新型コロナウィルス蔓延によってテレワークを余儀なくされた企業も多いでしょう。テレワークは従業員の生産性向上やコスト削減などさまざまなメリットがある一方、セキュリティを考慮せずにテレワークを導入すると問題を引き起こす可能性があります。
そこで今回のブログシリーズでは、テレワーク導入時に考慮すべき事項を紹介します。細かな環境の違いによっても考慮すべき点が異なりますので、テレワーク対策すべてを網羅するものではありませんが、参考にしていただけると幸いです。
テレワークにおけるセキュリティ対策の必要性とは?
まずは、テレワークの導入状況とテレワークにおけるセキュリティ対策の必要性について確認していきましょう。
テレワークを導入する企業は増加傾向
テレワークは「tele(離れて)」と「work(働く)」 を組み合わせた造語で、オフィスから離れた場所で働くことを意味しています。テレワークと呼ばれる形態は3つあり、自宅で作業を行う「在宅勤務」、出張中にカフェや新幹線などを利用して仕事をする「モバイル勤務」、共同のコワーキングスースで働く「サテライトオフィス勤務」があります。
総務省の調査によると、令和3年調査時点における日本のテレワーク導入率は約52%という結果になりました。テレワークの導入により、生産性・効率性が向上したり人材の確保につながったりといったメリットを享受できた企業も多いようです。
テレワークはリスクもあるのでセキュリティ対策が必須
テレワークにはメリットがある一方で、セキュリティ被害が発生するリスクもあることを理解しておかなければなりません。総務省の調査では、テレワークを導入していない企業のうち13.8%が導入しない理由として情報漏えいに関する不安を挙げています。
テレワークをすると何が危険なのか?
テレワークで起こるセキュリティの被害には、どのようなものがあるでしょうか。考えられるリスクと対策を以下の項目にわけてみていきます。
- (1)自宅環境にて会社の業務を行うことによるリスクと対策
- (2)社員が社外から業務システムにアクセスすることによるリスクと対策
- (3)在宅勤務以外のケースで考えられるその他のリスクと対策
(1)自宅環境にて会社の業務を行うことによるリスクと対策
業務PCはこれまで会社の管理下に置かれ、会社内の仕組みや規則が定められ運用されることなどにより守られてきました。テレワークに移行することで、会社の管理下から外れた場所に作業環境が置かれることになり、業務PCは個人管理で守らなければいけなくなりました。残念ながら個人の技量にはばらつきがあり、セキュリティ対策の網羅性を期待することができません。管理の穴があれば外部からの攻撃に曝されることになります。
- 通信環境の信頼性
個人が用意する通信環境では、会社のように管理が行き届かないことにより、以下のようなリスクに見舞われる可能性があります。
- 自宅のインターネットに接続する機器、たとえばルータやファイヤウォール(以下F/Wとする)の設定や保守に不備があり、ルータやF/W、自宅LAN内に機器が不正侵入された場合、「テレワークに使用するPC」(以下テレワークPCとする)が攻撃される可能性があります。
- 自宅LAN内の私用のPCや私用のNAS(ネットワークストレージ)などがマルウェアに感染した場合、同一LANに接続されたテレワークPCが攻撃される可能性があります。最近はTV、プリンター、スマートスピーカー、プロジェクター、Webカメラ、スマートキー、インターフォン等多様な機器が自宅LANに接続されている可能性があり、いずれも脆弱性や脆弱な設定があればマルウェアに感染し、LAN内の機器を攻撃する可能性があります。
- テレワークPCに不正侵入された場合、テレワークPCが接続する相手先ネットワークや相手先サーバに不正侵入される可能性があります。
これらのリスクに対しては以下のとおり、システム導入や規約、ガイドライン等に記載し運用(周知し、定期的に確認)を行うことにより対策することができます。
対策方法
- 家庭内のルータやF/Wは、利用者自身でセキュリティパッチやバージョンアップを行う等ルール化しましょう。可能ならば業務専用の回線を用意し、家庭内回線は使用しないようにすることが望ましいです。
- 家庭内回線を使用せざるを得ない場合は、根元のところにルータ等を入れて家庭LANに直接アクセスできない業務用のLANを用意することが望ましいです。既設のルータの機能に複数ネットワークが利用できる機能がある場合は、家庭LANとは別のLAN環境を用意します。
- 上記、ルータ等によるLAN環境の切り分けが難しく、家庭内LANを使用しなければならない場合は、業務時間内(業務PCを家庭内LANに接続している時間帯)は、家庭内LANに接続された機器の電源を落としておくようにしましょう。
- 社内業務環境との接続(VPN接続やファイル共有など)は必要となった際に接続し、利用後は速やかに切断します。
- 可能であれば、リモートデスクトップ環境を活用し、PCがマルウェア感染しても業務環境に影響が出ないようにすることが望ましいです。
- テレワークPCの管理
会社貸与のテレワークPCを使用する場合、予めウイルス対策ソフトの導入や利用者用のアカウントを用意してPCの管理者権限(アドミニストレータ権限)を付与しない等、ある程度のセキュリティ対策を付与してから利用者に貸与します。しかしテレワークの場合、利用者が当初の目的通りにテレワークPCを利用しているかどうかの管理をすることが難しくなります。
- ウイルス対策ソフトが適切に運用実施されているか、統合管理システムを導入しなければ会社から管理することができません。統合管理システムが無い場合、利用者が意図的にウイルス対策ソフトの動きを阻止するような操作をすれば、マルウェアに感染する可能性があります。
- OSや利用するアプリケーションの保守やバージョンアップ、セキュリティパッチに適用など実施されているかの管理は、統合管理システムを導入しなければ会社が把握・管理することができません。統合管理システムが導入されていない場合、バージョンアップなどの保守を適切に対応されていない場合、脆弱性を攻撃されて被害に遭う可能性があります。
- アプリケーションが自由にインストールできる環境であったり、インストール制限があっても実行形式のファイルが制限なく実行できたりした場合、マルウェアの稼働を制限することができませんので、マルウェアが稼働して被害に遭う可能性があります。
作業者の私用PCを使用して会社の業務を行う場合(BYODの場合)、会社は使用PCについて管理も関知もすることができません。(事前に会社が管理する旨を契約など締結する方法もありますが、一般的にはその手間よりもPCを貸与する方法が選択されます)
これらのリスクに対しては以下のとおり、システム導入や規約、ガイドライン等に記載し運用(周知し、定期的に確認)を行うことにより対策することができます。
対策方法
- ウイルス対策ソフトを適切(アップデータ、最新の定義ファイルの適用等)に運用しましょう。
- OSやアプリのバージョンアップやセキュリティパッチについて自動化しましょう。アナウンスがあれば適時従い、運用を阻害しないようにします。
- アプリやサービスの利用追加等、利用者の判断では行わず、情報システム部門の確認を行ってから利用するルールにしましょう。可能であれば、資産管理ツール等によりアプリのインストールの制限やインストール状況の確認が行える環境を用意して、ルールを強制することが望ましいです。
- BYODを実施する場合は、リモートデスクトップを使用する等、PCがマルウェア感染しても業務環境に影響が出ないようにしましょう。
- 従業員の管理
自宅にて会社の業務を行う場合、他の社員の目がありませんので、精神的に緩んでしまい、会社ではやらない行為を自宅ではしてしまう可能性があります。
- 会社ではやらないようなちょっとした不正な運用を良かれと思ってやってしまう可能性があります。(例えば業務効率を上げるために便利なツールについて許可を得ずに勝手に導入してしまうなど)
- インシデントの予兆について、会社ならば同僚に気軽に相談してインシデントに気がつくことができますが、自宅の場合、相談や報告を怠ってしまうと対応が遅れ、被害が拡大する可能性があります。
- 家族が勝手にテレワーク端末を使用し、悪意が無くてもマルウェアに感染する等して被害を及ぼす可能性があります。
- 通常の業務においてもインターネットにアクセスすればマルウェアに感染するリスクはあり会社ではその被害も見込んでいますが、業務用のPCを業務外に利用してマルウェアに感染した場合、その被害責任は利用者が負う必要があります。
- 専用の作業部屋が確保できない場合、家族にモニターの画面を見られたり、Web会議の内容を聞かれたりする可能性があり、家族がその入手した情報を悪意なく公開してしまう可能性があります。
- 作業する部屋が窓際であるなど外に近い場合、モニターの画面が外から見られたり、Web会議の内容を外から聞かれたりする可能性があります。
これらのリスクに対しては以下のとおり、システム導入や規約、ガイドライン等に記載し運用(周知し、定期的に確認)を行うことにより対策することができます。
対策方法
- アプリやサービスの利用追加等、利用者の判断では行わすに、情報システム部門の確認を行ってから利用するルールにします。可能であれば、資産管理ツール等によりアプリのインストールの制限やインストール状況の確認が行える環境を用意して、ルールを強制することが望ましいです。
- セキュリティ問題や業務環境等、気軽に相談できる環境を用意します。メールだと敷居が高いので、チャットや掲示板等、社内のコミュニケーションツールを利用して、情報システム部門からの情報発信や相互の情報交換、利用者に対する問いかけなどを行い、気軽に相談できる環境を用意しましょう。
- 利用者の家族・同居人が無断で業務用PCを使用しないようルール化して周知してください。利用者は業務PCを使わないよう家族・同居人に説明する、パスワードを教えない、画面を見せない等の配慮を行いましょう。
- 可能であれば、Web会議の音声が聞こえないように家族の居室とは別室に業務場所を用意しましょう。難しい場合は、画面が家族に見えない様な配置やWeb会議にヘッドホンを利用する等、業務内容が家族に伝わらないように配慮することが望ましいです。
- 業務PCが屋外から覗かれる可能性や音漏れの可能性が無いことも確認しましょう。
- 業務外利用(趣味のサイト閲覧やSNS利用等)により感染し、会社に被害を与えた場合、損害賠償請求の対象になる可能性を利用者に周知しましょう。
(2)社員が社外から業務システムにアクセスすることによるリスクと対策
続編で解説します。
(3)在宅勤務以外のケースで考えられるその他のリスクと対策
続編で解説します。
まとめ
今回は自宅環境にて会社の業務を行うことによるリスクと対策について解説しました。
以下のケースに関しては続編にて紹介しますので、引き続きお読みいただけますと幸いです。
- (2)社員が社外から業務システムにアクセスすることによるリスクと対策
- (3)在宅勤務以外のケースで考えられるその他のリスクと対策
