テレワーク時代における効果的なセキュリティ対策について

2018年6月29日の参院本会議において、「働き方改革関連法」が成立。
その改正骨子の1つとして「時間外労働の上限規制の導入」が挙げられました。これにより生産性向上が日本企業全体の課題となっています。

さらに近頃は、新型コロナウイルスの感染拡大を受け、4月に緊急事態宣言が出されたこともあり、在宅勤務が推奨されています。
これらの背景から、「テレワーク」の導入を検討している会社も、多いのでは？

しかし、ビデオ会議ツール「Zoom」などでは、脆弱性の話が挙がっているのも事実です。
この記事では総務省が発行した「テレワークセキュリティガイドライン」をもとに、テレワーク導入時に検討したいセキュリティ対策を紹介します。

広がりつつあるテレワークとは

テレワークとは、情報通信技術（ICT = Information and Communication Technology）を活用した、場所や時間にとらわれない働き方のことです。
このテレワークを取り入れることで、病気や育児・介護・災害発生によりオフィスでの勤務が厳しい場合も作業ができるようになり、生産性の向上が見込めます。

テレワーク推進で考えたいセキュリティ対策

しかし、いざテレワークを導入する場合は懸念点もあります。
「社内コミュニケーションが不足するのではないか？」「顧客外部対応に支障がでるのではないか？」「適切な労働管理や人事評価ができるのか？」といった点は、導入前に考慮する必要があります。

これらの課題に加えて、セキュリティ面の知識や配慮の不足も対策すべきポイントです。
テレワークではほとんどの場合、、ノートパソコンなどの持ち運び可能な端末を利用します。そのため、業務に使用する情報資産は、ウイルスの感染や通信内容の盗聴などの脅威にさらされやすくなります。また、テレワーク端末や記録媒体の紛失・盗難の危険性も視野に入れなくてはいけません。
テレワークを行うのであれば、不正アクセスを防ぎ情報を漏洩させないシステムの導入や、社内のリテラシー向上も同時にする必要があります。

この現状に対し、総務省はテレワークセキュリティガイドラインの中で、「『ルール』・『人』・『技術』の三位一体のバランスがとれた対策を実施し、全体のレベルを落とさないようにすることがポイント」であると伝えています。
これは、テレワークを行う際は「セキュリティ確保のルールを作ること」「人がルールの趣旨を理解し遵守すること」「技術（ツール）を使ってルールや人では対応できない部分を補うこと」の3点が必須になるというものです。

参考：テレワークセキュリティガイドライン│総務省

この点をふまえた上で、テレワーク時代における効果的なセキュリティ対策はどのようなものが挙げられるのでしょうか。

テレワーク時代における効果的なセキュリティ対策

テレワーク時代における効果的なセキュリティ対策として、ご紹介したいのは

1. モバイル端末のセキュリティ状態を最新に保つ
2. 適切なモバイル端末の盗難・紛失対策（HDD暗号化など）を行う
3. クラウドサービス利用時の認証・アクセス制御・アカウント管理を適切化
4. 会社が認可しないクラウドサービスや個人アカウントの利用を制御

の4点です。

1．モバイル端末のセキュリティ状態を最新に保つ

WindowsやAdobe製品のアップデート、Webブラウザの更新は行っていますか？
業務を行う上で使用するモバイル端末やツールのセキュリティ状態は常に最新に保つことが肝心。これを徹底するだけでもウイルス感染のリスクを減らせます。

2．適切なモバイル端末の盗難・紛失対策（HDD暗号化など）を行う

社外で業務を行う場合、モバイル端末やUSBメモリなどの外部記憶媒体の盗難・紛失対策も必須です。
仮にどこかで紛失した場合に備えて、管理者・ユーザーともに負担が少ない「ハードディスクの暗号化」を行っておくのもおすすめです。

3．クラウドサービス利用時の認証・アクセス制御・アカウント管理を適切化

データの共有や保存にクラウドサービスを使用している企業もあるでしょう。
そこに利用資格のないユーザーが不正にアクセスしないように「アカウント認証・アクセス制御・アカウント管理」も徹底しましょう。

4．会社が認可しないクラウドサービスや個人アカウントの利用を制御

会社が認可しないサービスを利用しないよう社内のリテラシーを高めましょう。
せっかく会社指定のクラウドサービスを契約し、アカウント認証・アクセス制御・アカウント管理を行ったとしても、業務の中で認可していないラウドサービスや個人アカウントを使っては意味がありません。

セキュリティ対策をした端末からアクセス可能なクラウドサービスであっても、機密ファイルをアップロードした後に情報が漏えいするというリスクがあります。
情報漏えい後、被害をより少数にとどめるのも難しくなるため、会社の認可したサービスだけを利用するよう徹底しましょう。

既存ツール「Zoom」のように脆弱性の解消方法が指摘される場合も

また、使用率が高まる中で脆弱性が指摘され、その解消方法が指摘されるツールもあります。

例えば、パソコンやスマートフォンで簡単にセミナーやミーティングができるビデオ会議アプリ「Zoom」は、UNC（Universal Naming Convention）パスの処理に関する脆弱性が確認されました。
そのため不正者はパソコンにリモートアクセスすることが可能となり、チャット機能を通じて特定のURLをクリックさせ、認証情報を窃盗したり、任意の実行可能ファイルを起動させたりといったことができてしまうのです。
また「Zoombombing」と呼ばれる不快なビデオ共有を行う荒らし行為も取り沙汰されました。

Zoomではこれを受けて、IPA（情報処理推進機構）は注意喚起を行いました。現在では公式サイトで脆弱性を解消する修正プログラムが発表されています。

参考：Zoom の脆弱性対策について│IPA　情報処理推進機構

このようにツールによっては脆弱性が確認されることも、その修正プログラムが発表されることもあります。使用するツールの情報は、テレワークの導入時だけでなく、導入後も継続して積極的に集めることが大切です。

テレワーク導入時はセキュリティ対策も併せて検討を

テレワークが広まれば

• 災害発生時の業務継続
• 柔軟な働き方による従業員の雇用の確保
• 企業ブランドのイメージ向上

など、企業や従業員だけでなく、社会全体にもメリットがあります。テレワークの需要は今後も高まることでしょう。
仮にテレワークを導入する際はセキュリティ対策も併せて取り入れ、自社の生産性向上に役立てくださいね。

記事監修

かっこ株式会社　O-PLUX事業部　ディビジョンマネジャー　青木 泰貴

大手SIerをへて2015年1月にかっこ株式会社に入社。不正注文検知サービスO-PLUXのセールス＆マーケティング部門にてセールス戦略立案や、新規加盟店開拓に従事。100以上のECサイトで不正注文削減に実績を上げている。