前回のブログの続きで、テレワークをすることでどのようなリスクがあるのか解説します。
テレワークをすると何が危険なのか?
(1)自宅環境にて会社の業務を行うことによるリスクと対策
こちらに関しては前回のブログでご紹介しました。まだ読んでいないという方は是非お読みいただけると幸いです。
(2)社員が社外から業務システムにアクセスできるようにすることによるリスクと対策
- 会社のLANへ接続する場合
社外のテレワーク環境から会社のLANへ接続する必要がある場合、会社LANへ接続するために、利用者や利用機器を適切に認証し、通信経路を暗号化することで、情報漏洩や侵入から守る必要があります。
時間をかけてしっかりとした体制を用意できる場合は良いですが、急なテレワーク業務に迫られて、急遽新たな接続経路を作成する場合には、以下のように不正アクセスを許してしまうケースがありますので注意が必要です。
- テレワークにより、急遽外部からの接続用機器の権限を設定し、外部からのアクセス権限を拡張した際に、誤って必要以上にアクセス権限を緩和してしまい、その脆弱性を狙われるケース。
- 急な対応により、使われていなかった古い機器を使用した対応することとなった。古い機器の為、最新のバージョンアップの適応ができず、脆弱性の対応がなされないまま使用して、脆弱性が攻撃されるケース。
これらのリスクに対しては以下のとおり、システム導入や規約、ガイドライン等に記載し運用(周知し、定期的に確認)を行うことにより対策することができます。
対策方法
- VPNや、踏み台サーバーを用意する等、社外から社内LANにアクセスする為のネットワーク機器やサービスを利用して、利用者の認証を行い、インターネット上の通信経路は暗号化できる仕組みを用意します。
- 上記利用者認証には、ID/passだけの認証にしないようにします。生体認証、スマホ認証、SNS認証、電子証明書認証等の、複数の認証方法を組み合わせた多要素認証を実施します。
- インターネットとの接続経路は必要最低限に制限し、管理しやすくします。インターネットに接続するネットワーク機器は、漏れなくセキュリティパッチ適用やバージョンアップ等の保守運用を行います。
- 新たな接続経路を用意する際は、ネットワークベンダに依頼し、認証が回避できるルートが無いか、設定が不十分な箇所が無いかを確認しましょう。
- 自社内で確認を行う場合は、複数名で権限設定等ネットワーク設定の確認を実施します。チェックシートを作成して、権限保有者以外の利用者がアクセスできないことを確認しましょう。
- 可能であれば、セキュリティベンダにプラットフォームの診断を依頼し、外部からの接続制限が想定通り設定されているか確認します。
- 重要な機密情報を扱う場合は、リモート環境に固定IPのある回線を用意し、認証だけでなくIP制限も行いましょう。
- 外部との接続できる経路はできるだけ少なくしてください。管理対象となる接続経路を減らすことで管理漏れをなくし、管理しやすくできます。
- クラウド上の社内システムへ接続する場合
クラウド上の社内システムへ接続する場合も会社LANへ接続する場合と同様に、利用者や利用機器を適切に認証し、通信経路を暗号化することで、情報漏洩や侵入から守る必要があります。
クラウドの場合、以下の点についても注意する必要があります。
- 外部からクラウド上の社内システムへ接続する際の認証や権限設定が不十分(会社内からアクセスする場合はIPアドレスが制限できますが、社員の自宅からアクセスできるようにするとIP制限ができなくなり、外部から不正アクセスされやすくなるケース等)
- 業者選定の失敗(テレワークの為に社内にある基幹システムをクラウド上に移管する際、クラウド環境に慣れていない業者がセキュリティ上必要な設定を漏らしてしまうケース等)
これらのリスクに対しては以下のとおり、システム導入や規約、ガイドライン等に記載し運用(周知し、定期的に確認)を行うことにより対策することができます。
対策方法
- テレワークにより認証が弱まるケースがあるので、積極的に多要素認証を採用しましょう。
- 重要な機密情報を扱う場合は、リモート環境に固定IPのある回線を用意し、認証だけでなくIP制限も行いましょう。
- クラウド環境についても、セキュリティベンダにプラットフォームの診断を依頼し、外部からの接続制限が想定通り設定されているか確認します。
(3)在宅勤務以外のケースで考えられるその他のリスクと対策
- モバイル端末やUSBメモリの紛失・盗難
テレワークで使うスマートフォン・ノートパソコンといったモバイル端末や、データを保管するUSBメモリを紛失したり第三者に盗難されたりする被害は多いです。テレワークの中でもモバイル勤務を採用している場合、モバイル端末やUSBメモリを社外へ持ち運ぶため、テレワークでは紛失・盗難のリスクが高くなります。紛失によってモバイル端末やUSBメモリに保存された機密情報や顧客情報が漏えいする可能性があるため注意が必要です。端末の取り扱いについては、会社全体でルールを設けておく必要があるでしょう。
これらのリスクに対しては以下のとおり、システム導入や規約、ガイドライン等に記載し運用(周知し、定期的に確認)を行うことにより対策することができます。
対策方法
- 機密情報を保管したノートパソコン等のモバイル端末やUSBメモリを社外に持ち出す際は、可能な限り目的地に直行してください。また業務用の端末などを持ったまま、飲み会などには参加しないようにしてください。
- 乗り物や飲食店に滞在する際はモバイル端末やUSBメモリの入ったカバン等を肌身から離さないようにしてください。
- トイレなどで離席する際はモバイル端末やUSBメモリの入ったカバン等を同席者に見ておいてもらうようにお願いするか、所持するなどして、放置しないようにしてください。
- 上記のようなルールを設けて、セキュリティ教育等にて従業員に周知してください。
- 公共の場で第三者によるのぞき見
オフィスや自宅だけでなく、移動中の電車や新幹線、カフェなど公共の場で作業する場合、第三者にのぞき見されるリスクがあります。第三者に作業内容をのぞき見されることで、機密情報が漏えいすることもテレワークではよくある問題です。また、情報をのぞき見されたことで、セキュリティ意識が低い企業だと社会的信用を失うことも考えられるため、注意しなければなりません。
これらのリスクに対しては以下のとおり、システム導入や規約、ガイドライン等に記載し運用(周知し、定期的に確認)を行うことにより対策することができます。
対策方法
- 基本的に公共の場では作業を行わないで下さい。
- やむを得ず作業を行う場合は、できるだけ後ろからのぞき見されない場所にて作業を行ってください。
- 公共の場にて作業を行うことが予め想定される場合は、のぞき見対策として、ノートパソコンの画面に「のぞき見防止フィルター」を張り付ける方法もあります。
- 最近は駅やホテル、商業ビルの1F等にオフィスワーク専用のブースが用意されている場合がありますので、可能でしたらそのような施設を積極的に利用して下さい。
まとめ
前回と今回は、テレワークにより発生しうる様々なリスクと対策について解説しました。続編では、総務省のガイドラインを使って自社のテレワークを確認する方法を紹介していきます。引き続きお読みいただけると幸いです。
