テレワークのセキュリティ対策は必須！リスクと具体的な対処法を紹介

テレワークのセキュリティ対策は必須！リスクと具体的な対処法を紹介

新型コロナウイルスの影響で、多くの企業でテレワークが導入されています。
今回はテレワーク導入時の注意しなければならないセキュリティリスクとその具体的な対策について。
総務省が公開している「テレワークセキュリティガイドライン（第4版）」に則して紹介いたします。

＊本記事はテレワークセキュリティガイドライン（第4版）を参考に執筆しています。

テレワークの概要

テレワークとは「情報通信技術を活用した時間や場所を有効に活用できる柔軟な働き方」のことを指します。

働き方改革の一環として、総務省主体で促進されてきたテレワークは新型コロナウイルスの影響もあり現代において急速に社会に浸透しています。
テレワークは雇用創出、地域振興、生産性の向上など様々な効果が期待されています。

テレワーク導入時、包括的なセキュリティ対策が必要になる

テレワークは上述したように様々な効果を期待されていますが、一方で導入にあたって情報漏えいや、不正アクセスなどのセキュリティ上のリスクを多く含んでいます。

情報セキュリティの考え方

セキュリティ対策には「最も弱いところが全体のセキュリティレベルになる」という特徴があります。
そこで、総務省のセキュリティガイドライン第4版では「ルール」、「人」、「技術」のバランスの取れた対策を取ることが推奨されています。

ルール

業務を行う上で、セキュリティ上の問題が起きる度に、その都度判断をするのは決して効率的な仕事の進め方とは言えません。

また、専門家でなければ判断ができない場合もあり、その場合は多くの人の時間を浪費してしまいます。

そこで想定される場面に応じての意思決定のルールを予め策定し、組織で共有をしておく必要があります。

テレワークを行う上では、オフィスで働く場合とは違った問題が想定されるため、導入以前にルールを新しく定義する必要があります。

人

実際にルールを策定した上で、従業員がそれを守らなければ、そのルールの効果は発揮されません。
それゆえに「人」の部分は、実施をすることが最も重要かつ難しいです。

ルールを定着させるには、社内での勉強会やセミナーなどを通じて社員教育を行い、そのルールが自分自身のメリットになることを認識させることが重要になります。

技術

「ルール」や「人」では対処しきれない技術的に専門的な部分を補う要素になります。テレワークを行う環境に応じて、柔軟にセキュリティ対策を行う必要があります。

パターンに応じた対策の考え方

またテレワークを実現する手法は様々ありますが、今回の総務省のガイドラインでは主に6パターンに分けて、それぞれのパターンに対する対策を示しています。

リモートデスクトップ方式

オフィスにある端末を遠隔で操作する方法です。
オフィスで利用しているデスクトップと同じ環境で業務が出来るため、テレワーク端末側にデータが保存される心配がありません。

仮想デスクトップ方式

オフィスのサーバー上の仮想デスクトップ基盤にテレワーク端末からログインして利用する方法です。
データをテレワーク端末に残さない点では、上述のリモートデスクトップ方式と同様です。
それに加えて、システム管理者が一括で仮想デスクトップの環境を管理することができるので均質なセキュリ対策を行うことが出来ます。

クラウド型アプリ方式

クラウド上に提供されるアプリケーションにインターネットを介してアクセスしてする方法です。
クラウド上、ローカル環境のどちらでもデータを保存できるため、その管理の問題が発生します。

セキュアブラウザ方式

特別なインターネットを介し、データの管理機能を制限しすることでクラウド型アプリ方式の安全性を高めた方式です。
安全性が高まる反面、テレワーク端末上で利用できるアプリケーション制限される側面があります。

アプリケーションラッピング方式

テレワーク端末に「コンテナ」と呼ばれる、独立した仮想環境を用意し、その中で業務用のアプリケーションを作動する方式です。コンテナ内からローカル環境にアクセス出来ないため、データがテレワーク端末内に保存される心配がありません。

会社PCの持ち帰り方式

オフィスで用いているPCをテレワーク先で使用する方式です。情報漏えい対策として、インターネットにはVPN経由で接続する必要があります。テレワーク端末にデータを保存することが前提になるため、6つのパターンの中で最も厳格なセキュリティ対策が必要になります。

上記の6つのパターンの中でも「①リモートデスクトップ方式」、「②仮想デスクトップ方式」は、オフィスに居るときと同じ環境で業務をすることができ、テレワーク端末側にデータが保存されることがないため、利便性が高い方法だと推奨されています。

具体的なセキュリテイ問題と対処法

前項までで主に情報セキュリティにおける対策の考え方を説明してきました。
本章では今までの話を踏まえて実際にどのようなセキュリティ問題が考えられるのか、そしてその対策について解説してきます。

マルウェアの感染

業務における情報収集などの場面においてwebサイトの閲覧やアプリケーションのインストールなどによってマルウェアに感染するリスクがあります。

対処法

・定期的なOSやアプリケーションのアップデート
・テレワーク端末へのウイルス対策ソフトウェアのインストール
・危険なwebサイトへのアクセスを制限するフィルタリングソフトの導入

端末の紛失・盗難

業務用PC、データを持ち出した際に紛失や盗難による物理的な情報漏えいのリスクが発生します。

対処法

・リモートデスクトップ方式、仮想デスクトップ方式を採用し、従業員は端末内に重要な情報を保持しない端末を用意
・端末内のハードディスクやSSDの業務情報を暗号化する

公共インターネット回線からの通信の傍受

カフェや駅構内などのセキュリティ対策が万全ではないインターネット回線を利用した場合、第三者に通信内容を傍受されるリスクが生じます。

対処法

・会社が予めインターネット環境を準備し、従業員は公共のインターネット回線を利用しないルールの策定
・事前に重要情報が格納されているファイルを暗号化しておく

上記以外でも様々な原因で情報セキュリティ上の危険に侵されるケースが考えれます。
最悪のケースを想定して、防止対策だけではなく、実際に起こってしまったあとの対応方法も社内でしっかりと共有をしておくことが重要になります。

まとめ

今回はテレワーク導入において必要不可欠な情報セキュリティ対策について紹介させていただきました。

今後、ますますITが普及し、場所にとらわれない働き方が主流になってくる中で、情報セキュリティにおけるリスクは切っても切れない問題です。

しっかりとした知見に基づくセキュリティ対策を行い、従業員がのびのびと働くことが出来る環境を作ることが今後経営者に求められる重要な任務なのではないでしょうか。

また、「テレワークの導入を考えてはいるがどのようにすればいいかわからない」などのお困りごとがある場合は、気軽に弊社リカイゼンにご相談ください。
リカイゼンではITを使って「テレワーク」「情報セキュリティ」について様々な形でお手伝いをしております。お気軽にお問い合わせくださいませ。

参考

総務省
「テレワークセキュリティガイドライン（第4版）」
テレワークセキュリティガイドライン（第4版