新型コロナウイルス感染防止の観点からテレワークを導入する企業が増えています。しかしながら、運用における課題を解決することができず、導入に二の足を踏む企業も少なくありません。なかでも、大きな課題となるのが情報セキュリティです。今回はテレワークの情報セキュリティについて、リスク回避に向けての対策とポイントをお伝えします。
目次
今回のケース
テレワークの情報セキュリティが気になっているが、特に対策をしないまま業務を行っている状態。本格的に今後の対策を検討したい。
( 1 ) テレワークの現状と具体的な情報セキュリティリスク
新型コロナウイルス感染症の世界的な広がりから、瞬く間に普及・浸透したのがテレワークです。自宅やカフェなどで情報端末を活用、余暇を楽しみつつ仕事をするワーケーション、また出社とテレワークを組み合わせたハイブリッドワークなど、就労環境は変化し続けています。
こうした中、従業員が社内からアクセスすることを前提として、危険な「社外からのアクセス」に絞った従来の情報セキュリティ対策の考え方では、対応が難しくリスクも拡大する傾向にあり、リスクの再評価や見直しする必要性が出てきました。
テレワークにおける具体的な情報セキュリティリスクとは何でしょうか。主なリスクは以下の通りです。
テレワーク時は自宅などから会社のシステムにアクセスするため、まずは社員の意識やセキュリティに対する知識が求められます。また、ネットワークや機器へのセキュリティ対策が不十分だとさまざまなリスクが高くなります。外部ネットワークからの不正アクセスをはじめ、脆弱性が内在するアプリケーションやオンラインストレージなどの利用によってマルウェアに感染し、情報漏洩や情報消失する危険性もあります。加えて移動中のモバイル端末の紛失や盗難など不慮の事故にも注意が必要です。
テレワークにおけるトラブル事例
セキュリティの低いネットワークを経由したものや、情報端末や記憶媒体の紛失といった人為的なものなど数多くのトラブルが発生しています。
●社外ネットワークによるSNS利用からマルウェア感染
社員が在宅勤務時に、業務用PCから社内ネットワークを経由せずにSNSを利用し、マルウェアに感染した。その後、感染に気づかないまま出社し、感染したPCを社内ネットワークに接続。社内でマルウェア感染が拡大し、不正アクセスによる情報流出が起きた。
●公衆無線LANの利用で情報漏洩
社外で業務をした際に公衆無線LANを利用してメールの送受信を行ったところ、メールに添付した機密情報が競合企業に流出した。公衆無線LANの中にはセキュリティ対策が不十分なものもあるため、通信内容を傍受される結果となった。
●生徒の個人情報が入った USBメモリーを紛失
ある高校では教員がテレワークのため、生徒数百名分の個人情報を私物のUSBメモリーに保存し、郊外に持ち出した際に紛失した。同校では、個人情報の外部記憶媒体への保存や持ち出しを禁止するルールが定められており、テレワークにおいても運用に変更はなかった。
( 2 ) 「テレワークセキュリティガイドライン」から見る情報セキュリティ対策
テレワークの推進を受け、総務省は「テレワークセキュリティガイドライン」を発表しています。これらを踏まえ、セキュリティ対策のポイントを確認していきます。
参照:総務省 テレワークセキュリティガイドラインセキュリティ確保のためのルール設定
テレワークでは情報セキュリティ面の安全性に対して、社員が適切な判断を行うことは困難です。そこで、職場と異なる環境で仕事を行う際のセキュリティ確保における新たなルール設定が重要となります。組織として守るべきルールを定め、それらを正しく運用することで、安全性が保たれます。
情報セキュリティに関する必要な知識の習得
ルールを定めても、テレワークを行う従業員やシステム管理者などが守らなければ、効果が発揮されることはありません。ルール定着のため、関係者への講習や講義を通じてルールの趣旨を理解してもらい、ルールの遵守が自分にとっても業務を円滑に進めるためメリットになることを自覚してもらうことが重要です。
環境に応じた情報セキュリティツールの活用
情報セキュリティ対策において、ルールや人だけでは対応が困難な部分をツールの導入で補完することも重要です。テレワーク先の環境を考慮し、セキュリティリスクに対して有効なツールを導入することで、ネットワークやパソコン、ソフトなどの各環境で情報セキュリティ維持が可能となります。
( 3 ) テレワークにおける情報セキュリティの具体策
テレワークを安全に実現するには、リスクへの対策が必要不可欠です。先に述べたセキュリティ対策の観点を踏まえ、具体策を紹介します。
ルール設定と万一に備えた体制構築
テレーク導入には、まずセキュリティに関するルールを設定し、テレワークを行う社員に周知徹底することが重要です。社外で仕事を行うリスクを理解し、セキュリティに対する意識を高めるとともに、テレワークによる業務の円滑化を図ります。万一事故が起きてしまった時にも、迅速な対応ができる体制を構築しておくことで、被害の拡大や自社の信用低下を最小限に抑えることができます。
不正アクセス対策
使用端末や社内システムなどへの不正アクセスを対策するには、以下が有効です。
ID・パスワード認証と併せて、指紋による生体認証などを組み合わせた多要素認証は、不正アクセスを防止する非常に有効な手段です。また、インターネットを介してアクセスするテレワークでは、通信を暗号化するVPN接続はリスクの低減につながります。ファイアウォールやIPS(侵入防止システム)/IDS(侵入検知システム)などネットワークセキュリティを導入すれば、さらに効果は高まります。
マルウェア感染による情報漏洩やデータ消失対策
マルウェア感染による情報漏洩は会社に大きな被害と損失をもたらします。オンラインストレージなどのサービスを利用する場合は、セキュリティ対策ソフトでのマルウェア感染対策が必須です。ソフトを常に最新のバージョンに更新したり、期限が切れていないか確認したりするほか、重要なデータは定期的なバックアップを行うことで消失や破損のリスクを防げます。
情報端末や記録媒体の紛失対策
盗難や紛失時の情報漏洩リスクは、パソコンやモバイル端末のストレージに対する暗号化によって軽減することができます。また、個人の利用端末内にデータを残さず、リモートデスクトップ方式(※2)で社内端末にアクセスすることも有効です。テレワークに限らず、暗号化は重要なデータをやり取りする際の基本です。
※1
ファイアウォール:「Firewall」は「防火壁」の意味。インターネットを経由して侵入してくる不正なアクセスから社内のネットワークを守る仕組み。
※2
リモートデスクトップ:遠隔地のパソコンのデスクトップを社内ネットワークに直接アクセスせず、手元のパソコンなどで操作する機能。
( 4 ) 総合的ネットワークセキュリティシステムの活用
ネットワークセキュリティシステムにはさまざまな製品やサービスがあります。ここからはサクサの製品による具体的な対策例をご紹介します。 サクサでは、テレワーク時のセキュリティ対策をサポートする多彩な機能を搭載した「UTM(統合脅威管理アプライアンス) SS7000Ⅲ」をご提案しています。
テレワークでの高いセキュリティ環境を構築
社内ネットワークに直接接続できる「リモートコネクト」によってVPN環境を簡単に構築できます。自宅などの外部からでも、オフィスと同じセキュリティレベルの環境を維持することが可能です。
*「リモートコネクト」はオプションです。
「エンドポイントセキュリティ」によるダブルガード
パソコンの設定を個別に頼ることなく、エンドポイント(※3)のセキュリティがワンストップで行えます。39万社以上の導入実績を誇る「ESET」を採用し、社外からのネットワーク接続をUTMとエンドポイントでダブルガードします。テレワーク時の情報セキュリティリスクへの不安を解消し、場所を選ばない働き方をサポートします。
*「エンドポイントセキュリティ」はオプションです。
ネットワークセキュリティを集中管理
SS7000Ⅲは複数のネットワークセキュリティを集中管理し、社内ネットワークをさまざまな脅威から守ります。ファームウェア(制御のためのソフトウェア)のバージョンアップを自動更新し、最新のセキュリティプログラムを適用します。また、サイバー攻撃に対応し、高性能エンジンによるウイルス検疫やシグネチャ(ウイルス検知ファイル)の自動アップデートも行います。
※3 エンドポイント:「end point」末端や終点などを意味する英単語。ネットワークに接続されたパソコンやスマートフォンなどの末端の機器を指す。
( 5 ) まとめ
テレワークの導入においては、情報セキュリティの確保が重要な課題となります。ツールや新たなルールを導入し、メリットを最大限発揮できるような工夫が必要です。
サクサは、最適なネットワークセキュリティシステムの提案を通してサポートをさせていただきます。ぜひ気軽にご相談ください。
経営課題におけるトレンド情報や課題解決にお役立ていただける資料をまとめております。
ぜひ一度お読みください。