「初めてのテレワーク、何に気をつけたらいいんだろう?」
「自社にテレワークを導入するにはどうすればいい?」
と考えたことはありますか。
2020年の新型コロナウイルス流行以降、日本でもよく聞く業務形態になったのがテレワークです。
リモートワークという呼び方で、聞き馴染んでいるかもしれません。
テレワークを導入する企業が増えていますが、実際にテレワークで働いた経験がない方もいるかと思います。
そこで、本記事では、
- テレワークで気をつけるべきこと
- テレワークを導入するにあたって必要なセキュリティ対策
を解説します。
目次
広がりつつあるテレワークとは
テレワークとは、会社に出社せず自宅や外出先からオンラインツールなどを用いて業務を行う、場所や時間にとらわれない働き方のことです。
テレワークのメリットを上手く活かして、旅行先から業務を行うワーケーションを楽しむ人もいます。
テレワークを取り入れることで、病気や育児・介護・災害発生によりオフィスでの勤務が厳しい場合も作業ができるようになり、生産性の向上が見込めます。
テレワーク普及の経緯は?
テレワークは1970年頃からアメリカで実施されたのが始まりであり、日本でも1980年代にサテライトオフィスを設置する企業が現れました。
しかし、日本でテレワークが大きく普及したのは、2020年の新型コロナウイルスの流行以降です。
2020年以前にも、政府が主導してテレワークを推進する動きがあったものの、定着することはありませんでした。
例えば、2007年には、安倍元内閣総理大臣の「テレワーク人口の倍増を目指す」という表明等を受けて、テレワーク推進を目指していました。(※参考:総務省 平成19年版 情報通信白書)
テレワークの実施率は現在低下傾向
コロナ禍により普及率が増加したテレワークですが、当時と比べて現在は実施率が低下しています。
その原因として、環境整備や評価基準の設定が難しい、社内コミュニケーションが減り離職者が増えたなどが挙げられます。
また、現在では、状況に応じて対面業務とテレワークを切り替える「ハイブリットワーク」が定着しつつあります。
テレワークで気を付けるべきこと=情報漏洩
勤務地を選ばないテレワークは非常に画期的ですが、実施するにあたって気をつけなければならないことも存在します。
その中でも、特に危険なのは情報漏洩が起きる可能性が非常に高いということです。
情報漏洩の危険性が高い
テレワークで情報漏洩が発生しやすい原因として、会社の目が届かないところで業務を行うことが考えられます。
会社の目が届かないというのは、個人の行動の自由度が上がるということです。
自由度が高くなることで、
- 社外の人間の目の前で業務を行った
- 様々なソフトがインストールされた個人所有のPCで作業した
- 業務中だけど、つい業務と関係のないSNSなどを見てしまった
のように、うっかりと情報漏洩に繋がる行動をとってしまう危険性が高まります。
テレワークは、自由な働き方ができてよい反面、問題発生時の判断が個人にゆだねられてしまう傾向があるという危険な側面もあるのです。
テレワークで発生するセキュリティ事故6選
では、テレワークではどのような行動が原因で情報漏洩が発生してしまうのでしょうか。
テレワークで発生するセキュリティ事故の具体例として、以下のようなものが想定できます。
- ID・PWが漏れてPCに不正アクセスされる
- フリーWi-Fiを利用して不正アクセスを受ける
- ウィルスに感染して端末を使用できなくなる
- 端末やUSBを紛失する
- 画面の覗き見をされる
- 仕事用の端末でフィッシングに引っかかる
順番に見ていきましょう。
ID・パスワードが漏れてPCに不正アクセスされる
テレワークによって発生するトラブルとして、IDやパスワードが流出してPCに不正アクセスされてしまいます。
IDとパスワードが流出すると、どれだけ厳重にセキュリティ対策を行っても簡単に情報が流出してしまいます。
例えば、VPNによる対策もID・パスワードが流出してしまうと意味を成さなってしまいます。
フリーWi-Fiを利用して不正アクセスを受ける
テレワークによって発生するトラブルとして、勤務にフリーWi-Fiを利用したことが原因で不正アクセスを受ける可能性があります。
フリーWi-Fiは誰でも利用できて便利な反面、情報漏洩の原因となる危険性が高くもあります。
テレワーク中にフリーWi-Fi利用することはあまりおすすめできません。
フリーWi-Fiの危険性について知りたい方は、こちらの記事もおすすめです。
ウィルスに感染して端末を使用できなくなる
テレワークによって発生するトラブルとして、ウィルスに感染して端末を使用できなくなる可能性があります。
業務で利用するソフト以外のソフトをテレワークで使用している端末で利用する場合、ウイルス感染のリスクが高まります。
ウイルスに感染しないためには、OSやセキュリティソフトのバージョンを最新に保つなどして対策をすると良いでしょう。
また、万が一ウイルスに感染した場合に復旧できるように定期的にログをとるなどの対策も有効です。
端末やUSBを紛失する
テレワークによって発生するトラブルとして、端末やUSBメモリを紛失する可能性があります。
テレワークを行うことで、通常の業務を行う場所からPCやUSBメモリ等を持ち出す機会が増加しました。
そのため、これらを紛失してしまうリスクも同時に高まっています。
端末やUSBメモリ等を紛失してしまった場合の対策として、データの暗号化や遠隔からデータを消去等できるシステムを用意するなどの対策を行うことが大切です。
画面の覗き見をされる
テレワークによって発生するトラブルとして、勤務中のPC画面を覗き見をされる可能性があります。
本来のオフィスでの業務では、周囲にいる人間はすべて組織の関係者でした。
しかし、テレワークを行うことで、家族など業務に関わりのない人物が周囲にいる状態で勤務ができるようになりました。
本人に悪気が無くても、撮影した写真にPC画面が映りこんでしまうなど思いもよらない方法で情報が漏洩する可能性があるため注意が必要です。
仕事用の端末でフィッシングに引っかかる
テレワークによって発生するトラブルとして、仕事用の端末でフィッシングに引っかかる可能性があります。
個人の端末を利用してテレワークを行っている場合、業務と関係のないメールを受信することもあります。
これらに紛れて受信したフィッシングメールに騙されて開封してしまうと、PC内に保存された業務に必要な情報も漏洩してしまう可能性があります。
フィッシングメールについてより詳しく知りたい方は、こちらの記事もご覧ください。
事故を防ぐために「テレワークセキュリティガイドライン」がある
このように、何も知らずにテレワークを行っていると様々なセキュリティ事故が起こるのです。
では、テレワークによる事故を防ぐためには、どのような対策をすればよいのでしょうか。
その方法をまとめたものが、総務省が公開している「テレワークセキュリティガイドライン」です。
「テレワークセキュリティガイドライン」とは
テレワークセキュリティガイドラインには、安心してテレワークを導入、活用する方法について詳しく記載されています。
このテレワークセキュリティガイドラインの中で総務省は、「『ルール』・『人』・『技術』の三位一体のバランスがとれた対策を実施し、全体のレベルを落とさないようにすることがポイント」であると呼びかけています。
これを分かりやすく言うと、
- セキュリティ確保のためのルールを作る=「ルール」
- 人がルールの趣旨を理解し遵守する=「人」
- 技術を使ってを補う=「技術」
が必須であるということです。
テレワークではセキュリティ確保のためのルールを作る
まず第一に、安全なテレワークに必要なものが「ルール」です。
テレワークを導入する前にセキュリティ部門でしっかりと社内のテレワークのルールを定めることで、事故を未然に防ぐことができます。
業務を進めるに当たって、セキュリティの安全性をその都度判断するのは非効率的な上、専門家でなければ適切な判断を行うこともできません。
テレワークのやり方をルールとして定めておけば、従業員はルールを守ることだけで安全に仕事を進めることができます。
人がルールの趣旨を理解し遵守する
安全なテレワークをするには、ルールを理解する「人」も重要です。
定めた社内ルールを全ての社員が正確に把握していることは、ルール作成と同じくらい重要なセキュリティ対策です。
テレワーク勤務者はオフィスから目の届かない場所で業務を行うため、ルールが守られているかどうかを企業側が確認することが難しいからです。
ルールを定着させるには、テレワーク勤務者にルールの趣旨を理解してもらい、ルールを守ることでどのようなメリットがあるのかを自覚してもらう必要があります。
技術を使ってを補う
そして、なんと言っても「技術」がテレワークには重要といえます。
「技術」面の対策は、「ルール」や「人」では対応できない部分を補完します。
技術的なセキュリティ対策としては、
- 通信を暗号化する
- 端末や記録媒体内の情報を暗号化する
- セキュリティソフトを導入する
- 会社が指定したサービスの使用を制限する
などが考えられます。
つまりこの「技術」が指しているのは、ルールをつくって人に理解させるだけではなく、セキュリティシステムを使って安全なテレワーク環境を作ろう、ということです。
導入するテレワーク方式の特徴や活用方法を踏まえて、利便性とセキュリティのバランスが取れるものを導入検討しましょう。
テレワークに効果的なセキュリティ対策8つ
上記の『ルール』・『人』・『技術』のバランスがとれた対策を細かく理解すると、テレワークに効果的なセキュリティ対策は8つあります。
これらは、テレワークセキュリティガイドラインをもとにした対策方法になります。
- 社内でセキュリティの規則を設定する
- 端末のセキュリティ状態を最新に保つ
- モバイル端末の盗難・紛失対策を行う
- 通信の暗号化を行う
- クラウドサービスの認証・アクセス制御・アカウント管理を適切に行う
- 会社が認可しないクラウドサービスや個人アカウントの利用を制御する
- 自動画面ロック機能や覗き見防止フィルターを活用する
- セキュリティ対策ソフトを利用する
また、不正の手口は常に巧妙化・新しくなっているため、これらをすべて行ったからと言って警戒を怠ってはいけません。
しかし、既存の不正手法の大部分は防げるためぜひ参考にしてください。
①社内でセキュリティの規則を設定する
テレワークでの情報漏洩対策として、社内でセキュリティの規則を設定することが大切です。
予め、社内でセキュリティのルールを定めておくことで、一般社員はルールを守ることを徹底するだけで危険な行為を犯さずに済みます。
また、作成したルールはしっかりとすべての社員に周知させるようにしましょう。
②端末のセキュリティ状態を最新に保つ
WindowsやAdobe製品のアップデート、Webブラウザの更新は行っていますか。
業務を行う上で使用するモバイル端末やツールのセキュリティ状態は常に最新に保つことが肝心です。
これを徹底するだけでもウイルス感染のリスクを減らせます。
③モバイル端末の盗難・紛失対策を行う
テレワークでの情報漏洩対策として、端末の盗難・紛失対策は重要です。
盗難・紛失対策には、保存した機密情報を暗号化することが有効です。
テレワークを行うことで情報を社外に持ち出す機会が増えるため、盗難・紛失対策は特に念入りに行いましょう。
また、端末本体だけでなく、USBメモリやSDカードなどの記録媒体の盗難・紛失対策も徹底しましょう。
④通信の暗号化を行う
テレワークでの情報漏洩対策として、通信の暗号化を行うことは重要です。
暗号化を行うことで、万が一、通信経路上の第三者に情報を覗き見されそうになっても通信内容を保護することができます。
解読方法が確立してしまっている暗号化手法もあるため、通信の暗号化手法はしっかりと安全性を確認してから決定しましょう。
⑤クラウドサービスの認証・アクセス制御・アカウント管理を適切に行う
テレワークでの情報漏洩対策として、クラウドサービスの認証・アクセス制御・アカウント管理を適切に行うことは大切です。
データの共有や保存にクラウドサービスを使用している企業もあることでしょう。
そこに利用資格のないユーザーが不正にアクセスしないように「アカウント認証・アクセス制御・アカウント管理」も徹底しましょう。
⑥会社が認可しないクラウドサービスや個人アカウントの利用を制御する
テレワークでの情報漏洩対策として、会社が認可しないクラウドサービスや個人アカウントの利用を制御することは大切です。
セキュリティ対策をした端末からアクセス可能なクラウドサービスであっても、機密ファイルをアップロードした後に情報が漏えいするというリスクがあります。
会社が認可しないサービスを利用しないよう社内のリテラシーを高めましょう。
折角、会社指定のクラウドサービスを契約し、アカウント認証・アクセス制御・アカウント管理を行ったとしても、業務の中で認可していないラウドサービスや個人アカウントを使っては意味がありません。
⑦自動画面ロック機能や覗き見防止フィルターを活用する
テレワークでの情報漏洩対策として、自動画面ロック機能や覗き見防止フィルターを活用することは重要です。
情報漏洩の原因として、盗み見を侮ってはいけません。
これらの対策を怠っていると、せっかく念入りに行ったシステム面の対策が全て水の泡になってしまいます。
⑧セキュリティ対策ソフトを利用する
テレワークでの情報漏洩対策として、セキュリティ対策ソフトを利用することが有効です。
セキュリティ対策ソフトは、マルウェア感染のリスクを抑えるだけでなく、危険なWebサイトへのフィルタリングなどの機能を持つものもあります。
また、セキュリティ対策ソフトの効果を最大限生かすために、ソフトは常に最新の状態を保つようにしましょう。
テレワークのセキュリティは定期的にチェックする
テレワークを導入するにあたって重要なセキュリティ対策を解説しました。
しかし、上記の対策を一度行ったからと言って安心してはいけません。
テレワークのセキュリティ対策として最も大切なのは、行った対策を定期的に確認すること、そして定期的に更新を行うことです。
現在の対策で満足せず適切な更新が必要
セキュリティ対策の更新を怠っていけないのは、常に新しい攻撃の手口が生まれているからです。
また、使用している業務用ツールによってはあとから脆弱性が確認されることも、その修正プログラムが発表されることもあります。
使用するツールの情報は、テレワークの導入時だけでなく、導入後も継続して積極的に集めることが大切です。
実際の定期的なセキュリティチェックによる脆弱性解消の例
例えば、パソコンやスマートフォンで簡単にセミナーやミーティングができるビデオ会議アプリ「Zoom」は、定期的なセキュリティチェックでUNC(Universal Naming Convention)パスの処理に関する脆弱性を見つけました。(※参考:Zoom の脆弱性対策について│IPA 情報処理推進機構)
Zoomではこれを受けて、IPA(情報処理推進機構)に注意喚起を行いました。
現在では公式サイトで脆弱性を解消する修正プログラムが発表されています。
もしこれに気付くのが遅れていたら、zoomは不正アクセスされ莫大な量の情報流出をしてしまっていた可能性があるため、定期的なセキュリティチェックは必須といえます。
まとめ
テレワークは、自由な働き方ができる反面、セキュリティ面では問題が発生しやすいということを説明しました。
また、テレワークを安全に導入するためには、
- 社内でセキュリティの規則を設定する
- 端末のセキュリティ状態を最新に保つ
- モバイル端末の盗難・紛失対策を行う
- 通信の暗号化を行う
- クラウドサービスの認証・アクセス制御・アカウント管理を適切に行う
- 会社が認可しないクラウドサービスや個人アカウントの利用を制御する
- 自動画面ロック機能や覗き見防止フィルターを活用する
- セキュリティ対策ソフトを利用する
などの対策をとることが大切です。
テレワークを導入する際はセキュリティ対策も併せて取り入れ、自社の生産性向上に役立てくださいね。
