仁(JIN)です。
自宅や出張先などオフィス以外の場所で、
パソコン等を使って業務を行う
「テレワーク」。
最近では「働き方改革」の一環として
導入する企業も増えている
ワークスタイルですね。
私の勤務先でも
「テレワーク比率を5割する!」
と目標を掲げており、
できるところから対策を進めているところです。
社外での業務は
既存のセキュリティ環境の外!
情報漏えいなどの事故が
発生するリスクも高まります。
そこで今回は、
テレワークに必要な
セキュリティ対策について
考えてみたいと思います。
「働き方改革」の推進で効果的なテレワーク
テレワークとは
総務省の定義によれば、
テレワークとは
「情報通信技術(ICT)の利用により
時間・空間を有効に活用する
多様な就労・作業形態」であり、
「企業にとっての競争力強化だけでなく、
新しいビジネスの創出や労働形態の改革、
事業継続の向上をもたらすとともに、
多様化する個々人のライフスタイルに応じた
柔軟かつバランスのとれた働き方の実現に寄与する」
としています。
テレワークを推進する理由
テレワークは、
少子・高齢化対策、
経済再生、
雇用創出、
地域振興、
防災・環境対策など
さまざまな面で効果があることが認められていて、
特に近年は、
ワークライフバランスを実現する
柔軟な「働き方」として注目されています。
社外のさまざまな場所で
業務や会議が可能になるため、
通勤や移動にかかるコストや時間を軽減できます。
企業側からみれば業務が効率化されますし、
従業員側からみれば、
より柔軟な働き方が可能になるわけです。
私の勤務先でもテレワーク推進!
さて、
「テレワーク、
進めていくけど、
情報漏えいとか
セキュリティとか
大丈夫だよね?」
と言われれば、
「総務部門と連携して
対応を検討します!」
「すでに導入済みの仕組みを活用して
できる限り費用は抑えたいと思いますが、
ポケットwifiがどうしても不足すると思います。
月額の固定費があがるのですが・・・
総務と連携して、通勤にかかる定期代を削減して
少しでも費用を抑えることができないか
合わせて検討して提案いたします。」
常套句ですね。(苦笑)
これも社内SEの大切な仕事です。
テレワークは情報漏えいのリスクを高めるのか?
テレワークのセキュリティ対策
多様化する働き方として
テレワークは効果的だといわれる一方で、
「セキュリティ」対策に
頭を抱える企業も多いのでは
ないでしょうか。
オフィス内のPCは
社内ネットワークに接続され、
インターネットとの出入口は
ファイアウォールや
IPS(不正侵入防止システム)などで
守られていると思います。
しかし、テレワークでは
そういった保護がない環境で、
PCやタブレット、スマホなどの端末を
使い業務を行うことになります。
社外から社内へアクセスの
セキュリティ対策がされていない場合は、
直接インターネットへ接続されることになります。
この状況は、逆にインターネット側から
直接端末へアクセスされる可能性が高くなる
というリスクが生じます。
テレワークセキュリティ対策の要所
インターネットからの通信
特にモバイル通信の場合に注意したいのが、
公共の無線LAN(Wi-Fi)の利用です。
現在では利便性を高めるために、
空港や駅、カフェ、ホテルなど
さまざまな場所で無料のWi-Fiサービスが
提供されるようになりました。
こうしたWi-Fiの中には
暗号化キーが公開されていたり、
そもそも暗号化されていなかったりします。
暗号化されていない場合、
「無線通信の傍受」が容易なため、
通信内容だけでなく端末上の
さまざまな情報が筒抜けになってしまう
リスクがあります。
盗聴のようなものでしょうか。
取引先とのメールの内容や、
社内サーバーにアクセスするための
IDやパスワードなどが
悪意のある第三者に漏れては一大事です。
Wi-Fi環境を悪用されるとどうなるか
サイバー攻撃者はマルウェアの感染経路の1つとして、
Wi-Fi環境を悪用するケースがあります。
過去には、Wi-Fiのルーターへマルウェアを仕込み、
無線利用のためにアクセスしてくる端末を
感染させた例も報告されています。
この場合、もし従業員がマルウェアの感染に気づかず、
そのまま企業のネットワークに接続すれば、
社内へあっという間に広がる恐れがあります。
物理的な問題にも注意が必要
サイバー攻撃以外にも、
持ち運んでいるノートPCや
タブレットなどの端末には、
紛失・盗難という
リスクが存在します。
また、在宅勤務で
個人所有のPCなど
許可なく使っている場合には、
個人利用のクラウドサービスや
フリーソフトウェアが
インストールされていることもあるでしょう。
それらから、業務上の機密情報を
うっかり共有してしまうといった
リスクも考えられますね。
テレワークに有効な最新のセキュリティ対策
企業がテレワークを導入する際には、
社外でのセキュリティの確保が
重要なポイントとなります。
特に重視すべきなのが端末と
アカウントの管理、
情報漏えい対策です。
可能な限り「多要素認証」の導入を!
まずは、テレワークの際、
「誰」の「どの端末(PCやタブレットなど)」が
使われているのかを正確に把握し、
個人IDと紐づけられた端末を管理する必要があります。
また、端末やグループウェア・クラウドサービスなどの
ログインには、可能な限り「多要素認証」を導入します。
多要素認証とは、
IDとパスワードの組み合わせに加えて、
指紋などの生体認証や
ワンタイムパスワードなど
複数の認証を組み合わせることです。
端末上のデータを暗号化
認証の問題をクリアしたら、
端末上のデータを暗号化を検討します。
もしくはVDI(仮想デスクトップ)化により
端末上にデータを保存しない手法もよいと思います。
これらの手法を採用することで、
万が一紛失や盗難に遭っても、
情報を盗まれるリスクを
低減することができます。
Wi-Fiへの情報漏えい対策
Wi-Fiに関する情報漏えい対策としては、
各種サービスを利用する前に
通信に強度の暗号化が施されているか
しっかりと確認をしておきます。
また、暗号化されていない
Wi-Fiサービスは原則利用禁止などの
規則を設けておきましょう。
忘れがちですが、大切です。
Wi-Fiの暗号化形式
現在のところ最もセキュリティが高い
といわれている暗号化形式である
WPA2にも脆弱性が確認されています。
次期バージョンとして
WPA3が承認されたところですが、
普及するまでは
もう少し時間がかかりそうです。
そこで、Wi-Fiの利用時には
VPN(※)を使用するなど、
WPAとは別の方法を通信を暗号化するのも1つの手段です。
※バーチャル プライベート ネットワークの略で仮想専用線のこと
ウイルス対策も忘れずに
会社貸与・個人所有の端末に関わらず、
テレワーク環境で使用する
PCやタブレット、
スマートフォンなどの端末には
セキュリティ対策ソフトの導入は必須です。
更に検討しておきたい対策
単機能のアンチウイルス製品ではなく、
複数の機能を持ったものを選ぶことが大切です。
マルウェア対策だけでなく、
アンチスパムやフィルタリング、
侵入防御、Wi-Fiの安全性の判定など、
多機能対策が備わったセキュリティ対策を
実装することでさらなる
セキュリティレベルの向上が期待できます。
これらのテレワーク環境整備と同時に、
各従業員に割り当てているIDの管理も、
外部環境から社内サーバーへのアクセスが
増加した際には見直しを図りたいものの1つです。
具体的な対策方法についても
今後ご紹介していけたらと考えおります。
