いつでもどこでも自由度高く働けるテレワークのような新しい働き方は、会社の業務効率化という意味においてもメリットは大きいといえます。一方で、社員が会社の許可を得ず私有のパソコンやスマートフォンなどを使用したり、クラウドサービスを利用したりする「シャドーIT」が問題になっています。今回は、テレワーク時の業務効率化に潜むリスクおよび適切な対策について紹介します。
目次
今回のケース
業務効率化につながる理由で、私有のパソコン、タブレットや個人利用のクラウドサービスを業務で利用していることがある。セキュリティリスクが不安だが、対策はあるのだろうか?
【まとめページ】
サイバー攻撃の脅威から企業の資産を守る!
経営者必読のセキュリティ関連資料12選
▼本ページに掲載されているお役立ち資料▼
-
情報セキュリティ(知識編)
-
情報セキュリティ(実践編)
-
UTM
( 1 ) シャドーITが広まった背景
テレワークの普及が進むなかで、私有のパソコンやスマートフォンなどを使用する「シャドーIT」が問題化しています。これまでも、「終わらない仕事を自宅に持ち帰る」ということは、どの企業でも多かれ少なかれ行われてきたのではないでしょうか。そうした「見えない部分」が増えた背景には、働き方改革の普及が大きく影響していると考えられます。
働き方改革は業務効率化を進めるうえで不可欠なことですが、残業ができなくなったことで先のような仕事の持ち帰りが常態化したり、テレワークに都合のよいサービスを自己判断で取り入れたりするケースが増えてきたのです。そうした社員の勝手な判断が部署単位に及ぶと、特に意識することなく使っていいものと誤解する場合もあるでしょう。
経営層としては、このようなシャドーITをセキュリティリスクが極めて高いものと認識し、対策を講じなければなりません。
( 2 ) 私有の端末や未許可のサービスを使用するリスク
シャドーITにはさまざまなものがありますが、主には私有の情報端末の使用と許可されていないサービスの使用の2点が挙げられます。それぞれにはどのようなリスクがあるのでしょうか。
私有の情報端末の使用
- 私有のパソコンやスマートフォン、タブレットを業務に使う
- データを個人アドレス宛に送り、自宅の端末で作業を行う
- 個人のUSBメモリなどにデータを保存して持ち帰る
私有のパソコンやスマートフォンなどの情報端末は業務用のものと異なり、セキュリティ対策が不十分な場合が多く、マルウェア感染などのリスクが高くなります。また、業務に使用する情報を保存した端末の盗難や紛失によって、情報漏洩が起こる可能性もあります。
許可されていないサービスの利用
- 個人向けのストレージサービスで業務データをやり取りする
- 個人で使用しているチャットやメッセージアプリを業務に使う
- 自宅のネットワークや外出先の無料Wi-Fiを利用する
プライベートで使い慣れたツールやサービスを業務でも利用するケースが増加しています。ログインIDやパスワードが流出し、アカウントが乗っ取られることで重要な情報が漏洩するリスクがあります。また、作成元が不確かなアプリだと、データが抜き取られてしまうといった事例も報告されています。
これらの会社が管理していない端末やサービスが原因となって、マルウェア感染や情報漏洩などのセキュリティ事故を引き起こした際には、使用した社員だけでなく会社の管理責任が問われることになります。被害を受けた顧客や取引先からの信頼を失うだけでなく、損害賠償などの損害にも及んでしまいます。
( 3 ) シャドーITへの対策は社員意識の向上から
シャドーITへの対策には、社員のリテラシーの向上が欠かせません。
- 個人が所有するパソコンなどの情報端末は原則使用しない
- やむをえず使用する場合はルールを定める
- 会社が許可したサービスやツールのみを利用する
簡単なように思えても徹底できないのは、社員がシャドーITの危険性を正しく認識していないためだと考えられます。個人の端末や許可されていないサービスなどを使用すると、どんなリスクが発生し、重大な事故につながる危険性があるのか。これらを社員一人ひとりが理解することが重要であり、そのための情報共有や教育なども行う必要があります。
また、個人の端末やクラウドサービスなどの使用については、社員にニーズを把握したうえでルールを策定し、許可したものだけを使用することを徹底します。リスクが軽減され、安全性が保たれることにより、業務効率化を図ることも可能になります。
( 4 ) 安全にテレワークを推進するためのツール
社員のリテラシーだけでなく、セキュリティ対策ツールによって、さらに安全性を高めることは会社にとって重要です。ここではサクサの「UTM(統合脅威管理アプライアンス)SS7000II」および「働き方改革サーバ GF1000Ⅱ」による具体例を紹介します。
テレワークのセキュリティ対策
SS7000IIでは社内ネットワークに直接接続できる「リモートコネクト」(オプション)により、VPN(ヴァーチャル
プライベート
ネットワーク)環境を簡単に構築することができます。自宅から私物の情報端末で社内のネットワークにアクセス可能です。オフィス同様に会社内のIT資産を活用できます。
また、「エンドポイントセキュリティ」(オプション)によって、個別の設定に頼ることなく私物の情報端末のセキュリティを高めます。UTMとエンドポイントのダブルガードで、さまざまなウイルスやフィッシングサイトなどの脅威を排除し、場所を選ばない働き方をサポートします。
USBメモリスキャン機能
USBメモリからウイルス感染するリスクは非常に高く「警視庁からのお知らせ」でもテレワークで使用したUSBメモリは社内ネットワーク接続前のウイルススキャンを要請しています。
SS7000IIでは本体にUSBメモリを差し込むことでファイルを検疫し、PCへのウイルス感染を防ぐことができます。
テレワークに便利な機能を集約
働き方改革サーバ GF1000Ⅱは、テレワークなど柔軟な働き方に応えるさまざまな機能を搭載しています。
- 外出先のパソコンからWebブラウザでアクセス(別途VPN環境が必要です)
- iOSモバイル端末からアプリでファイル閲覧
- 大容量ファイルの送受信
- ビジネスチャットSMART Message(オプション)で情報共有
( 5 ) まとめ
シャドーITへのリスクとその対策の重要性がご理解いただけたのではないでしょうか。テレワークでも社員が働きやすい環境を整えることで、働き方改革による業務効率化や生産性の向上を実現できます。
サクサでは、多様な働き方を支えるさまざまな製品やサービスをご提案しています。さらに詳しい製品情報は、ぜひホームページでご確認ください。
【まとめページ】
サイバー攻撃の脅威から企業の資産を守る!
経営者必読のセキュリティ関連資料12選
▼本ページに掲載されているお役立ち資料▼
-
情報セキュリティ(知識編)
-
情報セキュリティ(実践編)
-
UTM
経営課題におけるトレンド情報や課題解決にお役立ていただける資料をまとめております。
ぜひ一度お読みください。
