テレワークの安全性を高めるセキュリティ対策・ガイドラインとは?
多くの企業でリモートワークやテレワークが推奨されていますが、いざ実施してみたら課題が浮き彫りになったという企業も少なくないのではないでしょうか。例えば、テレワーク中のインターネットセキュリティの問題。2024年のIPA(独立行政法人 情報推進機構)の調査では未だに「テレワーク等のニューノーマルな働き方を狙った攻撃」が脅威としてランキングのトップに挙げられています。
本記事ではテレワークにおけるセキュリティの重要性や政府のガイドライン対策などについて解説します。
テレワークとは
テレワークとは、情報通信技術(ICT)を活用してオフィスを離れ、時間や場所にとらわれずに働くことです。『Tele=離れた所』と『Work=働く』をあわせた造語であり、テレワークの形態には、在宅勤務、モバイルワーク、サテライトオフィス勤務などがあります。
テレワークでセキュリティ対策が重要な理由
総務省の調査によると、令和3年時点で日本のテレワーク導入率は約52%、令和5年時点で約50%と依然として多くの企業でテレワークが普及しています。ただ、令和2年時点では普及率は20.2%と近年急速に普及したものです。
2020年の総務省のテレワークセキュリティに関する1次実態調査によると、テレワークを実施していない企業の15.4%が、セキュリティ上の不安を理由にしています。なお、IPAが公開している情報セキュリティ10大脅威 2024によると、「組織」向け脅威として第9位に「テレワーク等のニューノーマルな働き方を狙った攻撃」が挙げられています。なお、テレワークが普及し始めた2020年と比較すると順位は下がっていますが、未だ対策が必要な脅威と言えるでしょう。
テレワークにおけるセキュリティリスクとトラブル例
テレワークをする上で、発生するセキュリティリスクとその影響の例をご紹介します。
端末の紛失、盗難による情報漏えい
テレワーク時は、オフィス外で業務を行うため端末の紛失や盗難のリスクが高まります。カフェやコワーキングオフィスなどで作業中に離席した際の盗難や、移動時の置き忘れなど、様々な状況で端末を紛失するケースが報告されています。端末に機密情報や個人情報が保存されていた場合、重大な情報漏えい事故につながる可能性があります。
フィッシング、標的型メールによるウイルス感染
メールを使った攻撃手法として、フィッシングメールや標的型メールによるウイルス感染が増加しています。特にテレワーク環境下では、対面でのコミュニケーションが取りづらく、メールの真偽を確認しにくい状況にあります。添付ファイルやURLリンクをクリックすることで、マルウェア感染や情報の窃取などの被害に遭うリスクが高まります。
公衆Wi-Fi・フリーWi-Fiの利用による情報流出
カフェやホテルなどの公共スペースで提供される公衆Wi-Fiは、通信が暗号化されていない場合や、暗号化レベルが低い場合があります。このような環境で業務を行うと、通信内容を第三者に傍受され、IDやパスワード、機密情報などが流出するリスクがあります。また、正規のアクセスポイントを装った偽のWi-Fiに接続してしまうことで、情報流出につながる可能性もあります。
セキュリティ対策が薄い私物端末や自宅のネット回線の利用
私物端末を業務に使用する場合、セキュリティソフトの未導入やアップデート不足など、十分なセキュリティ対策が施されていないことがあります。
また、自宅のネットワーク環境においても、ルーターの設定が適切でない、IoT機器からの侵入経路があるなど、様々なセキュリティリスクが存在します。会社のセキュリティ基準に満たない端末で社内ネットワークにアクセスすることを悪用する攻撃者がいるため、可能な限り私物は業務に使用しない、使用する場合でもセキュリティ基準を満たす状態にするとよいでしょう。
リモートデスクトップへの不正アクセス
リモートデスクトップ(RDP)は、外部から社内のPCにアクセスできるWindowsの便利な機能ですが、適切な設定や管理を怠ると不正アクセスのリスクが高まります。パスワードが推測されやすい、多要素認証が未設定など、認証面での脆弱性を突かれることで、社内システムへの侵入を許してしまう可能性があります。RDPは定期的に脆弱性の報告があるため、常にセキュリティはアップデートする必要があります。
効果的なセキュリティ対策とは?
テレワークにおける効果的なセキュリティ対策は、「ルール」「人」「技術」の3つの要素をバランス良く組み合わせることで実現します。総務省のセキュリティガイドラインによると、セキュリティ対策は、「最も弱いところが全体のセキュリティレベルになる」とされています。そのため、バランスよく総合的にセキュリティレベルを向上させる必要があります。
それでは「ルール」「人」「技術」それぞれのセキュリティ対策について解説します。
「ルール」面でのセキュリティ対策
テレワークのセキュリティ対策における、ルール面でのセキュリティ対策を解説します。
セキュリティガイドラインの策定
テレワークでは、オフィスとは異なる環境で業務を行うため、具体的な作業手順やルールを示したセキュリティガイドラインの策定が重要です。情報の取り扱い方法、利用可能な機器やサービスの範囲、インシデント発生時の対応手順など、従業員が迷わずに安全に業務を進められるよう、明確な指針を示す必要があります。
継続的なルールの見直し
テレワークを取り巻く脅威の出現や働き方の変化に応じて、セキュリティリスクも変化していきます。そのため、定期的にセキュリティガイドラインの内容を見直し、必要に応じて改定を行うことが重要です。従業員からの改善提案や、インシデント発生時の教訓なども反映し、実効性の高いルールを維持していきましょう。
ID・パスワードの管理
業務で使用するシステムやサービスのIDとパスワードは、適切な管理が必要です。パスワードの使い回しを禁止し、十分な長さと複雑さを持つパスワードを設定します。また、定期的な変更やパスワード管理ツールの活用など、安全かつ効率的な管理方法を導入することが推奨されます。
「人材」面でのセキュリティ対策
テレワークのセキュリティ対策における、人材面でのセキュリティ対策を解説します。
社内でのセキュリティ管理体制の構築
テレワークのセキュリティ対策を効果的に進めるには、明確な役割分担と責任を持つ管理体制が必要です。セキュリティ責任者の任命、インシデント対応チームの編成など、組織的な体制を構築し、平時の運用から緊急時の対応まで、一貫した管理体制を確立することが重要です。
従業員のセキュリティ研修
セキュリティガイドラインを定めても、従業員一人一人のセキュリティ意識がなくては意味がありません。定期的な研修を通じて、最新の脅威動向や対策方法、インシデント発生時の対応手順などを周知していきましょう。また、eラーニングや模擬訓練など、効果的な教育手法を取り入れることで、理解度の向上を図ることができます。
「技術」面でのセキュリティ対策
テレワークのセキュリティ対策における、技術面でのセキュリティ対策を解説します。
安全性の高い通信環境の整備
テレワークでは、自宅や外出先からインターネット経由で社内システムにアクセスするため、通信経路の安全確保が重要です。VPNによる暗号化通信の導入や、多要素認証の設定など、セキュリティ性の高い通信環境を整備する必要があります。また、通信回線の帯域についても、業務に支障がない十分な容量を確保することが求められます。
なお、自宅にインターネット環境のない従業員へは、企業側でセキュリティ面に配慮してモバイルWi-Fiの貸出を行うことも手段の一つです。
テレワークで使用する端末やソフトウェアの管理
業務で使用する端末やソフトウェアは、適切な管理が必要です。利用を許可する端末の特定や資産管理台帳の整備、ソフトウェアのインストール制限など、セキュリティ統制を確実に行うことが重要です。また、私用端末を業務利用する場合は、セキュリティ要件を明確にし、必要な対策を実施することが求められます。
OSやソフトウェアを最新の状態にする
セキュリティ対策として、OSやソフトウェアのアップデートは最低限必要なことです。脆弱性を放置すると不正アクセスやマルウェア感染のリスクが高まるため、適切なタイミングでアップデートを実施する必要があります。自動更新機能の活用や、更新状況の定期的な確認など、確実な運用体制を整えることが大切です。
ウイルス対策ソフトの導入
マルウェア対策の基本として、すべてのテレワーク端末にウイルス対策ソフトを導入する必要があります。定義ファイルの自動更新設定や、リアルタイムスキャン機能の有効化など、適切な設定を行うことが重要です。また、端末の種類や用途に応じて、必要十分な機能を備えた製品を選定することが求められます。
また、EDR(Endpoint Detection and Response)のように、定義ファイルが更新されていなくても、不審な動きをするプログラムを検知するようなソフトの導入も検討するとよいでしょう。
セキュリティインシデントが起きた場合の対応
セキュリティ対策を万全にしていても、インシデントが発生する可能性があります。そのため、インシデント発生時の迅速かつ適切な対応が重要です。
セキュリティインシデント発生時の対応は、
- 異常の検知・分析
- 初動対応
- 恒久対応の決定
- 事後対応
の流れで行われます。
異常の検知・分析では、セキュリティシステムや専門チームからの検知からセキュリティ異常を検知します。自社で検知できず、外部から連絡を受けて発覚する場合もあります。次に初動対応では、社内、社外問わず関係者への連絡や被害を最小限に抑えるためのネットワークからの切り離し等を行います。
その後、根本的な原因を調べ、恒久的に発生しないように対処を行った上で、システムの復旧を行います。最後に事後対応として、再発防止策の実施やセキュリティ対策の改善などを行います。
レンタルオフィス・コワーキングスペースのセキュリティ対策
レンタルオフィスやコワーキングスペースでは、設備やシステムによるセキュリティ対策があります。例えば、監視カメラは設置されているか、警備システムや警備につながる電話が設置されているかなどがあります。
他にも無人営業よりもスタッフがいる方が安心できますし、入退室システムがある方が不審な人が入ってくる可能性が減ってよいでしょう。
セキュリティ性の高いサーブコープのレンタルオフィス
サーブコープのレンタルオフィスでは、超高速かつ安全なWi-Fiを完備しています。また、オプションでお客様専用の回線を用意し、セキュアなネットワーク環境を提供しています。さらに、生体認証によるアクセス管理や24時間365日のネットワーク監視により、オフィスの物理的なセキュリティも万全です。
ITサポート面では、全世界100名以上のITプロフェッショナルチームを配置。電話で直接ITサポートにつながり、日常的な問題から重大な課題まで1時間以内に対応します。インハウスのITチームによる24時間365日のサポート体制により、安心してビジネスに集中できます。
\万全のセキュリティ対策と充実のITサポート!サーブコープのレンタルオフィス/
(まとめ) テレワークの安全性はセキュリティ設計が重要
テレワーク時のセキュリティ対策では、「ルール」「人材」「技術」の3つの要素をバランス良く組み合わせることが、セキュリティレベルの向上につながります。
具体的には、明確なセキュリティポリシーの策定、従業員への継続的な教育、そして適切な技術的対策の導入が重要です。さらに、インシデント発生時の対応計画を事前に準備することで、被害を最小限に抑えることができます。
また、コワーキングスペースやレンタルオフィスでのテレワークをする際には、自社のセキュリティはもちろんのこと、監視カメラやネットワークのセキュリティなど施設側のセキュリティ対策がされているかを確認する必要があります。
