの企業の情報セキュリティは「社内は安全」という前提でファイアウォールやVPNといった境界防御型対策を行っていましたが、ゼロトラストネットワークとは「全て信用できない(ゼロトラスト)」を前提とした考え方。
逆説的に言うと、信用に値するネットワークのみアクセスを許可するということになります。
「信用」はどのように評価されるかと言うと、アクセスしてきたデバイスがウイルス感染していないか、デバイスにウイルス対策ソフトがインストールされているか、社内で登録されているユーザーか、など複数の要素を多角的に確認します。
ゼロトラストネットワークでは、アカウントごとにアクセス権限を付与したりパソコン以外のタブレットやスマートフォンなどのデバイスを活用したりすることが可能になりますが、アクセス制限などが強固になることで利便性や効率性が損なわれる可能性も含んでいます。
セキュリティ 対策ツール
情報セキュリティには、ツールを導入することで効率的に対策を施すことができます。
ここからは、セキュリティリスクを減らすための対策ツールをご紹介します。
▶️︎▶️︎セキュリティに限らずテレワークに便利なツールを知りたい方はこちら
VPN
1.SmartVPN
ソフトバンク提供のVPNサービス「SmartVPN」。
VPN(Virtual Private Network)とは、インターネット上に仮想ネットワークを設定することで、特定の人やルーターなどからのみ使用することができる専用線。
SmartVPNはソフトバンク提供の「ホワイトクラウド」の各種サービスとの親和性が特に高いですが、他のクラウドツールへもアクセスできるため利便性も期待できます。
工事不要で専用端末を置くだけという簡便性、豊富なアクセスラインナップ、安定したモバイルアクセスを実現するTwinアクセスなどが特徴。
【URL】https://www.softbank.jp/biz/nw/smartvpn/
2.AnyConnect
Cisco(シスコ)提供の「AnyConnect」は、ノートパソコンなどのモバイル端末にインストールして使用するVPNサービス。
オフィスから離れた場所にいてもVPNで企業ネットワークに接続され、企業内のネットワークと同様の環境でインターネットにアクセスすることができます。
安全性が確立された環境下でリモートアクセスできるため、テレワークでも社外秘のデータへ安心してアクセスすることができるでしょう。
【URL】https://www.cisco.com/c/m/ja_jp/products/security/anyconnect.html
リモートブラウズ
3.リモートブラウズ
「リモートブラウズ」は、社内で利用しているクラウドサービスやポータルサイト、イントラネットなどへ、社外のモバイルPCやスマートデバイスからでもアクセスできるサービス。
リモートブラウズに登録されているcookieを保有するデバイスからのみアクセスすることができ、情報漏えいや不正アクセスを防ぎます。
ユーザー数に応じて月額が異なるため、自社にとって必要な分だけ利用できるのも嬉しいポイントです。
【URL】https://biz.rmail.jp/rbrowse/
パスワードレス認証
4.CloudGate UNO
クラウドサービスは便利な反面、サインオン画面が通信内容の傍受や覗き見によって丸見えになってしまう危険性もはらんでいます。
「CloudGate UNO」は、クラウドツールへサインオンする際にパスワードを使わずに、指紋や顔などの生体情報で認証することができます。
また、シングルサインオン連携機能もあり、G Suiteやoffice365などさまざまなクラウドサービスへ一つのアカウントとパスワードでログイン可能です。
【URL】https://www.cloudgate.jp/lineup/uno.html
モバイル端末管理
5.Optimal Biz
円滑に業務を遂行するにあたって、ノートパソコンやタブレット、スマートフォンや携帯電話などのモバイル端末の活用が欠かせません。
テレワークを導入するとなると「誰にどの端末を貸与したか」というデータを詳細に管理する必要がありますよね。
そこで、モバイルデバイス管理(MDM)サービスの「Optimal Biz」を活用することで、デバイスへインストールしているアプリケーションやOSのバージョン、端末ユーザーの場所やWi-Fi環境などを可視化できます。
遠隔地からでも登録端末のロックや初期化ができるため、万が一デバイスが盗難や紛失に遭ってしまっても迅速に対処が可能です。
【URL】https://www.optimalbiz.jp/products/biz/
VDI(仮想デスクトップサービス)
6.Amazon WorkSpaces
クラウドVDI「Amazon WorkSpaces」は、複雑な管理や労力のかかる作業は全て自動で行ってくれるフルマネージド型のサービスです。
Windows 10やAmazon Linux 2のデスクトップ環境を構築できるため、使い慣れたOSで作業をすることが可能。
Amazon WorkSpaces クライアントアプリケーションもしくはChromeやFirefoxといったウェブブラウザからアクセスでき、即座に作業を開始できます。
【URL】 https://aws.amazon.com/jp/workspaces/
7.Microsoft VDI
マイクロソフトのWindows Serverの機能として提供されている「Microsoft VDI」は、WindowsだけでなくiOS、Mac OS X、Android デバイスにWindowsのデスクトップ環境を表示できます。
さまざまなデバイスから使用できることに加え、単一のコンソールから自動的・効率的に管理可能。
低帯域幅でもパフォーマンスが良いことも特徴です。
【URL】https://www.microsoft.com/ja-jp/cloud-platform/products-virtual-desktop-infrastructure.aspx
終わりに
さまざまなメリットのあるテレワーク・リモートワークですが、セキュリティリスクのデメリットもあるということをご理解いただけたと思います。
しかし、きちんと対策すれば避けられることでもあります。
導入において、まずはセキュリティの脅威をきちんと理解し、企業としての対策を講じていきましょう。
エクセルから脱却すべきタイミングとは?
営業管理におけるExcelの課題とSFA/CRMの特徴についての資料です。ExcelからSFA/CRMに移行すべきタイミングとSFA/CRM導入によるメリットを紹介します。
資料をダウンロードする投稿者プロフィール
