テレワークにはセキュリティ対策が必須!リスク回避に効果的なシステム整備を構築しよう
目次
働き方改革の推進と、昨今のコロナ禍の影響を受け、テレワークを導入する企業が急増しています。しかし急なテレワーク導入の隙を突いたサイバー攻撃や、セキュリティ意識の低いテレワーカーのヒューマンエラーによる情報漏えいなどのセキュリティリスクが増大している事実も見逃せません。
テレワークの導入を急務と考えていながら、セキュリティの問題でためらっているという企業担当の方もいるのではないでしょうか。
テレワークの導入に伴うセキュリティ課題への対処方法を理解しておくことで、高い安全性を保ったまま仕事することが可能です。そこでこの記事では、テレワークにおけるセキュリティの課題と対策方法についてご紹介します。
テレワーク導入で情報セキュリティの確保が課題となっている
働き方改革やコロナ禍の影響を受け、多くの企業がテレワークをすでに導入、または導入を検討しています。自宅など社外で作業できるテレワークは、企業の生産性の向上にもつながります。地震や災害、疫病などによる緊急事態の際や、企業が何らかのトラブルに見舞われた際にも業務が継続できるのもテレワークの強みです。
しかしテレワークを導入するにあたり、情報セキュリティの確保が多くの企業にとって大きな課題となっています。セキュリティ問題がネックとなり、導入に踏み切れない企業もあるでしょう。
テレワークを導入するにあたり、どのようなリスクがあるのかを把握し、それに伴った対策をすることが重要です。起こりうるリスクを導入段階で知っておくことで、適切なリスクマネジメントが可能です。
【関連記事】テレワークの導入は事前準備が大切!生産性向上を実現するITツールはコレだ!
テレワーク導入で懸念されるセキュリティリスクとは?
テレワークを導入する上で、セキュリティ上の問題は重要です。テレワークを活用する社員がパソコンやデータの盗難防止に努めるだけでなく、ネットワーク上でのトラブルについても考えなければなりません。ここでは、テレワークの導入で生じるリスクについて解説します。
USBメモリやクラウドサービスを使うデータ共有
テレワーカーにとって、データ共有は欠かせません。データを共有するために使用するUSBメモリやクラウドサービスには、大きなリスクが隠れています。
USBメモリはパソコンに挿し込んで使用するので、外部に情報を抜き取られる心配はありません。しかしUSBメモリ自体の紛失や盗難で、最悪の場合は不正利用や情報漏洩のリスクを負うこととなります。USBメモリにウイルスが感染すると、接続したパソコンすべてにトラブルが生じかねません。
クラウドサービスを使用する場合、社内のネットワークサービス以上に注意が必要です。データはクラウドサービス側のサーバーの保存されているため、不正アクセスやクラウドサービス側の問題による情報漏洩のリスクが高いと言えるでしょう。また、クラウドサービスに何らかの問題が発生した際、データがすべて消えることも考えられます。
セキュリティ対策のない私物端末の使用
テレワーカーが使用するパソコンに、ウイルス対策ソフトなどのセキュリティ対策が施されていないと、万が一ウイルスに感染した際に対処できません。最悪の場合、パソコンからデータを抜き取られ、会社の情報漏洩にもつながります。
特に会社が私物の端末利用を認めている場合は、注意が必要です。使用する社員のパソコンやスマートフォンのセキュリティ対策がしっかりできているか、しっかりと確認しておきましょう。
盗み見の可能性もある公共Wi-Fiの利用
自宅ではなく、カフェなどの外出先でパソコンを使用する際、画面をのぞかれてしまう危険性も考えられます。画面に表示されている内容が社外秘だった場合、会社の情報を悪用されトラブルのきっかけになることもあるでしょう。パスワードの入力時も要注意です。
また、外出先でインターネットに接続して作業する際に、公共Wi-Fiを利用することがあるかもしれません。公共Wi-Fiは無料で利用できて便利です。しかし、公共のWi-Fiはどのようなセキュリティ対策が施されているかわかりません。万が一不備がある場合は、データの盗み見や詐欺サイトへの誘導など、第三者への情報漏洩の心配があることは知っておくべき事実です。
通信内容が盗み見されると、会社の利益に関わる問題に発展しかねません。会社の外でパソコンを利用する際は、公共Wi-Fiを使用しなくても済むように、企業主導でモバイルデータ通信サービスを導入することをおすすめします。
家庭内Wi-Fiにも潜むリスク
自宅で契約している家庭用Wi-Fiであれば、安全に使用できると考えている方も少なくはないでしょう。しかしセキュリティに不備があると、ネットワークへの不正侵入や不正サイトへの誘導、ウイルス感染の恐れがあります。社内ネットワークにアクセスする手段として、家庭内Wi-Fiが悪用される可能性もあるので注意が必要です。
また自宅のWi-Fiは、電波によるLAN、つまり無線LANが構築されます。無線LANのエリア内は、デバイス同士の接続やファイルの共有が可能です。この無線LANに侵入されると、機密情報などが入ったファイルが漏洩する恐れがあります。
企業のデータは一度流出してしまうと取り返しがつかない事態に発展することもあります。家庭内Wi-Fiが確実に安全とは言いきれないことは心に留めておきましょう。
テレワークを狙ったサイバー攻撃の事例とセキュリティの考え方
コロナ禍の影響もありテレワークが浸透する中、テレワークの隙を狙ったサイバー攻撃が増加しています。コアオフィスに集中しない働き方へ移行することで、テレワーカー各自におけるセキュリティレベル向上が求められる状況です。ここでは、テレワークを狙ったサイバー攻撃の事例やセキュリティの考え方を解説します。
テレワークを狙ったサイバー攻撃は増加している
IPA(情報処理推進機構)が公開する「情報セキュリティ10大脅威 2021」によると、組織にとっての脅威として「テレワーク等のニューノーマルな働き方を狙った攻撃」が3位にランクインしています。
他にも「標的型攻撃」や「ビジネスメール詐欺」など、新型コロナウイルス感染拡大に便乗したサイバー攻撃や、テレワーク推進の隙を狙ったサイバー攻撃が増加している状況です。
(参考:『情報セキュリティ10大脅威 2021|IPA 独立行政法人情報処理推進機構』)
事例1.標的型攻撃による機密情報の窃取
無差別攻撃ではなく、特定の組織・個人の情報窃取を目的としたサイバー攻撃を標的型攻撃と呼びます。IPAによると標的型攻撃はランサムウェアに次いで2番目に大きな脅威です。標的型攻撃には以下のような手口があります。
・標的型攻撃メール:不正な添付ファイルを開かせたり、不正なWebサイトへのリンクをクリックさせたりして、ウイルスに感染させる
・不正アクセス:組織が利用する情報システムの脆弱性を突いて不正アクセスし認証情報を窃取。その認証情報を悪用し、正規ルートで社内システムに侵入してウイルスに感染させる
攻撃者は不正アクセスの痕跡を残さずに攻撃するため、企業によっては数年間にわたって標的型攻撃の被害を受け続け、大規模かつ継続的な情報漏えいを起こした事例もあります。
事例2.テレワークを狙ったサイバー攻撃
テレワーカーが利用するアプリ・PC・ネットワークを狙った攻撃は増加しています。例えば、テレワーク用ソフトの脆弱性を悪用した不正アクセスの他、急なテレワーク移行による管理体制の不備や、私物PC・自宅ネットワークを狙ったサイバー攻撃です。
セキュリティ意識の甘いテレワーカーから認証情報が流出して大規模な情報漏えいにつながった事例や、社内LANを経由せずにインターネット接続してウイルス感染した事例などがあります。
事例3.ビジネスメール詐欺による金銭被害
ビジネスメール詐欺は何らかの手段で標的組織の業務情報を窃取し、その情報を悪用した偽メールで送金依頼するサイバー攻撃です。取引先との請求書を偽装したり、経営者や上司からの命令を偽装したり、標的組織のメールアカウントを悪用したりします。
新型コロナウイルスを話題にした偽メールや、最近では従来よりも自然な日本語の偽メールが増えており、テレワーク移行に追われる日本企業を狙ったビジネスメール詐欺が脅威となっている状況です。
セキュリティ対策で重要なのは3つの要素のバランス
企業の紙資料やデータ、情報システムをまとめて「情報資産」と呼びます。セキュリティ対策は情報資産を守るためのものですが、ここで重要なのは「ルール」「人」「技術」のバランスです。サイバーセキュリティは「最も弱い部分が全体のセキュリティレベルになる」という性質があります。
セキュリティ対策のルールを詳細に設定してセキュリティツールを導入しても、社員のITリテラシーやセキュリティ意識が低ければ、そこを起点としたサイバー攻撃のリスクは抑えられません。ルール・人・技術という3つの観点からセキュリティ対策を講じ、セキュリティ上の欠陥をつくらず、組織全体のセキュリティレベルの底上げを図ることが大切です。
テレワークのセキュリティ対策にはネットワーク管理が必須
会社外で仕事を安全に行うためには、ネットワーク管理が重要です。いったん情報が外部に流出してしまうと、もとには戻せません。情報漏洩のリスクを最小限にするネットワークを構築しておくことが必要です。ここでは、セキュリティ対策の中でもネットワーク管理について解説します。
セキュリティが高いネットワークを活用する
テレワークを導入すると社外から社内にアクセスすることがあるため、これまで以上のセキュリティ対策が必要です。よりセキュリティの高いネットワークを活用することで、第三者からの盗み見など情報漏洩を防げます。
外部のネットワークで社内情報をやり取りする際は、通信内容の漏洩や流出、改ざんを防ぐために多くの場合VPNソフトやアプリ利用しています。VPNとは仮想の専用線のことです。インターネット上に社内システムまでの一本道をつくり、外部に見つかることなく安全にアクセスできます。
ホームルータなどはIDとパスワードを設定し直す
ホームルータとは、パソコンやスマートフォンなどをインターネットにつなげる機器のことを言います。ホームルータに設定されているIDやパスワードは、何も変更しない状態だと初期設定のままです。
近年、ホームルータを狙うサイバー攻撃が相次いでおり、被害に遭う方も増加しています。セキュリティ対策が万全でないと、情報漏洩などのリスクを背負うことになるので十分に注意しましょう。対策として、IDやパスワードを変更することをおすすめします。
【注意】VPNアプリやソフトのリスクも把握しておくこと
多くの会社ではVPNアプリを利用して、通信内容ののぞき見などを防止しています。しかし、VPNアプリは決して万能ではありません。過去には、VPNの欠陥によるユーザーのIPが突き止められるという事件が発生しています。
またVPNの性質上、サービスを提供している人がウイルスを流し込むことも可能です。ユーザーがインターネットを利用している間に、ウイルス感染したサイトに誘導することもできるため、信頼できるサービス事業者のVPNサービスを選ぶことが大切です。
テレワークにおける5つのセキュリティ対策
テレワークはネットワーク以外にも、さまざまなセキュリティ対策を必要とします。自宅などで安全に仕事を遂行するには、テレワーク環境のセキュリティを強化することが大切です。
セキュリティに関する課題を解決することで、はじめてテレワーク導入への道が開けると言っても良いでしょう。ここでは、テレワーカーを守るために大切なセキュリティ対策について解説します。
セキュリティを意識したデータ共有
テレワーク環境のデータ共有に最適な方法は、「box」などの高セキュアなクラウドストレージを活用することです。クラウドストレージのサーバーはサービス事業者が管理するので、自社サーバーのセキュリティ対策にかかるコスト投下は必要ありません。boxならスマホやタブレットから専用アプリで簡単に利用でき、利便性の面でも秀逸です。
また多くの場合、テレワーク導入企業では情報共有に関するガイドラインを設定します。ガイドラインに沿った上でUSBメモリの使用が必要な場合は、セキュリティ機能が付いたUSBメモリの使用をおすすめします。セキュリティ機能が付いたUSBメモリは、データの暗号化やウイルス対策機能を備えています。
クラウドサービスに関しても、ほかのサービスとは異なったIDとパスワードの設定をするなど、第三者に推測されないことを念頭に置きましょう。また使用するクラウドサービスは、テレワーカーが自分で決めるのではなく上司や担当者と相談して決定し、ポリシーにしたがって利用します。
私物端末もセキュリティ対策を行う
テレワーク環境のネットワーク接続にはVPN接続が必須です。信頼できるサービス事業者の有料VPNサービスを利用することで、テレワーカーは社内LANへ安全にアクセスできる上、インターネット接続の際には社内LANを経由するのでトラフィック監視もできます。
その上で、テレワーカーの使用デバイス自体のセキュリティ対策も必要となります。セキュリティインシデントの多くは、社員の誤認や誤操作といったヒューマンエラーにより引き起こされます。この対策として、アンチウイルスソフトやPC監視ソフトなどのセキュリティソフトを導入し、被害を未然に防いだり被害拡大を抑えたりすることが大切です。
万が一の盗難や紛失を考えた対策も大事
どれほど用心深く会社のデータを扱っていても盗難や紛失の可能性はゼロではありません。万が一のトラブルに備えて、セキュリティソフトやアプリ、端末本体に備わっている紛失対策機能を事前に確認しておきましょう。
リスクを最小限にするためには、紛失や盗難が起こる前から対策する必要があります。まず推測されにくいログインパスワードを設定することが大前提です。しかし、認証を突破できなくてもディスク内に保存されたデータの抜き出しはできます。
Windows 10であれば、保存データを暗号化する「BitLocker」という機能が標準搭載されており、簡単な操作でディスク全体の暗号化が可能です。認証を突破されず、ディスク暗号化もしておけば、万が一の際もPC内部のデータ窃取は防止できます。
画面ののぞき見を防止する
テレワークとして社外で作業する場合、たとえ自宅であっても画面ののぞき見は防がなければなりません。会社の機密データになるので、家族であっても漏洩させないのが基本です。外出先で作業する場合でも、細心の注意を払って周囲の状況を確認しておきましょう。
のぞき見防止対策として、画面にプライバシー保護フィルムなどを貼り付けることをおすすめします。
社員へのセキュリティに関する教育
テレワークを導入するにあたって、実際にテレワーカーとして働く社員には教育を施すことが大切です。情報セキュリティに関する知識や情報リテラシーについて、再度しっかり頭に入れておきましょう。
例えばウイルスへの対策として、不審なサイトへのアクセスを避けることやテレワークで使用する端末にフィルタリングをかけるといった対策は有用です。また、データの紛失・消失などのトラブルに対応するために、原本や作業中データのバックアップも取るようにします。
会社の重要なデータを扱うので、作業環境の場所はしっかり選ぶように指導することも重要です。公共のWi-Fiは使用を控えるなど、情報の盗聴対策は第一に教育すべき内容です。重要なデータが入っているパソコンを持ち歩くため、置き忘れ防止のために不要な寄り道も避けるようにします。
テレワークのセキュリティ強化ならイッツコムのモバイル閉域接続!
会社がテレワークを導入するためには、さまざまなセキュリティ対策を会社側が徹底して行わなければなりません。ネットワークセキュリティは、社外で仕事する上でも重要であり、怠ってしまうと情報漏洩や流出の危険性が増えてしまいます。
イッツコムでは、これらの不安をすべて取り除く「モバイル閉域接続サービス」や、モバイル閉域接続と組み合わせて便利な有料版boxや有料版Zoomを提供しています。
インターネット経由ではないネットワークの活用でより安全
従来の会社で利用されているVPNアプリは、インターネットを経由する分さまざまなリスクが存在します。一方、イッツコムのモバイル閉域接続サービスでは、インターネットを経由しません。
イッツコム回線に接続される経路はインターネットと分離されたネットワークのため、通信アクセスがさらされずに済みます。その結果、通信の存在自体を第三者に知られることがなく、通信内容の漏洩を防ぐことが可能です。
VPNアプリがいらない
モバイル閉域接続サービスでは、セキュリティの確保を専用のSIMのみで行います。専用SIMが経路を判別するため、VPNアプリは一切必要ありません。管理者IDやパスワードも不要なため、第三者に漏れる心配も不要です。
従来のネットワークは、ホームルータを利用することで自宅周辺のデバイスに侵入され、機密情報が漏洩されるリスクがありました。独自回線は侵入されるリスクがほとんどありません。また登録していないデバイスからの接続、利用はできない点もセキュリティ上のメリットと言えるでしょう。
社外でもセキュリティポリシーが適用できる
ネットワーク管理の都合上、自宅のWi-Fiや公共の無線LANにはリスクがあります。イッツコムの回線は、会社の外にいても社内LANを経由して利用できます。通信内容ののぞき見防止にもなり、社外でもセキュリティポリシーが適用されるため、安全にインターネットを利用できるでしょう。
モバイル閉域接続 × boxで安全なファイル共有を!
テレワーク環境においてはファイル共有とセキュリティの両立が課題のひとつです。法人向けに開発されたクラウドコンテンツマネジメントサービス「box」であれば、容量無制限であらゆるファイルをクラウド保存できる上、米国政府に採用されるほどのセキュリティ基盤を備えます。
強固な認証システムや詳細なアクセス権限設定に加え、box上の操作やログイン・ログアウトのログ監視機能も秀逸です。サーバーはサービス提供者側が管理するため、セキュリティ対策のために高額なコスト投下を必要としません。
さらにモバイル閉域接続を組み合わせれば、通信経路のセキュリティも万全です。どちらのサービスもスマホやタブレットでも簡単に利用できるので、テレワーク環境の安全なファイル共有に最適な組み合わせと言えます。
モバイル閉域接続 × Zoomでテレワークの作業範囲を広げる!
テレワーク用のツールとして必須と言えるもののひとつが、オンラインミーティングができるWeb会議システムです。中でも「Zoom」はスマホでもタブレットでも直感的な操作で利用でき、導入障壁の低さもあって多くの企業が採用しています。
無料版Zoomはグループミーティングの40分制限など複数の機能制限がネックですが、有料版Zoomなら時間無制限でミーティングできる上、録画のクラウド保存などビジネスに役立つ豊富な機能を活用できます。
インターネット経由で利用する点はセキュリティ上の懸念点ですが、モバイル閉域接続と組み合わせれば社内LANを経由するので、コアオフィス側で通信ログの監視もできます。
まとめ
テレワークを導入する上で、ネットワーク管理などのセキュリティ対策は必須です。会社の外での作業になるため社内LANが利用できずセキュリティが不十分になることが、企業にとってテレワーク導入に踏み切れない原因のひとつとなっています。
イッツコムの「モバイル閉域接続サービス」を利用することで、ネットワーク管理などのセキュリティを常に強化できます。独自の回線を使用しているため、外部に通信内容が漏れることもありません。
さらに有料版boxや有料版Zoomを組み合わせることで、テレワークにおけるセキュリティ対策と生産性向上の両立が可能です。安全かつ導入効果の高いテレワークをお求めなら、複数サービスの組み合わせで相乗効果が得られるイッツコムにご相談ください。