2020年以降、新型コロナウィルスの影響により急激に広まったテレワークや在宅勤務。自宅やサテライトオフィス、カフェなどでも仕事ができるようになり、多くの人々の働き方が変化しました。

 

テレワークは企業にとっても、従業員にとってもさまざまなメリットがある一方で、一番の懸念点はやはりセキュリティ問題と言えるでしょう。社外で仕事ができるようになると、どうしてもセキュリティ上のリスクはつきものです。

 

今回はテレワーク実施時におけるセキュリティ対策の重要性と、テレワークを導入するにあたって、検討しておくべきセキュリティ対策について解説します。自社で起こりうるセキュリティトラブルに対して適切に対処する方法として、ぜひ参考にしてみてください。

 

テレワーク時のセキュリティリスク

テレワークにおけるセキュリティ上のリスクとは、具体的にどのようなものがあるでしょうか。今回は企業がテレワークを行う際に、注意するべきセキュリティリスクの中から、代表的なものを5つご紹介します。
 

モバイル端末の紛失や盗難

ノートPCやスマホなどの端末は、持ち運びに便利な一方、紛失や盗難のリスクからは免れません。顧客データや機密情報が入った端末やUSBメモリーなどが盗難に遭った場合、情報漏えいのリスクが一気に高まります。
対策として端末に認証をかけることは可能ですが、分解して直接HDDにアクセスする手法もあります。端末にデータが保存されている限り、情報漏えいの危険性は完全には無くならないと言えるでしょう。

 

なりすましや不正アクセス

端末が盗まれた場合、使用していた従業員の認証情報を用いた、なりすましや不正アクセスなどの可能性も。攻撃者が従業員の自宅Wi-Fiを経由して、社内ネットワークに不正アクセスを働くなど、より高度な攻撃手法も存在します。

 

私物端末利用によるマルウェアへの感染

テレワーク時は会社から貸与された端末ではなく、従業員が私的に所有する端末が使われることもあります。私物の端末は、セキュリティ対策が不十分である可能性もあり、その場合にはマルウェア感染へのリスクが高まります。

 

公衆の無料Wi-Fiなどの使用による情報漏えい

カフェなどで仕事をする際、公衆の無料Wi-Fiでのインターネット接続も、リスクにさらされます。公衆Wi-Fiの中には通信が暗号化されていないものや、通信傍受を目的としたものもあり、通信内容が盗み見られるリスクも。
SSL通信を使用している場合には、通信内容は暗号化されているため、攻撃者は通信の中身を確認できませんが、そうでない場合においては、攻撃者に情報が渡ってしまいます。

 

自宅のインターネット回線からの情報漏えい

適切なセキュリティ対策がなされた社内ネットワークとは違い、個々人の対策の差によって異なる、自宅ネットワークのセキュリティレベル。
もし自宅のネットワーク内に接続されたIoT機器などが、不正アクセスを受けた場合には、情報漏えいの可能性も考えられます。

 

テレワーク導入における7つのセキュリティ対策

上記で解説してきた通り、テレワークには多くのセキュリティリスクが伴います。
企業のシステム担当者はこれらのリスクを理解した上で、具体的なセキュリティ対策を講じなければなりません。本文では具体的な7つのセキュリティ対策について、ご紹介します。
 

セキュリティガイドライン策定

テレワーク時には従業員が会社から離れたところで仕事を行うため、適切なセキュリティソフトの導入や、未許可のアプリケーションを利用しない、などといった組織内のルール作りが大切です。
社内のセキュリティガイドラインを策定にあたっては、総務省のテレワークセキュリティガイドラインを参考にするのがおすすめです。

参考サイト：https://www.soumu.go.jp/main_content/000752925.pdf

 

セキュリティツール（ウィルス対策ソフト）を導入

テレワークでは、インターネット接続や、USB接続が頻繁に行われるため、デバイスは常にウイルス感染の脅威に晒されます。ウイルス感染による情報流出防止策として、セキュリティツールの導入はマスト。
自社の予算や目的に合ったウイルス対策ソフトのほか、必要に応じて複数のセキュリティ機能を統合した総合脅威管理ツールや、デバイスやアプリのライセンスを安全に管理するMDMツールの導入も検討するとよいでしょう。

 

社内のセキュリティ教育や研修、啓蒙活動

セキュリティガイドラインやルールを策定し、ソフトやツールの導入後には、社員向けのセキュリティ教育も徹底して行うようにしましょう。ウイルスは日々進化しているため、柔軟に変化に対応できるよう定期的な周知が必要です。
社員に対する定期的なセキュリティ教育は、書面のガイドラインやルールだけでは伝わらない、細かな注意点などについても、フォローすることができます。また企業側にとっても、ガイドライン自体やルールの趣旨について、都度見直すよい機会となるでしょう。

 

端末のOSを最新の状態にしておく

端末のOSやアプリを常に最新版へアップデートしておくことは、セキュリティ対策の基本です。定期的な最新版へのアップデートにより、既知の脆弱性を狙った攻撃からのリスクを回避させることにもつながります。
また、ツールを最新の状態にしておくことで、日々進化するウイルスへの対応としても有効です。頻繁なセキュリティアップデートは、作業が煩わしく感じられがちですが、重要なセキュリティ対策業務の一環として、早急に対応するように社員には周知、徹底を行いましょう。

 

データやハードディスクの暗号化

端末の紛失や、盗難に遭った際の対策として、ハードディスクの暗号化がおすすめです。暗号化によって、情報漏えいのリスクを軽減できます。
例えばWindows OSの場合、BitLocker（Pro版やEnterprise版で提供）は無料で利用できるため、ぜひ活用しましょう。BitLockerが利用できない場合にはESET Endpoint Encryptionを利用する、という選択肢もあります。

 

高い安全性を誇るVPNを導入

VPNとは、インターネット上に利用者専用のプライベートネットワークを構築する技術です。VPNには、インターネット環境を利用する「インターネットVPN」と、閉鎖的なネットワークを利用する「IP-VPN」の2つがあります。

 

インターネットVPNは、安価に導入でき、複数拠点でも接続できる点がメリット。その反面、回線混雑により通信品質が下がることがあったり、障害が発生した場合、復旧に時間がかかったりといったデメリットもあります。

 

それに対して、IP-VPNは、専用ネットワークなので、安定した通信が可能で、暗号化をしなくてもセキュリティ性が高いというメリットがあります。反面、コストが膨らみやすく、通信業者との契約時にしか使えないといった点はデメリットとして挙げられるでしょう。

 

セキュリティ面で考えるのなら、暗号化なしでも安全性の高い「IP-VPN」がおすすめです。しかし、インターネットVPNでも、暗号化を行えば高いセキュリティ性を保つことができますので、それぞれのメリットとデメリットを考慮した上で、自社にとって最適なVPNを選ぶようにしましょう。

 

多要素認証の導入

IDやユーザー名、パスワード以外に、指紋などの生体認証やSMSのワンタイムパスワードの送信などを使って、複数の認証ステップを踏むことを、多要素認証と言います（認証方式によっては、二段階認証や二要素認証とも言われます）。最近では、Webサービスやアプリなどでも多要素認証をサポートしているものが多く見られるようになりました。
多要素認証を使うことで、万が一ユーザー名とパスワードの流出が起こっても、攻撃者が認証を通過しづらくなり、よりセキュリティ面の安全性が確保されます。

 

まとめ

テレワークを導入するにあたって、検討しておくべきセキュリティ対策について解説してきました。自社にマッチしたセキュリティツールを有効に活用することで、多くのリスクを回避することができるようになるでしょう。
 
加えて、従業員への教育と環境整備を合わせた、継続的なセキュリティ対策も併せて行うことが大切です。ぜひ本文を参考に自社にとって適切なセキュリティ対策を講じて、テレワークの運用を成功に導いてください。

 

テレワーク環境を活用した社内イベント

株式会社オージャストでは、テレワーク環境を活用したオンライン社内イベントをサポートいたします。オンラインなので、全国どこからでも参加可能です。
テレワークで陥りがちなコミュニケーション不足を解消することで、情報共有の活性化、目的の共有、生産性の向上、離職率の低下など、得られる効果は様々です。
社員総会・周年記念・社員表彰・入社式や送別会など、様々な運営実績がございますので、お気軽にご相談ください。