コロナ禍により、在宅勤務を導入する企業が増えてきている昨今。
この記事を読んでいる方の中にも、テレワークを導入しているという方も多いのではないでしょうか。
オフィス以外で働くテレワークは、公衆の場で起きる情報漏洩や、不正なサイトへアクセスすることによるウイルス感染、端末の紛失/盗難など、監視の目が生き届かないテレワークならではの問題も多く存在します。
インシデントに発展する前に、十分なセキュリティ対策とセキュリティに対する教育を実施することが求められます。
今回は、在宅勤務のセキュリティリスクや、具体的な対策方法まで解説します。
また、テレワークに伴うセキュリティリスクに適切に対処していただく第一歩として、LRMでは、テレワーク時に最低限気を付けたいセキュリティ対策9選を無料で配布しています。
どれも特別な技術やツール不要で今すぐ対応できる対策となっています。
こちらから無料でダウンロードできますので、ぜひご活用ください。
在宅勤務とは
在宅勤務とは、オフィスに出社せず、自宅にて勤務することです。
テレワークは「情報通信技術(ICT=Information and Communication Technology)を活用した時間や場所を有効に活用できる柔軟な働き方」の1つであり、近年はコロナ禍により、外部との接触を避けるために、積極的に運用されています。
厚生労働省テレワーク総合ポータルサイト
在宅勤務以外のテレワーク形態
在宅勤務以外のテレワーク形態は以下の2つです。
- モバイルワーク
- 施設利用型勤務
それぞれ1つずつ解説します。
モバイルワーク
モバイルワークとは、オフィスではなく、顧客先や、カフェなど就業場所とする、特定の場所には依存しない働き方を指します。
モバイルワークは、コロナ禍以前から実施している企業も多いです。
例えば、営業職は、客先の会社を回るために、自社にいる時間よりも、外部にいる時間のほうがおのずと長くなります。
その場合、毎回自社に戻って仕事をするよりも、カフェなどの場所で効率的に業務を行うほうが効率的に作業ができるため、ノートパソコンやタブレットを持ち歩き、その時その時の違った場所で仕事をする働き方です。
施設利用型勤務
施設利用型勤務は、以下のような施設を利用し、オフィスにとらわれない働き方をすることです。
- サテライトオフィス
- テレワークセンター
- スポットオフィス
例えば、自社と取引先が遠方で赴く必要がある場合、一度帰ってから仕事をするのは非効率的です。
その際に、取引先の近くにあるサテライトオフィスを利用して業務効率を上げる働き方です。
また、自宅からオフィスまで距離がある場合、最寄りのサテライトオフィスに出社することで通勤時間を短縮できるのも施設利用型勤務の働き方の特徴です。
在宅勤務を含むテレワークにおけるセキュリティリスクとは
先述した通り、業務の効率化や通勤時間の短縮に役立つテレワークですが、テレワークには様々なセキュリティリスクがあります。
2020年12月から2021年1月にかけて行ったテレワークのセキュリティ調査では、会社支給のOSが最新版ではなかったり、セキュリティガイドラインがの認知が4割程度と、かなり低い傾向にあると言えます。
このように、セキュリティについての教育が従業員に行き届いていないのが現状です。
取り返しがつかなくなる前に、正しくテレワークのセキュリティリスクを理解して対策を講じましょう。
テレワークのセキュリティリスクは、インターネット上のリスクから、人によるリスクまで、多岐にわたります。
インターネット上のリスク
不正サイトへのアクセスによるウイルスの感染
インターネットを使って、様々なサイトにアクセスしているうちに、ウイルスが仕掛けられている不正なサイトに当たってしまい、ウイルス(マルウェア)へ感染する可能性があります。
万が一、ウイルスに感染すると機密情報が外部に漏洩してしまったり、データが消失してしまうリスクがあります。
最悪の場合、パソコンが乗っ取られて二次被害を生む可能性があるため、ウイルス対策については万全を期さなければなりません。
公衆Wi-fiから不正アクセスによる盗聴
カフェで作業をしていると、公衆Wi-fiを利用することになるため、サイトへのログインパスワードなどが漏洩してしまうリスクがあります。
公衆Wi-Fiは、通信が暗号化されていないものが多く、情報漏洩が起きやすいです。
また、家庭内ネットワークの利用も、同じく、ネットワークセキュリティが万全でないと、ウイルスへの感染や不正アクセスによる盗聴されてしまうおそれがあります。
私物のデバイスによるリスク
テレワークでは、会社で端末を支給して業務以外には使用しないルールを策定するのが望ましいですが、現状、個人のパソコンを業務に使用しているケースも多いです。
ですが、それは会社の重要な情報を保持したまま、プライベートのサイトアクセスを実施につながるため、不正アクセスのリスクが高まってしまいます。
人のリスク
デバイスの紛失/盗難
テレワークを実施すると、重要な情報が入っているデバイスを紛失してしまったり、盗難の被害にあってしまうリスクがあります。
例えば、会社の情報が入ったスマートフォンをどこかに置いてきてしまった、テレワーク中、カフェでトイレに行った際にパソコンが盗まれてしまったなど、デバイスごと情報が漏洩してしまうパターンです。
このような被害が起きたとき、コンプライアンスの意識を問われ、会社の信頼を大きく失いかねません。
事前にルールを決めておき、紛失が起きないような工夫が必要です。
業務データの紛失/誤削除
オフィスで仕事をしていると、バックアップをとっていたり、クラウドを利用してデータの紛失や誤削除などといった様々な対策が可能です。
ですが、在宅などで端末内でデータを扱っていると、業務データの紛失、誤削除を起こしてしまうリスクが高まります。
公共の場での覗き見
カフェなどの公共の場では、不正アクセス以外にも、覗き見をされて情報が漏洩してしまう可能性があります。
特に、重要な情報を扱うサイトのログインIDやメールアドレス、パスワードを覗き見されてしまうと、重大なインシデントに発展する可能性があります。
テレワーク基本的な9つのセキュリティ対策をまとめた資料はこちら。
在宅勤務を含むテレワークにおけるセキュリティリスクへの対策
在宅勤務を含むテレワークには様々なリスクがあることを紹介しました。
では、その対策はどのように立てればいいのか解説します。
原則として、テレワークにおけるセキュリティリスクへの対策は「ルール」「人」「技術」のバランスが取れたものが必要です。
「ルール」のセキュリティ対策
従業員が「これに従って行動すれば問題ない」というルールがあれば、テレワークのセキュリティリスクを大きく下げることができます。
例えば「カフェではオフラインで書類作成をするのみ」というルールをすれば、不正アクセスによる盗聴の対策が可能です。
このように、テレワークを行う場合は、セキュリティを確保するために、テレワーク用のルールを定めましょう。
「人」のセキュリティ対策
「人」のセキュリティ対策とは、従業員にセキュリティ対策の重要性や必要性を理解してもらうことです。
どんなに優れたルールを策定しても、従業員がそれをめんどくさがったり、セキュリティ対策に対して意識が低く、ルールを遵守できなければ意味がありません。
そのため、「万が一、デバイスを紛失したらどうなってしまうのか」などを実例を交えて紹介するといった、適切な従業員への教育や、従業員の意識の向上させることで、セキュリティリスクを間接的に高めていく必要があります。
「技術」のセキュリティ対策
「技術」のセキュリティ対策とは、「ルール」や「人」で対応できない部分を補足するものです。
例えば、オンラインで仕事をする必要があっても公衆Wi-fiを使ってはいけないというルールを作ると、セキュリティ対策はできますが、利便性は大きくそがれてしまいます。
その場合、ポケットWi-fiを貸与して、場所を問わず、公衆Wi-fiを使わなくて済む状況にしたり、会社のデータをバックアップが取得できるサイトで扱えるようにするなど、ルールや人のセキュリティ対策では完全に対応できないものを、技術により対策します。
セキュリティリスクへの対策をクラウド上で一元管理しましょう
テレワークに伴うセキュリティリスクやその他の企業全体のセキュリティリスクへの対策には、「ルール」「人」「技術」といったことをはじめとしてさまざまな分野があって非常に複雑で、そのすべてに対応することは困難です。
しかし、どこか一つでも穴があれば、そこがセキュリティホールとなって重大なセキュリティ事故を引き起こしてしまいます。
こんな大変なセキュリティ対策を、LRMの情報セキュリティ教育クラウド「セキュリオ」を使えば簡単に一括管理することが可能です。
- 従業員のセキュリティ意識やレベルに課題がある
- ISMSの運用が負担になっている
- そもそもセキュリティについて何をすべきかわからない
こうしたお悩みをお持ちの企業様にとくにおススメしています。
「セキュリオ」では、14日間無料でGR スタンダードプランの機能をご利用いただけるトライアルも実施中です。
この機会にぜひご活用ください。
まとめ
在宅勤務におけるセキュリティリスクについて解説しました。
テレワークは、時間の効率化、生産性の向上、個人の事情に合わせて労働時間を変更できるなど、労働環境の最適化に役立つ反面、セキュリティの担保が難しくなってしまいます。
適切なセキュリティ対策を定め、情報漏洩などのインシデントに発展しないように、従業員への教育を行いましょう。
テレワーク基本的なセキュリティ対策9選をまとめた資料はこちら。
