【貴社が抱えるセキュリティリスク】テレワーク環境下における対策を厳選!

新型コロナウイルス感染症の影響により、業界や職種に関わらず多くの企業や組織でテレワークの導入が進められています。テレワークは働き方改革としても推奨されているため、これを機会に本格的な導入につなげたいという声もあるでしょう。

テレワークの導入に欠かせないのが、セキュリティ対策です。テレワークにはさまざまなセキュリティリスクが潜んでいるため、しっかりと対策しておく必要があります。

この記事では、安全にテレワークを行うためのポイントや、想定されるリスクと対策などについて解説します。

テレワークの3つのパターン

一口にテレワークといっても、その実現方法はさまざまです。
総務省「テレワークセキュリティガイドライン第3版」によると、テレワークは下記3種類に分類することができます。

オフライン持ち出し型

テレワークのパターンのひとつとして、オフライン持ち出し型があります。業務に必要なデータをテレワーク用のパソコンやモバイル端末、USBメモリなどにあらかじめ保存してテレワークを行うという方法です。紙資料の持ち出しもこれに該当します。

必要なデータをあらかじめ持ち出しておくことで、外部のネットワークから業務データにアクセスする必要がなくなり、セキュリティリスクを下げることが可能です。ただし、データを保存した端末や紙資料を紛失したり盗難にあったりするリスクがあるため注意が必要です。

また、テレワークを開始してから必要なデータを保存し忘れていることに気づいても、データを取り出すことはできません。そのため、オフライン持ち出し型ではしっかりとした事前準備が必要になります。

オンライン持ち出し型

オフライン持ち出し型に対して、オンライン持ち出し型という方法もあります。オンライン持ち出し型は、インターネットを利用して業務システムにアクセスし、必要なデータを利用するという方法です。

必要なときに必要なデータを取り出せるため、オフライン持ち出し型のように事前にデータを移しておく必要はありません。その一方で、外部ネットワークから業務システムにアクセスすることによるセキュリティリスクが懸念されます。

オンライン持ち出し型を採用する場合は、社内システムにアクセスできるVPN環境の用意や、セキュリティ対策が必須です。

シンクライアント型

シンクライアント型とは、テレワーク用の端末にはデータを保存せずに業務を行う方法です。社内システムからテレワーク端末へ画面情報を転送するシンクライアント方式を使います。

データの処理と管理は社内システムで行い、端末側では入力操作と処理結果の表示だけが行われます。そのため、端末側にデータは残らず、インターネット経由でファイル自体をやりとりする必要もありません。

安全なテレワークのための3つのポイント

どのような方法でテレワークを行うとしても、安全に行うための対策が必要です。特に、テレワークを初めて導入する、パソコンに不慣れな従業員が多い、などの場合はシステム面での対策とフォロー体制を検討しておかなければなりません。

ここでは、安全にテレワークを行うための3つのポイントを紹介します。

コミュニケーション重視と緊急連絡

テレワークでは従業員が1人で仕事を行うことになるため、コミュニケーションが取りやすい環境を整えておく必要があります。これは業務上必要なやりとりを円滑に行えるようにするためだけでなく、トラブルがあった際に迅速に対応できるようにするためです。

テレワーク中に何かしらのセキュリティインシデントが発生した場合や、従業員がシステムの異常などに気づいた際、簡単かつ即座にシステム管理者に連絡できる手段が必要となります。マルウェア感染や不正アクセスなどのサイバー攻撃は、早期発見によって被害を最小限にできる可能性があるため、不審な点に気づいたら即座に対応が必要です。

テレワークでは他の従業員の状況がわかりにくいため、問題が発生しても周りが気づきにくいというデメリットがあります。従業員が問題を抱え込んでしまわないように、日頃からコミュニケーションを取りやすくしておきましょう。緊急時の対応フローや連絡先を定めて共有しておくことも大切です。

アクセス制御と利便性の両立

テレワークでも利便性を損なわないためには、外部のネットワークからでも業務システムにアクセスできる必要があります。セキュリティを高めながらインターネット経由で仕事をするためには、VPNの利用が効果的です。VPNを使って通信の暗号化やアクセス制御を行うことで、テレワークでも安全な通信が可能となります。

ただし、VPN接続は同時接続数や扱うデータ容量などが多い場合、すなわちテレワークを行う人数が多かったり大容量データを取り扱ったりする場合、スループットが低下し業務運用に支障が出る場合があります。

このデメリットを解消するには、クラウドストレージが適しています。クラウドストレージならインターネット経由で利用できるため、社内ネットワークに接続する必要がありません。セキュリティの高いクラウドストレージを利用すれば、VPNを利用しなくても安全にデータをやりとりできます。

マルウェア対策における論理的な隔離

テレワーク実施企業でなくとも、マルウェア対策は必須です。日々新しいタイプのマルウェアが生まれているため、ウイルス対策ソフトの導入はもちろん、感染した場合の対策も事前に行っておきましょう。

マルウェアに感染した場合、被害を広げないためにはLANケーブルの抜去や無線LAN接続の無効など、端末をネットワークから遮断する必要があります。マルウェア感染の発見が遅れたりパソコン操作に不慣れだったりすると対応が遅れてしまうかもしれません。

その際に役立つのが、EDR(Endpoint Detection and Response)です。EDRを使うと、端末内で不審な動きを検知した場合、管理画面から遠隔で該当端末を論理的にネットワークから切り離すことができます。EDRはサイバー攻撃を受けることを前提としており、不審な点がないか常に監視できるため、問題の早期発見にも役立ちます。

テレワークにおけるセキュリティリスクと対策

テレワークを導入するには、あらかじめセキュリティリスクを想定し、対策を行っておく必要があります。ここでは、テレワークにおけるセキュリティリスクとその対策について解説します。

テレワークを行う際のセキュリティ上の注意事項

テレワークを行う際、企業側がどの程度のテレワーク環境を用意するかによって対応や従業員側が意識すべきことなどが変わってきます。

企業側でテレワーク環境を整える場合は、パソコンの提供や環境の整備だけでなく、ルールを定めてそれを周知しなければなりません。従業員側は企業が定めたルールを理解し、不明点がある場合やトラブルが発生した場合には自己判断せずにシステム管理者に相談する必要があります。そのために、連絡窓口を明確にしておくことも大切です。

一方、テレワーク環境の整備を従業員側に任せる場合、従業員は自宅のパソコンを使って業務を行うことになります。この場合、セキュリティ対策も従業員任せになるため、従業員ごとに対応レベルに差が出てしまいます。重大なセキュリティインシデントが発生しないように、企業側でも対応を行い、全てを従業員任せにしない方がよいでしょう

テレワークを一時的なものとしたり、テレワーク実施後も定期的に出社が必要としたりする場合は、テレワークから職場に戻る際のセキュリティにも注意が必要です。職場のパソコンを持ち帰ってテレワークを行っていた場合は、事前にソフトウェアのアップデートやウイルスチェックを行って問題ないことを確認してから社内ネットワークに接続するようにしましょう。

自宅のパソコンでテレワークを行っていた場合も同様で、使用したファイルを職場のパソコンに移す際には、ウイルスチェックなどを行って安全性を確かめる必要があります。

想定されるセキュリティリスク

テレワーク実施時に想定されるセキュリティリスクとして、以下のような例が挙げられます。

  • ・パソコンなどの持ち出しによる紛失や盗難
  • ・社外ネットワークの利用による不正アクセスやマルウェア感染
  • ・BYODによるマルウェア感染と社内環境へのマルウェア拡散
  • ・従業員による機密情報の持ち出しなどの内部不正
  • ・脆弱性が存在するツールの利用

これらは事前の対策によって防止できるケースも少なくないため、しっかり対策を行っておきましょう。具体的な対策について、次項で解説します。

セキュリティリスクへの対策

先述の、テレワーク実施時に想定されるセキュリティリスクへの対策として、それぞれ以下のような方法があります。

パソコンなどの持ち出しによる紛失や盗難

パソコンなどの持ち出しによる紛失や盗難を防ぐには、「公共の場所では業務用パソコンを開かない」「業務用パソコンを不用意に持ち歩かない」などのルールを定め、周知徹底することが効果的です。

また、万が一紛失や盗難が発生したときのために、端末のパスワード設定の強制やハードディスクの暗号化も行いましょう。尚、パスワードを設定する際は8桁以上かつ、英大文字・英小文字・数字・記号を織り交ぜるのがおすすめです。テレワーク用に端末を貸与する場合は、所在と利用者の管理も必要となります。

社外ネットワークの利用による不正アクセスやマルウェア感染

社外ネットワークの利用による不正アクセスやマルウェア感染への対策として、アンチウイルスソフトの導入やリモート環境からのアクセス制限などが挙げられます。なりすまし対策として、多要素認証の導入も効果的です。また、セキュリティの高いクラウドサービスを活用するという方法もあります。

BYODによるマルウェア感染と社内環境へのマルウェア拡散

BYODによるマルウェア感染と社内環境へのマルウェア拡散が起こらないよう、BYOD端末のセキュリティ対策の確認が求められます。対策を従業員任せにせず、会社側でセキュリティ対策が十分に行われるよう管理が必要です。BYODの場合でも、端末からのアップロード時にウイルスチェックが行われるクラウドストレージなどを使えば、マルウェアの拡散を防ぐ効果があります。

従業員による機密情報の持ち出しなどの内部不正

機密情報の持ち出しによる内部不正対策には、データのローカル環境へのダウンロードを防止する権限の設定や操作ログの収集などが有効です。

またファイルにIRM暗号化を施すのもおすすめです。IRMとは” Information Rights Management”の略で、文書ファイルの暗号化や閲覧・編集のための権限管理、操作履歴の管理、リモート削除を可能にする機能やソフトウェアを指します。このIRM機能によるファイル単位の権限設定を活用すれば、内部不正ができない環境を構築できます。


脆弱性が存在するツールの利用

脆弱性が存在するツールの利用を防ぐには、外部サービス利用に関するルールを定めて従業員に周知しなければなりません。
外部サービスを利用する場合は申請を必須とすることで、不用意な外部サービスの利用による情報漏洩リスクを軽減できます

従業員が無断で外部ツールを利用してしまうのは、会社側でテレワークに必要なツールを十分に提供できていないという原因も考えられます。
安全性に問題のないテレワーク用ツールをあらかじめ選定して従業員に提供しておけば、従業員が無断で外部サービスを利用する、すなわちシャドーITもなくなるでしょう。

テレワークに必要なツールについては、以下を参考にしてください。


テレワーク環境下でセキュリティと利便性を両立させるにはDirectCloud-BOXがおすすめ

テレワークでは、セキュリティを高めつつ利便性も損なわない対応が求められます。テレワーク環境下でセキュリティと利便性を両立させるには、法人向けクラウドストレージのDirectCloud-BOXがおすすめです。

テレワーク環境下では、マルウェア感染や不正アクセスといった外部からの脅威と、端末紛失や内部不正などの内部からの脅威があります。DirectCloud-BOXは、外部と内部の両方の脅威に対応できるセキュリティ機能が備わっています

外部からの脅威に対しては、IDSによる不正侵入検知や定期的な脆弱性診断と更新、二段階認証による不正アクセス防止などの対策が可能です。内部の脅威に対しては、ファイルをローカルにダウンロードさせないことで内部不正を防止するデータレス編集、またインシデントが発生した際に備えてDirectCloud-SHIELDによりファイルをIRM暗号化することでリモート削除により情報漏洩にも対策できます。

DirectCloud-BOXはこれだけのセキュリティレベルを維持しつつ、オフィス環境と変わらない利便性も実現しています。例えばテレワーク環境下では複数人で資料のレビューや編集が困難ですが、DirectCloud-BOXの「オンライン編集」はこの課題にも応えることができます。オンライン編集とは、クラウド上でMicrosoft Office形式の文書を複数人で同時に編集できる機能です。この機能を使えば、テレワークでも業務の生産性が落ちることはありません。

テレワークセキュリティ対策の資料と相談窓口

政府がテレワークを推進していることもあり、テレワークに関するセキュリティ対策の資料や相談窓口が用意されています。これらも活用しながら、テレワークでのセキュリティ対策を行いましょう。

総務省|テレワークにおけるセキュリティ確保
総務省|テレワークセキュリティガイドライン
総務省|中小企業担当者向けテレワークセキュリティの手引き(チェックリスト)
総務省|テレワークのセキュリティあんしん無料相談窓口

まとめ

テレワークの導入には、セキュリティ対策が欠かせません。さまざまなセキュリティリスクが潜んでいるため、しっかりと対策を行いましょう。従業員任せにせず、企業側で必要な対策を行うことでリスクを軽減できます。もちろん、従業員側も一人ひとりがセキュリティ対策について理解し、気をつけることも大切です。

テレワーク環境下におけるセキュリティ対策として、セキュリティの高いクラウドサービスの利用が有効です。会社側で適切なサービスを選定して従業員に提供することで、不用意な外部ツールの利用を防ぐことができます。

DirectCloud-BOXは、オフィス環境と変わらない利便性を維持しつつ、テレワーク環境下でのセキュリティリスクにも対応できるクラウドストレージです。テレワークでも業務効率を向上させられる機能が備わっているため、クラウドストレージをご検討の際はぜひ一度資料をご覧ください。

資料ダウンロード