リモートワークの落とし穴。今からすべきセキュリティ対策方法について
目次
リモートワークとは、会社以外の場所から遠隔で仕事を行う勤務体制のことです。従業員がオフィス以外の場所で働き、Eメールや電話などを使って企業とコミュニケーションを取ることから、在宅勤務とも言われています。
リモートワークを導入している企業は多く、従業員のストレス軽減や作業効率の向上に繋がるなどのさまざまなメリットがあります。しかしその一方で、セキュリティ面で懸念を抱くケースも少なくありません。ここではリモートワークでのセキュリティ対策について紹介します。
リモートワークを導入する際はセキュリティ対策が大事
リモートワークは新しい働き方として注目されています。しかし、セキュリティ面を考えるとリモートワークは社外業務になるので、セキュリティ環境が問題になります。
リモートワークの業務をすることで、社内の情報を社外に持ち出すことが多くなるため、情報漏えいの危険性は高まります。情報漏えいリスクに備えての対策費用や情報をどのように扱うか、社内で徹底するための教育など、さまざまなコストが発生するのです。
そして、データ共有方法についてどうしていくのか、データを取り扱っていく決まりごとの設定や管理していく情報などのセキュリティ対策が重要になります。また、どの部分までならリモートワークで行うことができるのかといった業務の分析など、社内業務の見直しと整備も必要です。
リモートワークを導入する際に必要なセキュリティ対策
リモートワーク導入時のセキュリティ対策として、以下に必要な項目をいくつか挙げました。
・セキュリティ意識を高めること
・データ管理をしっかり行うこと
・パスワード
・多段階認証の導入
・アカウントロック
・総合セキュリティソフト
・ハードの暗号化
・アクセス制御
・機器管理台帳
・クラウドサービスの利用
・勉強会に参加
セキュリティ意識を高めること
会社の情報を守るためには、従業員一人ひとりがセキュリティ意識を高めることから始まります。まずは情報セキュリティに対する社内での行動や考えをまとめたガイドライン「セキュリティポリシー」を作成しましょう。
組織ごとにセキュリティレベルを同一にし、対策を行うため、従業員に対してのセキュリティ効果が期待できます。そしてリモートワークの導入を考慮して、仕事環境や業務の流れに合わせて定期的に見直しを行っていきます。
データ管理をしっかりと行うこと
リモートワークでは、オフィスとは違った環境で仕事をすることになります。そのため、使用するデバイスを管理したり、データを持出したり、端末の管理やSNSの利用などセキュリティ確保のために新しい規則を決める必要があります。
また、就業規則等にこれらのルールを明記し、違反した場合の罰則を設けることも有効です。社員の教育をしっかりすることで、連絡ができる流れを前もって規定しておくことが必要です。
パスワード
リモートワークは外部と社内のシステムがアクセスするため、ユーザー認証に使用されるパスワードの管理体制が重要です。リモートワーク用のパスワードは、プライベートで使うパスワードとは違うものにして、他人が推測できないものを使うように心がける必要があります。
そのためには同一のパスワードを重複させない、英数字と記号を含めた10文字以上の複雑なパスワードを設定するなど、パスワードの強度を高く保つ工夫が必要です。
多段階認証の導入
セキュリティ対策の1つとして、社内のシステムへログインする場合は、ログインパスワードの他に多段階認証方式を用いるのがよいでしょう。リモートワークの現場から社内システムにアクセスする場合の経路は、そのまま不正侵入する経路となる可能性があります。
現在はサイバー攻撃の方法がとても多様化しているため、パスワードだけでは簡単に突破されてしまいます。多段階認証方式は、そのようなリスクを排除しながらセキュリティの強度をより高める方法の一つなのです。
アカウントロック
リモートワークは、パソコンなどの会社の貴重な情報が保存された状態のデバイスを持ち出すため、紛失したときの対策をする必要があります。もしもデバイスを紛失したら、第三者による不正アクセスやデバイスからの情報流出などのリスクが高まります。
そのような場合に備えて、システム管理者によるアカウント自体のロックを可能にしておきましょう。情報漏えいのリスクや、紛失してしまった後の多くの対応を最小限にできます。
総合セキュリティソフト
総合セキュリティソフトはセキュリティにおける基本的な対策です。ハッカーなどからハッキングやクラッキングなどの攻撃を受けることが想定されるので、会社がリモートワーカーに貸与する端末には、必ず総合セキュリティソフトをインストールし、常に最新バージョンが適用されるように設定しておきましょう。
私用デバイスを持ちこむ場合も、しっかりとデバイスごとに必ず総合セキュリティソフトを導入して対策をしていきます。当然のことですがそれを徹底していく必要があります。
ハードディスクの暗号化
ハードディスクの暗号化によりセキュリティをより強くすることが大事です。パソコンのハードディスクや、SSD内部の情報を暗号化して、復号のためのパスワードはパソコン内に保存しないよう注意します。
パソコン本体へのアクセスについては多重認証を使ってセキュリティを施していますが、それすらも突破されてしまうとデータの流失につながります。外に持ち歩く機会があるノートパソコンやポータブル型HDDは、暗号化しておくとよいでしょう。
アクセス制御
情報資産を社内のファイルサーバなどで管理する場合、情報の機密レベルによりアクセス権を設定することで、セキュリティを強化していきます。内部から情報が流出したという事例もとても多く、サイバー攻撃だけではなくミスや不正が原因となっても発生します。
そのため暗号化の要否や印刷可否などの設定も行う必要があるなど、セキュリティリスクにも対応は必要で、個人情報を取り扱う場合は、情報に応じた管理体制を周りに広めていくことが求められます。
機器管理台帳
リモートワークで使用する端末を企業側から貸し出す場合、機器管理台帳を作成整備し、貸与する端末の所在や利用者等を管理し、常に端末の状況を把握しておくのがよいでしょう。台帳に、備品の名称や保管場所、利用状況、購入日などを記載しておけば、端末の管理ミスを未然に防ぐことができます。
機器管理を担当する部門が責任を持って適切に管理・運用することが重要なので、上司に承認印をもらう、記録を残すといった運用ルールがあるといいでしょう。
クラウドサービスの利用
クラウドサービスを利用することで、ユーザーの認証強度をさらに高くしていくなどセキュリティを強くすることが可能です。外部からオフィス内のサーバにアクセスするためには、接続地点に設置するファイアウォールに一種の「穴」をあけることが必要であり、この部分がセキュリティリスクとなります。
クラウドサービスの場合はこの部分がありません。レベルがはるかに高いうえに、サービスを利用していくことで自社のセキュリティを強化することができるのです。
勉強会に参加
セキュリティ勉強会は、実施することで、情報セキュリティ意識の底上げを図ることが可能です。セキュリティに関する勉強会に参加し、業務に生かすことも重要です。ただしセキュリティの勉強といってもその範囲は広いため、自分の会社で実施する場合は焦点を絞って参加する方がよいでしょう。
特にリスクが大きく、発生する可能性が高いものを優先して参加するのもコツです。最低限やるべきことを決めてシンプルに参加していくことをおすすめします。
リモートワーク導入の際にセキュリティ面におけるチェックポイント
リモートワーク導入時のセキュリティ対策として、以下に押さえておくべき注意点を紹介します。
・コスト面
・無料トライアルの有無
・セキュリティ対策が充実しているか
・サーバを導入する必要があるかどうか
コスト面
初期費用、毎月かかる費用はどのくらいかは最低限チェックする必要があります。同じリモートワークでも、雇用型リモートワークか、自営型リモートワークかによって違いが出てきます。
雇用型は社内にいないというだけで会社員なので、仕事に必要な機材や各種ツールなどは会社からの提供が基本です。自営型はソフト購入にかかる費用は自費負担が基本です。ごくまれに、クライアント側から機材を提供して補助が受けられるケースもありますが、自分持ちが原則となります。
無料トライアルの有無
無料トライアルがあるのかどうかの有無をチェックし、トライアルを実施してみましょう。リモートワークへの関心が高いメンバーで実施すると効果的です。
トライアル期間では、予定以上の時間がかかったりすることがありますが、実施前からトライアル期間を決めて、期間内に使いこなせるようにするのが大事です。また、トライアル期間で検証したい点を整理しておくと、関係者の理解が得やすく、次のステップに進む判断が行いやすくなります。
セキュリティ対策が充実しているか
リモートワークではどこからでも社内の情報にアクセスする必要があるため、情報漏えいなどのセキュリティ面で心配があります。セキュリティ対策が充実しているかどうかは導入する際のポイントになります。
研修などで基本的なセキュリティ知識を身につけていないと、PCを紛失してしまったり、機密性の高い情報が漏えいするなどのトラブルが発生する恐れがあります。また社外で利用する電子機器に、基本的なセキュリティソフトがインストールされていることも確認しましょう。
サーバを導入する必要があるかどうか
リモートワークのように社外から社内ネットワークに接続するためにはVPN(Virtual Private Network)環境が必要です。また、VPN接続に使われるネットワークサーバを「リモートアクセスサーバ(RAS)」と言います。VPNとRASは密接な関係を持っています。
企業でも個人でもVPNは使用するため、その仕組みを知っておくことが重要です。実際に個人で利用するVPNはセキュリティ対策として使われることが多いため、サーバを導入する必要があるかどうかがポイントになってきます。
リモートワークを導入するに当たってセキュリティ面における課題<
リモートワーク導入時のセキュリティ面における課題として、以下のような点があげられますので紹介します。
・従業員の教育
・リモートワークを使いこなせるかどうか
・オフィス自体のセキュリティ
・セキュリティにかける予算
従業員の教育
従業員教育も重要なため、特に機密情報取扱者やリモートワーカーにはセキュリティ研修への参加を義務付けることが必要です。リモートワークで働く人も教育を受ける機会が持てるように、定期的に研修やセミナーに参加してもらいましょう。
従業員の教育を充実させ、セキュリティ対策を万全にする必要があります。日々のセキュリティ対策やトラブル時の報告義務などを徹底させて、セキュリティ確保の重要性を意識づけていきましょう。
リモートワークを使いこなせるかどうか
まずはリモートワークを指導者が使いこなせるよう使用方法をしっかり確認し、分からないことがあれば業者に質問して疑問を解決しておく必要があります。
リモートワークはフェイス・トゥ・フェイスでのコミュニケーションではないため、連絡事項の伝達漏れのほか、温度感が伝わりにくいことによる誤解、行き違いなどが生じるおそれがあります。指導者がしっかり理解することで、導入に向けて規則や業務ツールを整備し提供することも可能です。
オフィス自体のセキュリティ
会社自体のセキュリティポリシーなどの指針がリモートワーカーに沿っているものなのか改めて確認するべきです。会社がどのようにセキュリティに関して考えているのか従業員が理解する必要があります。
不審者が会社に侵入しないようにしているのか、貸与されているパソコンのセキュリティ対策などがどのように講じられているのか、セキュリティ事故が発生したときリモートワーカーはどのように行動する必要があるかなどマニュアルを確認しておきましょう。
セキュリティにかける予算
リモートワークのもうひとつの主要な課題は、リモートでの作業を可能にするための技術を企業が提供するのにかかるコストです。すでにリモートワークを許可している企業のうちのほとんどは、従業員にリモートワークを可能にするためのテクノロジーを提供しています。
普通、オフィスからファイルを持ち出すのに使われるのはラップトップですから、セキュリティ対策にかけられる予算がどの位になるのかもひとつの課題です。
リモートワークやセキュリティ対策について業者に相談するのがおすすめ
リモートワークを導入するためには検討すべきことが数多くありますが、課題解決の糸口が見つかりにくいこともあります。そのようなときは業者に相談してみるとよいでしょう。働く場所・時間を選ばないワークスタイルを目指しませんか。
相談をする際はぜひ、イッツコム「モバイル閉域接続」にお任せください。リモートワークでも高いセキュリティを保ち、情報漏えいなどのリスクに備えられます。VPNを使わず、インターネットを経由しないセキュアなネットサービスで、社外の仕事でも社内セキュリティポリシーで利用することが可能です。導入に関しては、下記までお気軽にお問い合わせください。
お問い合わせはイッツコム 法人新規お問い合わせ窓口
https://www.itscom.co.jp/forbiz/mobile.phpで検索ください。
参考:『イッツコム「モバイル閉域接続』
まとめ
リモートワークのセキュリティ対策を導入することで、会社側としてはリモートワークの導入ができ、通勤圏の制約をなくして全国から人材を募ることで就労意欲とスキルのある人材を獲得できるようになります。
リモートワークがこれからもっと普及していけば、社員側として人はより自分にフィットした好きな職場を、より遠くに探しに行くことができるようになります。好きな場所で、好きな人と働く。リモートワークの本当のメリットは実はそこにあるのです。
