テレワークにはセキュリティ対策が大事!起きやすい事故と3つの対策
テレワークを導入する場合には、セキュリティ対策が欠かせません。ガイドラインを作成し、技術面や物理的側面での対策が必要です。
本記事では、テレワークにおけるセキュリティ対策について、起こりやすい事故と実施するべき対策についてお伝えします。
目次[非表示]
- 1.テレワークにはセキュリティ対策が必須
- 1.1.テレワークの現状
- 1.2.テレワークのセキュリティリスク
- 1.3.総務省がガイドライン第5版を公表
- 2.テレワークで起きやすいセキュリティ事故
- 2.1.紙媒体やUSBメモリの紛失
- 2.2.クラウドサービスからのデータの流出
- 2.3.ウイルス感染
- 2.4.第三者による画面の閲覧
- 2.5.公共Wi-Fiからの情報漏洩
- 3.テレワークセキュリティ対策【ルール整備】
- 3.1.セキュリティガイドラインの作成
- 4.テレワークセキュリティ対策【物理面】
- 4.1.紙媒体の紛失対策
- 4.2.作業場所のセキュリティ対策
- 5.テレワークセキュリティ対策【技術面】
- 5.1.データの暗号化とウイルス対策
- 5.2.安全なネットワークの構築
- 6.まとめ
テレワークにはセキュリティ対策が必須
テレワークは、時間や場所の制約を受けず、柔軟な働き方ができることから注目を集めています。一方で、情報漏洩や書類の紛失などセキュリティ面でのリスクが懸念されています。
ここでは、テレワークの現状について見ていくとともに、テレワークのセキュリティリスクがどのようなものかご紹介します。
テレワークの現状
テレワークを導入する企業は、働き方改革の推進により、徐々に増えています。加えて新型コロナウイルスの感染拡大に伴い、世界的規模で急速に普及しています。
2020年3月のテレワーク実施率は13.2%でしたが、緊急事態宣発令後の2020年4月には27.9%まで拡大し、その後もある程度定着している状況です。
業種別では情報通信業が55.7%、学術研究、専門・技術サービス業が43.2%と高い実施率を示す一方、運輸業、郵便業は11.3%、医療、介護、福祉は4.3%と低く、業種によってばらつきがあります。
参考:総務省/テレワークの実施状況
テレワークのセキュリティリスク
テレワークは多様な人材の確保やコストの削減などメリットが多い働き方ですが、端末のウイルス感染やデータ流出、情報漏洩などのリスクをはらんでいます。
これらのリスクは、会社の情報が含まれている端末や書類、USBメモリを持ち歩くことで起こりやすく、カフェなど第三者が出入りする場所で仕事をすること、社外のネットワークを利用することなどに起因します。
総務省がガイドライン第5版を公表
テレワークにおけるセキュリティの確保については、政府は早くから対策に乗り出しています。2004年にセキュリティガイドラインの初版を策定・公表し、2021年には第5版を公表しました。
ガイドラインの策定は、企業がテレワークを実施する際に起こりやすいセキュリティの問題について、不安を払拭することを目的とするものです。テレワークを安心して導入するためのセキュリティ対策や考え方、事例を紹介しています。
また、セキュリティ専任の担当者が不在になりがちな中小企業において、システムを管理する担当者に向けたセキュリティの手引きも公表しています。テレワークを実施する際に確保すべきセキュリティについて、チェックリストで確認できる手引きです。
参考:総務省/テレワークセキュリティガイドライン(第5版)(令和3年5月)
\テレワークのセキュリティ対策に!まずは無料で資料ダウンロード/
テレワークで起きやすいセキュリティ事故
テレワークでは、さまざまなリスクが想定されます。特に多いものが、紙媒体やUSBメモリなど会社の情報を記録した媒体が社外に持ち出され、紛失や盗難に遭うリスクです。
また、クラウドサービスからデータが流出する事故、ウイルス感染、公共Wi-Fiからの情報漏洩などにも注意しなければなりません。
ここでは、テレワークで起きやすいセキュリティ事故について、代表的なものを紹介します。
紙媒体やUSBメモリの紛失
資料などの紙媒体やデータを保存したUSBメモリは、紛失や盗難に遭う可能性があります。これらに顧客の個人情報や機密情報が保存されている場合、情報が漏えいするリスクがあるでしょう。
実際に、個人情報を記録したUSBメモリを紛失し、情報が流出した事故があります。業務用の端末を持ち出して、紛失・盗難に遭う可能性もあります。重要な情報が保存されていれば、情報流出の危険があります。
クラウドサービスからのデータの流出
テレワークの業務では、クラウドサービスが広く活用されています。クラウドサービスはインターネットを介し、複数の端末によるデータ共有ができる便利なシステムですが、情報漏洩のリスクは否定できません。
サービスのセキュリティ対策は管理業者に委ねられてはいますが、サービスがサイバー攻撃の被害を受ける可能性も否めません。
セキュリティが高いサービスを選ぶのはもちろんですが、ワンタイムパスワードを設定する、定期的にパスワードを更新するなど、利用する側での対策も必要です。
ウイルス感染
テレワークで社外にパソコンを持ち出す場合、想定されるリスクとして、セキュリティ対策が万全ではない社外ネットワークを利用することでパソコンがウイルスに感染するケースが挙げられます。
メールやSMSを使った、フィッシング詐欺に遭うリスクも否定できません。メール本文内の添付ファイルを開封してしまい、ウイルス感染するというケースもあります。
テレワークでウイルスに感染し、復旧するまで業務ができなかった事例や、不審なメールのファイルを開いてウイルスに感染し、取引先の情報が漏えいしたといった事例が報告されています。
第三者による画面の閲覧
テレワークは自宅以外でも自由に働けるのがメリットです。しかし、カフェやコワーキングスペースといった第三者も自由に出入りする場所で作業する場合、画面を閲覧されて機密データなどが流出する危険があります。
パソコンを操作する人の背後に回って画面の内容を覗き見する、「ビジュアルハッキング」と呼ばれる手口も無視できません。実際に、不正アクセス禁止法違反で検挙されている犯罪には、覗き見行為も多く含まれているそうです。
公共Wi-Fiからの情報漏洩
セキュリティが万全ではない公共Wi-Fiを利用し、情報が漏れるケースもあります。カフェやホテル、駅などで利用できるWi-Fiがこれにあたり、不特定多数のユーザーが利用するため、悪意を持った者に攻撃されやすい環境と言えます。
特に、パスワードが設定されていないWi-Fiは通信が暗号化されないため、通信情報を簡単に盗み見される可能性があるでしょう。また、偽のログインページに誘導し、パスワードや個人情報を入力させるという手口もあります。
\まずは無料相談/
テレワークセキュリティ対策【ルール整備】
テレワークのセキュリティ対策は、ガイドラインの作成などの「ルール整備」、紛失対策など「物理面」の対策、安全なネットワーク構築など「技術面」の対策といった3つの観点で考えなければなりません。
最初に行うことはルール整備で、組織としてあらかじめセキュリティ対策の方針と規則を定めることが大切です。ここでは、テレワークセキュリティ対策で必要なルール整備について紹介します。
セキュリティガイドラインの作成
テレワークのセキュリティ対策は、セキュリティガイドラインの作成からはじめましょう。セキュリティガイドラインとは、業務を行うに際して遵守すべきセキュリティの考え方をまとめたものです。
テレワークは会社の目が届きづらくなるため、ルール策定とその周知徹底が欠かせません。
ガイドラインの内容は企業ごとに異なり、企業理念や業種、規模、保有する情報資産などを踏まえ、自社に合った内容を模索する必要があるでしょう。
ガイドラインの作成と運用をスムーズに行うためには、作成に携わる適切な人材を確保しなければなりません。内容の質を高めるため、外部のコンサルタントや法律の専門家に依頼する方法もあります。
企業に適した内容にするためには、外部の専門家にすべてを依頼するのではなく、アドバイザーという形で協力を求めるのが理想です。
ガイドラインは一度作成したら終わりではなく、定期的に検証や見直しを行わなければなりません。ガイドラインを作成したら、それをもとに具体的な行動のルールを作ります。
一例としてあげられるのは、次のような内容です。
- 紙媒体資料の持ち出しの可否と要件
- 自宅勤務の作業環境
- パソコンの保管や管理の方法
- 社内パソコンを持ち出す場合の管理方法
- クラウドサービス使用の可否と要件
- 機密性のある電子データの取り扱い方法
- ルール遵守のための教育
策定したルールを実効化するため、全社員にルール遵守のための教育を行うことも大切です。ガイドラインに沿った行動ができるよう、意識の向上を促します。
万が一情報漏洩などの事故が起きた場合、企業だけでなく社員自身も責任を問われる可能性があるということをしっかりと認識してもらいましょう。個々がリスクについて自覚することが、セキュリティ対策の第一歩です。
具体的には、定期的な研修などで教育を行い、社内報やイントラネットで周知などを行います。
テレワークセキュリティ対策【物理面】
テレワークのセキュリティは、ルールの策定だけでなく物理面での対策も必要です。紙媒体やUSBメモリなど持ち運びできる媒体の管理や、作業場所のセキュリティ確保などを万全に行わなければなりません。
社外においても、社内と変わらない物理的なセキュリティ対策が必要です。テレワークセキュリティにおける、物理面での対策について見ていきましょう。
紙媒体の紛失対策
紙媒体の資料は持ち出しがしやすいため、紛失して情報が漏えいするリスクが高いものです。重要な情報が掲載されている紙媒体は、電子化して保存するなどの対策が求められます。
USBメモリも小さくて持ち運びしやすいため、紛失のリスクがあります。リスクを想定し、自宅に持ち帰る必要のない機密情報や個人情報は保存させないことが原則です。
作業場所のセキュリティ対策
作業場所のセキュリティ対策も、しっかり行わなければなりません。企業側が安全なWi-Fi設備を用意し、セキュリティが脆弱な公共のWi-Fiは使用しないようにする、自宅のWi-Fiルータを使用するときは、ファームウェアを最新のものにアップデートするといった対策が考えられます。
やむをえず公共Wi-Fiを使用する場合は、重要な情報のやり取りをしないなどの取り決めも必要です。
自宅やサテライトオフィスなどの作業場所では端末盗難のリスクがあり、作業スペースの安全確保も必要です。
業務用パソコンは施錠管理する棚に保管し、できるだけ第三者が出入りする場所での作業は控える対策を立てましょう。
テレワークセキュリティ対策【技術面】
システムやアプリケーションの活用といった技術面は、ルール策定だけでは対策できません。データの暗号化やウイルス対策、安全なネットワークの構築などが求められます。
データの暗号化は、持ち出した端末や携帯電話などを万が一紛失した場合、情報漏洩を防ぐために不可欠です。
ここでは、技術面のセキュリティ対策について紹介します。
データの暗号化とウイルス対策
社外に持ち出した端末などが紛失・盗難に遭った場合、情報の流出を防ぐのがデータの暗号化です。 暗号化とはデータの内容が他人にはわからないようにすることです。暗号のシステムを使って元のデータを暗号化することで、まったく異なるデータに変わります。
ウイルス対策も重要です。近年のウイルスは、電子メールのプレビューやホームページの閲覧だけで感染するなど、巧妙になってきています。
対策としては、パソコンにウイルス対策ソフトをインストールすることはもちろん、ウイルス検知用データは常に更新することも大切です。
毎日の業務開始前に、ウイルス対策ソフトを最新の状態にするとともに、パソコンのOSやソフトウェアなども最新の状態にしておくとよいでしょう。怪しい電子メールが届いた場合は何もせず、システムの担当者などにすぐに連絡することが大切です。
セキュリティ対策では強化に力を入れるあまり、認証作業が複雑になるなど、業務の効率を阻害することがないよう留意することも必要です。業務とのバランスも考えながら、最適なセキュリティ対策ができる方法を考えましょう。
安全なネットワークの構築
セキュリティ対策の技術面では、安全なネットワークの構築も欠かせません。在宅勤務で使用している回線が脆弱である場合、不正アクセスされて個人情報が流出する可能性があります。
家庭内のネットワークを使う場合は、ホームルーター管理画面に入るためのIDとパスワードを第三者から推測されにくいものに変更するといった対策が必要です。
また、外部のネットワークを使用するときはプライベート・ネットワークに接続して暗号化通信を行う、公共Wi-Fiは利用せずモバイルルーターを利用するといった対策が考えられます。
まとめ
テレワークの導入を検討している企業において、セキュリティ対策は必須です。テレワークの実施にあたっては、持ち出した紙媒体やUSBメモリなどの紛失、クラウドサービスからの情報流出など、さまざまなリスクが伴うからです。
本格的なセキュリティ対策を行うには、ルール整備、物理面、技術面からのアプローチが欠かせません。まずは、セキュリティガイダンスの作成に向け、自社の情報資産の洗い出し、リスクや課題を整理する必要があります。
その際に役立つのが、「P-Pointer」です。P-Pointerは、社内のパソコンやファイルサーバ内に保存されている個人情報を含むファイルについて、独自の辞書を用いて高速検出するソフトウェアです。
個人情報を検出して情報ファイルの所在を洗い出し、 それをもとに、自社に合ったルールの策定が可能です。P-Pointerでは自動または手動で特定のフォルダに移動し、個人情報の把握と安全管理ができます。
どこにどのような情報が保存されているかを事前に把握しておくことで、効果的な情報漏洩の防止策が図れるでしょう。
以下のページから無料でP-Pointerの資料をダウンロードできます。
セキュリティガイダンス作成の際は、ぜひご確認ください。
\P-Pointerの資料はこちら/
\自身のPCの個人情報を「無料体験版」でチェック/
