テレワークの現状
テレワークとは、オフィス以外の場所で働くことを言います。特に近年ではインターネットなどのICT技術が発展してきたため、オフィスの外から業務システムにアクセスして働くことができるようになりました。テレワークと似た単語にリモートワークがありますが、これもほぼ同様の意味を表しています。
国内におけるテレワークの実施状況の調査結果として、総務省令和3年情報通信白書に「民間企業におけるテレワークの実施状況」があります。これによると、東京商工リサーチが企業を対象に実施した調査で、新型コロナウイルス感染症による緊急事態宣言でテレワーク導入が進んだことがわかります。1回目の緊急事態宣言では17.6%から56.4%へ上昇し、その後いったん3割程度に低下するものの、2回目の緊急事態宣言では38.4%に再び上昇しました。
また、パーソル総合研究所が正社員約2万人を対象として実施した調査によれば、新型コロナウイルス感染症を機に導入が進んだテレワークは一定の定着を見せていることもわかります。緊急事態宣言より前である2020年3月のテレワーク実施率は13.2%だったものの、緊急事態宣言発令後には27.9%まで上昇、その後も5月には25.7%、11月には24.7%となりました。実施率は若干低下するものの、緊急事態宣言の前よりは大幅に増加しているため、一定の定着傾向が見てとれます。
このように、テレワークは一定程度定着傾向にあり、今後も環境が整うにつれ、ますます導入が進んでいくと考えられます。
テレワークにおけるセキュリティ対策の必要性
前述のように、テレワークは既に一定の定着傾向があるだけでなく、今後も環境いかんではますます導入が進んでいくと考えられます。
テレワークの際に整えるべき環境のひとつとして、セキュリティ対策が挙げられます。総務省の「テレワークセキュリティに関する1次実態調査」によれば、企業がテレワークを導入しない理由として第4位に「セキュリティが心配だから」が挙がっています。
つまり、セキュリティ面での懸念が払拭されれば、テレワーク導入に対する課題がひとつ解消されるというわけです。
実際に、テレワークでよく聞かれるのは以下のようなセキュリティ被害です。
- 機密情報、個人情報が記録されたUSBメモリの紛失
- フィッシングサイトへの誘導
- Web会議システムの認証情報へのサイバー攻撃
このように、情報漏洩やマルウェア感染、サイバー攻撃など、さまざまなセキュリティ被害が考えられます。次章からは、より具体的なセキュリティリスクとその対策について見ていきましょう。
テレワークに潜むセキュリティリスク
テレワークに潜むセキュリティリスクとして、ここでは6つのリスクをご紹介します。
端末の紛失・盗難
テレワークで利用している端末の紛失や盗難による情報漏洩は、テレワークでまず初めに注意すべきセキュリティリスクです。ノートパソコンやスマホはもちろん、記録媒体であるUSBメモリやSDカードなどをなくしたり、悪意のある第三者に盗まれたりする可能性があります。
ノートパソコンやスマホの場合、端末そのものにパスワードや生体認証などをかけているから安心と思う人もいるかもしれませんが、分解して直接内部のメモリにアクセスする方法がないわけではありません。そのため、端末を紛失してしまった場合は情報漏洩の危機が避けられないでしょう。
認証情報流出によるなりすまし、不正アクセス
テレワークでは端末のパスワード、VPNへのアクセス、業務用アプリケーションの利用などさまざまな場面で認証を求められますが、認証情報を紙に書いて見える位置に貼り付けてしまったり、手帳に書いて落としてしまったりするケースがあります。認証情報を盗まれると、盗まれた人になりすまされ、正規の手段で不正アクセスされてしまうため、非常に厄介です。
通信の傍受や盗聴
よく、テレワークで公衆Wi-Fiを使ってはいけないとされますが、これは同一Wi-Fi内に接続された端末はネットワークとして接続された状態になるためで、悪意ある第三者が同じWi-Fiに接続していた場合、簡単に通信内容にアクセスできてしまうからです。通信が暗号化されていれば攻撃者が簡単に通信の中身を盗み見ることはできませんが、公衆Wi-Fiの多くはそこまでの対策がなされていません。
シャドーIT、マルウェア感染
シャドーITとは、企業側で管理していない端末やサービスを使って業務用システムにアクセスすることを指します。シャドーITを使っている場合は特に、セキュリティ対策が不十分であることも考えられ、マルウェア感染のリスクが高まるため注意が必要です。
フィッシングなどのメール、SNS詐欺
テレワークではメールやSNSでの連絡が必要不可欠ですが、これらを媒介とした詐欺メール、詐欺メッセージなども増えています。添付されたリンクやファイルを開封してしまうと裏でマルウェアをダウンロードされてしまうなどのリスクが生じます。近年問題になっているものに、社員のメールアドレスを乗っ取ってフィッシングメールを送信する、というものがありました。メールアドレスが合っているからと過信しすぎないことも重要です。
利用ツールの脆弱性
テレワークでは、業務遂行のためにクラウドサービスを使うのが一般的です。クラウドサービスのセキュリティ対策は提供する会社によって異なりますので、脆弱性もツールによって異なります。サービス提供側は脆弱性が発見されるたびにセキュリティアップデートを行いますが、最初からある程度セキュリティ対策がしっかりなされているサービスを選ぶことも重要です。
テレワークで行うべきセキュリティ対策9選
前述のように、テレワークにはさまざまなセキュリティリスクが考えられます。そこで、テレワークで行うべきセキュリティ対策として、総務省の「テレワークセキュリティガイドライン」から、具体的に行うべき9つのポイントをわかりやすく解説します。
データの保護
まず、情報漏洩を防ぐためにはデータの保護が必要です。その際、保護すべき情報と保護が必要ない情報を明確に切り分け、保護すべき情報(個人情報、顧客から預かった非公開情報、機微情報、営業秘密、企業等の経営に関する重要な情報など)に関して規定を設ける必要があります。
そして、テレワーク用の端末やUSBメモリなど外部の記録媒体へ記録する場合は、暗号化することで紛失時にも情報漏洩のリスクを下げられます。端末管理ツールで自動的に暗号化したり、文書管理システムや暗号化ソリューションなどを利用したりするのも有効です。
物理的セキュリティ対策
次に、物理的なセキュリティ対策も忘れてはなりません。例えば、サテライトオフィスやカフェなど第三者が出入りする場所でテレワークを行う場合、業務情報を口頭で話さないようにしたり、画面を覗き込まれないようにしたりしましょう。特にオンライン会議を行う場合は、意図せぬ情報漏洩につながる危険がありますので、十分に注意が必要です。
アカウントや認証の管理
業務システムや情報にアクセスするためのアカウント、認証情報の管理は不正アクセスやなりすましを防ぐために重要です。この場合は、多要素認証や電子証明書を使うなどして適正に管理しましょう。また、パスワードの使い回しを禁じる、インシデント・アクシデント発生の際のパスワード変更を促すなどの対策も必要です。
アクセス制御や認可
データやサービスへのアクセス権限は、必要最小限にとどめましょう。業務に必要ない機能まで開放してしまうと、その隙を狙われる可能性があります。また、制限をかいくぐって不審なアクセスが行われていないか、常に監視しておくことも重要です。
特権の管理
特権とは、システム管理者権限のことです。管理者権限は一般ユーザーの権限よりも広いため、不正に利用されることで大きな被害につながりやすくなります。管理者権限の利用者は最低限の人員とし、IPアドレス制限などで限られた環境からのみ使えるようにするなどの対策を行いましょう。
通信の保護・暗号化
インターネット経由でデータの送受信をする場合、通信そのものを保護する、暗号化することも必要です。電子メールやチャット、オンライン会議サービスなど、インターネットを介するサービスの利用時は、通信が安全に保護されているかどうかきちんと確認しましょう。
マルウェア対策
マルウェア対策で最も手軽なのは、ウイルス対策ソフトを導入することです。定義ファイルが自動で更新されるよう設定しておくことで、常に新しい脅威に対抗できます。マルウェアは1人が感染してしまうと全員に感染のリスクが高まるため、テレワーク参加者の端末を一元管理して感染対策を行うのが理想です。
脆弱性の管理
セキュリティアップデートなど、各種アップデートは必ず行い、常に最新のシステムを利用できるようにします。また、サポートが終了した製品やサービスはセキュリティ対策も行われていないことがあり、悪意ある攻撃者の標的にされやすくなりますので、利用しないようにしましょう。
インシデント対応やログ管理
万が一何らかのセキュリティインシデントが発生してしまった際にどうするか、対応計画や各種手順を整備しておきましょう。インシデント対応訓練を行ったり、各種ログを取得・分析できるシステムを用意しておいたりすることも必要です。
テレワークではセキュリティ対策が重要!総務省のガイドラインを正しく理解しよう
テレワークではインターネット通信を行ったり、第三者のいる場所で作業を行ったりすることから、セキュリティ対策が重要です。そもそも第三者に見られたり聞かれたりしないようにするのはもちろんのこと、インターネット通信を暗号化したり、端末の紛失に備えてデータ自体を暗号化したりする対策を行うのも有効です。これらをまとめた総務省のテレワークセキュリティガイドラインを正しく理解し、安全かつ適切にテレワークを行いましょう。