テレワークのセキュリティリスクを考える


話題の「働き方改革」の一環として、テレワークを実施する企業が増えています。
テレワーク(telework)とは、遠く(tele)と働く(work)を組合わせた造語で、ICTを活用した場所や時間にとらわれない柔軟な働き方を意味します。病気や育児・介護・災害発生により、オフィスで勤務できない場合でも、自宅などで作業をおこなうことで、生産性の低下を防ぐことができます。

trend-telework-top2.png

2017年7月から、東京オリンピック・パラリンピックが開催される2020年に向けた国民運動プロジェクト「テレワーク・デイ」が毎年開催されています。首都圏における大会期間中の交通混雑を緩和する切り札として期待されています。このような運動をはじめとしてテレワークを実施する企業は、全国的に年々増加傾向にあります。

trend-telework-dounyu.png

(出典:総務省「通信利用動向調査(平成28年~平成29年調査)」を加工して作成)

しかし、テレワークを実施するにあたって、社員の理解を得ることや、テレワークに適した労務管理・人事評価、社内制度をつくること、新たな投資が必要になることなど、さまざまな課題があります。
なかでも、最も多くの企業が課題に挙げているのは「情報セキュリティの確保」です。

trend-telework-kadai.png

(出典:総務省「ICT利活用と社会的課題解決に関する調査研究(平成29年)」を加工して作成)

2018年4月に総務省が公開した「テレワークセキュリティガイドライン(第4版)」においても、「テレワークにおける情報セキュリティ対策に適切な理解を示した上で、必要な人材・資源に必要な予算を割り当てる」と、セキュリティに関する内容が追加されています。
テレワークを安全に実施するために必須となる「情報セキュリティの確保」。考えられるリスクは、どのようなものがあるでしょうか。

テレワーク実施時に考えられるセキュリティリスク

Ⅰ.紛失・盗難のリスク

端末持ち出し時に紛失・盗難の危険性はつきものです。そういったリスクが発生しないよう注意を促すことはもちろん大事ではありますが、紛失や盗難が発生した後のことも考えて、外部に情報が漏れないよう対策を取るべきです。
例えばPCのログオン時に、ID・パスワードを入力することに加え、ICカードやバイオメトリクス認証など2要素認証をおこなうことでより強固なセキュリティを実現できます。また、ハードディスクやデータを暗号化することも、盗まれた後の対策として有効な手段です。

他にも外出先や移動中などでPC作業をおこなうモバイルワークの場合は、悪意のある第三者に機密情報を盗み見される可能性も捨てきれません。その対策として、覗き見を防止する画面フィルタを利用するなど、物理的な方法をとる必要があります。

■対策
・2要素認証(ID・パスワード、ICカード、バイオメトリクス認証など)の設定
・ハードディスク(HDD)を暗号化
・ファイルは会社の共有フォルダのみ保存
・覗き見防止フィルターの利用
Ⅱ.ネットワーク通信のリスク

テレワークでは、外部のネットワークを介して、社内ネットワークに通信をすることになります。公衆無線LAN(Wi-Fi)などセキュリティ対策が十分に備わっていない危険のあるネットワークを利用すると、第三者に通信内容が傍受される可能性があります。あらかじめ、会社からモバイルルータを貸し出し、それ以外のネットワークには接続できないといった制限を施すことが有効な手段です。

■対策
・会社貸与のモバイルルータのみ利用
・公衆無線LAN(Wi-Fi)などに接続できないよう設定
Ⅲ.マルウェア感染のリスク

インターネット経由の感染が多いマルウェアの脅威に備えることも重要です。セキュリティ対策製品は最新の定義ファイルが適用されている状態にしましょう。また、セキュリティパッチ適用は社員任せにするのではなく、社内PCと同様にテレワーク端末もシステム管理者が一括管理していることが望ましいです。
さらに、業務時間内・外に関わらず、テレワーク端末においても業務に無関係なWebサイトの閲覧を禁止にしたり、ソフトウェアのダウンロードを制限する必要があります。

■対策
・セキュリティ対策製品の定義ファイルを更新
・OSやソフトウェアのセキュリティパッチを管理
・不必要なソフトウェアの使用、業務外のWebサイト閲覧ができないよう設定

ここまでご紹介した3つのセキュリティリスクに対して、自社ではどんな対策を取らないといけないのか、既に導入しているセキュリティ対策製品でどこまでリスクを低減できるかなど、まずは状況を洗い出してみてはいかがでしょうか。

「SS1」でできるテレワーク時のセキュリティ対策

ここからは弊社製品、IT資産管理ソフト「System Support best1(SS1)」で対応できるセキュリティ対策についてご紹介します。
「SS1 ver.10」では、社外ネットワーク上のPCに対し、インターネット経由でインベントリ情報や各種ログの収集、ポリシーの適用が可能です。テレワーク端末にインストールしているセキュリティ対策製品のバージョン情報やパッチの適用状況を把握し、さらに不正なソフトウェアやUSBメモリの使用制限までおこなえます。

Web閲覧やソフトウェアの使用状況、PC操作といった、ユーザーの操作ログもインターネット経由で取得できるため、セキュリティ対策として活用することができます。テレワーカー側としても適切に作業している証拠を残せますので、双方にメリットがあります。

trend-telework-ss1shikumi.png

ネットワーク通信に関しても、SS1を利用すれば、誰がどのPCでどのワイヤレスネットワークに接続・切断したか、使用制限を受けたか、どのポリシーに違反したかといった接続状況を可視化できます。
例えば、社内ネットワークや貸与したモバイルルータなどは接続を許可し、公衆無線LANは接続させないという制限を設定することでセキュリティを強化できます。

trend-telework-ss1WiFi4.png

「SS1 ver.10」は、テレワーク端末のセキュリティ対策に加え、社外へのPCの持ち出しやデバイスの使用、残業などの申請業務に使える「ワークフロー機能」、勤務時間外のPC稼働状況の確認や、残業申請のないPCの使用を制限するなど「長時間労働の抑制」にも役立つ機能も多数ご用意しております。

働き方改革の推進をサポートするSS1についてご興味もっていただけましたら、ぜひ弊社にまでお問い合わせください。

●SS1 ver.10の詳細はこちら
●SS1に関するお問い合わせはこちら

前へ

【やまちゃん先輩とこっぺ連載:第三話】「ver.10」で、さらに愛されるSS1へ。

次へ

Windows 7からWindows 10へ。アップグレード準備はできていますか?