新型コロナウイルスの感染拡大に伴い、テレワーク(在宅勤務・リモートワークとも言いますが、以下ではテレワークで統一します)実施企業が増えています。しかし、実際にはまだまだその数は全体の5.6%に過ぎないそうです。
テレワークに移行できない理由としては「環境が整備されていない」「セキュリティが不安」といったものが挙げられることが多いように見受けられます。そこで本記事では、テレワーク実施にあたり最低限企業が実施すべきセキュリティ対策と、その具体例を紹介していきます。
従業員の業務状況やセキュリティ状況把握する手段の整備
同じオフィスにいる場合、従業員が業務に取り組む姿勢をいつでも把握することができますし、何か問題があればいつでも指導することもできます。しかし、テレワーク中はそうもいきません。
そこで、従業員の業務状況を把握するために、下記のような対応を検討してみてください。
- 詳細な日報の作成・提出
- 定期的なWebミーティングの実施
- プロジェクト管理orタスク管理ツールの導入
- PCログ管理ツールの導入
例えば毎朝10分でも部署でのWebミーティングを実施し、「昨日はどんな業務をおこなったのか?」「今日はどんな業務をおこなう予定なのか?」「業務を遂行する上で困っていることはないか?」といったことを確認するだけでも、従業員の状況把握という意味では大きな意味があります。
また、従業員のタスク状況やPC操作状況を把握するためのツールを導入することも有効です。
例えばLRMでは、「Wrike」というプロジェクト管理ツールを導入し、従業員のタスク状況や各プロジェクトの進捗を気軽にチェックできるような体制を構築していますし、「セキュログ」というPCログ管理ツールで従業員が利用しているPCの操作状況を定期的に確認しています。
これにより、「この人、PCを操作している時間は長い割にタスクの進捗が芳しくないな」「PCで業務とは関係ないWebサイトばかりチェックしているな」「業務負担が偏っているな」といったことを把握することが可能になります。
なお、ときおりWebサービスのアカウントを複数人で使いまわしている人がいますが、これはなるべくやめましょう。
仮に情報漏えい事件などが発生した際に、各アカウントのログを確認してユーザーの動向をチェックすることが多いのですが、その際にアカウントを使いまわしている状況だと、誰がどの作業をおこなったのか把握できません。また、そもそもサービス利用規約に抵触する可能性も高いです。
テレワーク実施ルールの作成
テレワークを実施するときは、テレワーク時特有のセキュリティリスクを考慮したルールを設ける必要があります。
例えば、普段オフィスで仕事をする際には、会社から支給されたPCを利用して、会社が設けた回線を利用してネットに接続しているかと思いますが、テレワークの際には「自分で準備したPCで自分でも受けた回線を利用してネットに接続する」というような人もいるかもしれません。
そのような際に何のルールも設けていなければ、「ウイルス対策が施されていないPCを利用して、暗号化されていない回線を利用する」人が出てきても文句は言えません。
最低限、下記のようなルールを設けておくべきでしょう。
- PC対策
-
- 会社から支給されたPCを利用すること
- (会社から支給されたPCの利用が難しい場合)ウイルス対策ソフトを導入したPCを利用すること
- OSやソフトウェアは随時最新版にアップデートすること
- 許可を得ていないサービスは利用しないこと
- 第三者との共有OSアカウントでは業務をおこなわないこと
- 業務で利用するOSアカウントには英数字混在12文字以上のパスワードを設定すること
- リモートワイプ(遠隔でのデータ削除、ロックができる機能)を設定しておくこと
- 離席時はスクリンセーバーを設定すること
- 物理対策
-
- 家族であっても業務内容を話さないこと
- 電話やWeb会議で話をする際は、周りに第三者がいないことを確認すること
- 機密情報が書かれた書類は施錠保管すること
- 機密情報が書かれた書類はシュレッダーにかけるなどしてから廃棄すること
- PCなどの情報機器や書類はむやみに持ち歩かないこと
- ネットワーク対策
-
- フリーWi-Fiは利用しないこと
- WPA以上で暗号化された通信を利用すること
- 英数字混在12文字以上のパスワードを設定すること
また、テレワーク実施に関するガイドラインなども各省庁から多数提供されていますので、そういったものを参考にしても良いでしょう。
インシデント発生時に会社へ報告する体制の整備
新型コロナウイルスの感染拡大による世界の混乱に乗じて、サイバー攻撃の数が増えているようです。
また、そもそもテレワークを実施する際には、上記のとおり従業員に目が届かなくなるため、何も対策をうっていなければセキュリティリスクは高まってしまいます。
そのため、もし情報漏えい等のセキュリティ事故が発生した際には、
- だれに
- どのような手段で
- いつまでに
連絡をするべきか、といったルールも整備しておきましょう。
- 参考例1
- 情報漏えいなどのセキュリティ事故に気づいた場合、すぐに情報セキュリティ担当者(●●さん、090-☓☓☓☓-☓☓☓☓)宛に電話をして、第一報を伝える。その後は情報セキュリティ担当者の指示に従った行動する。情報セキュリティ担当者に電話がつながらない場合、各部署のマネージャーに連絡して指示を仰ぐ。
- 参考例2
- セキュリティ事故報告チャット内で、全従業員に対して事故の第一報を報告する。その後は、情報セキュリティ事務局の指示をもとに行動する。
テレワーク時の注意点やルールの従業員周知・教育
テレワークに関するルールを作成しても、それを従業員に周知できていなければ意味がありません。従業員のセキュリティレベルの底上げ、セキュリティルールの周知は徹底しましょう。
LRMでは、「セキュリオ」というeラーニングツールを利用して、従業員に対してセキュリティ教育を実施しています。「セキュリオ」にはテレワーク初心者必見!9つの基本的なセキュリティ対策という教材が標準装備されていますので、すぐに教育を開始できます。
また、「セキュリオ」には従業員のセキュリティ対策状況を確認できる「社内アンケート」という機能も存在するため、ルールが周知されているか、従業員教育の効果が出ているか測定することができます。
従業員とのNDA締結
もし従業員とのNDA(秘密保持契約)を結んでいないようであれば、これを機に結んでしまいましょう。クラウドサインなどのサービスを利用すればWeb上でカンタンに締結が可能です。
また、NDAのフォーマットはWeb上で多数配布されていますので、それを活用すればすぐに締結を実施できます。
最低限上記のとおりの対応ができていれば、テレワークを実施するにあたってのセキュリティ対策としては十分と言えるでしょう。
上記の対応策をまとめたToDoリストを用意しておりますので、ぜひご活用ください。
