テレワークに潜む7つのセキュリティリスクと主な対策とは?
働き方改革の推進により、各社で多様なワークスタイルの実践が進められていますが、中でもポピュラーなのがテレワークです。
オフィスに出社することなく働くことができるテレワークは、高い導入効果が期待されている反面、導入に伴うセキュリティリスクに懸念があります。
今回は、テレワークに潜む7つのセキュリティリスクと、それらのリスクを回避するための主な対策について、ご紹介します。
目次
テレワークの導入状況
まずは、日本国内におけるテレワークの導入状況を確認しておきましょう。総務省の調査によると、日本では2020年時点でテレワークの導入企業が前年の2倍以上に増加していることがわかっています。その割合は調査企業だけで47.5%と半数近くにまでのぼり、テレワークの余地が大きく存在していたことが明らかになりました。
もちろん、これには働き方改革の後押しのみならず、新型コロナウイルスの流行という特殊な事情が背景にあることはもちろんですが、それでもテレワークの実現に向けた取り組みが、十分に可能であったことを伝えてくれる調査結果となりました。
対面サービスや接客を提供する企業などのテレワークはまだまだ難しいものの、今後もテレワークの有用性や可能性が開拓されていけば、普及率がさらに向上していくことは十分に考えられるでしょう。
テレワークのセキュリティリスク|7つの例
テレワークの導入は多くのメリットをもたらしてくれますが、導入に伴い注目されるようになったのが、テレワークのセキュリティリスクです。テレワークは業務効率化の高い効果が期待される反面、これまでには考えられなかったセキュリティリスクをもたらし、企業に被害が及ぶ可能性があります。
今回は主なセキュリティリスクの例として、以下の7つをご紹介します。これ以外にも今後新たなリスクが発生する可能性もあるため、自社でどのようなリスクが危惧されるのか、一度検討してみることが大切です。
①端末の紛失・盗難
テレワークの導入に伴い増加傾向にあるのが、端末の紛失や盗難です。テレワークを実施する場合、仕事用のPCやスマートフォン(以下、「スマホ」)を貸与しての業務遂行が一般的ですが、それらの管理は従業員に一任されるため、会社が管理することが極めて困難になります。
端末の紛失や盗難がテレワークによって増えるのは、社外へそれらを持ち出すためです。自宅やサテライトオフィス、カフェなどで働くことができるのは従業員に働き方の多様性を提供できる反面、それらを失くしてしまうリスクも大きくなります。
ノートPCやスマホなど、近年は小型の端末が高度化したおかげで、それらが一台あれば多くの業務をこなせるようになりました。しかし逆に言えば、デバイスへ高度に依存するため、一度紛失してしまうと大きなインシデントを引き起こしてしまいかねません。
デバイスに保存している機密データや、クライアントや社員の個人情報が第三者に漏えいしてしまうと、企業は大きな損害を被ってしまうことになります。
テレワークを導入したての頃は、従業員もテレワーク体制が体に馴染んでおらず、会社の端末を忘れてしまいがちです。
私用のスマホやPCが手元にあるからと安心してしまい、会社の端末をどこかへ置いていってしまうというケースもあり得るため、こういったインシデントを回避するための施策が求められます。
②パスワードの使いまわし
テレワークに限ったセキュリティリスクではありませんが、複数のデバイスを使用する機会が増えたテレワーク環境下では、よりそのリスクが強調されるようになりました。
テレワークを実施する場合、さまざまなデバイスを用途に応じて使い分けたり、クラウドサービスを複数使い分けたりする機会が増えてきます。
ソフト・ハードの両面で多様なICTを活用することは、テレワークを効果的な取り組みとして起用するために欠かせないものですが、その際に気をつけるべきなのが、パスワード設定です。
パスワードは1つのサービスに月1つ、あるいは1つのデバイスにつき1つ、といったように、複数のパスワードを用途に応じて使い分けることがベターです。
しかしながら、急激に複数のサービスやデバイスをテレワークによって使い分けなければいけなくなったとなると、ついつい同様のパスワードを使いまわしてしまうものです。
パスワードは一度忘れてしまうと、再登録も面倒になるため、余計なトラブルを回避するためにもパスワードを使いまわしている、という方もいるかと思いますが、テレワークにおいては容易に情報漏えいなどのリスクを招いてしまう要因となるため、注意が必要です。
パスワード単体が推測可能な平易なものである場合、オンライン経由で不正アクセスが発生してしまう恐れがあるのはもちろん、テレワークの場合はデバイスの盗難と合わせて漏えいのリスクが高まる懸念があります。
パスワードを忘れてしまわないよう、ノートPCの空きスペースにパスワードを貼り付けているという人もいますが、本体が盗難されてしまうと、パスワードごと情報が漏えいしてしまうため、危険を伴う行為です。
パスワードの管理は今まで以上に厳重に行い、自宅や会社でのみ確認ができるようにするなど、何らかのテコ入れが必要になるでしょう。パスワードの使い回しが横行しないような取り組みにも注力しなければなりません。
③私物端末からウイルス感染
テレワークの実践によって増加傾向にあるのが、私物端末からのウイルス感染です。会社から支給された端末がウイルスから守られていたとしても、すでにウイルス感染済みの私物端末と接続することによって、社用デバイスが感染してしまうという事態です。
企業によってはオフィスへ出社する際、私物の端末を受付などで預けておいて、オフィスで社用のデバイスを活用するという仕組みを採用しているところもあります。これは企業機密の漏えいを防ぐとともに、私物端末経由でのウイルス感染などを回避するセキュリティ効果もあります。
テレワークを実施する場合、このような私物と社用端末の区別が極めて難しくなるため、うっかり端末の公私混同が発生してしまうこともあります。近年のウイルスは非常に高度化しており、感染していても全く気づかないようなプログラムとなっている場合も珍しくありません。
セキュリティソフトを導入していても、知らないうちに感染しているということは十分にあり得るため、私物端末との接続は極力回避しましょう。
④フィッシングメール
テレワークを導入すると、会社内やクライアントとのやりとりをメールで実施し、コミュニケーションがオンライン主体となるものです。日々多くのやり取りを交わしていると、多少見慣れない文面でも、仕事の要件かと思って不用意に開封、あるいはリンクへのアクセスや添付ファイルのダウンロードを行うリスクが増えてしまいます。
これまでは引っかかることのなかったようなフィッシング詐欺にも、テレワークの導入に伴い被害を被ってしまうケースが想定されます。近年のフィッシングメールは高度に作成されており、一見すると詐欺かどうかもわからない文面に仕上がっていることがほとんどです。
これまで以上にコミュニケーションに関するルールの徹底、あるいはフィッシング詐欺の周知を進め、予防に努めなければいけません。
⑤公共Wi-Fiからの情報漏えい
テレワークの場合、公共施設や交通機関で提供されている無線LANを通じて業務に携わる、という人も少なくありません。街中のあちこちでインターネットが無料で使えるというのは確かに便利で、スマホではなくPCから作業などがしたいという方には嬉しいサービスです。
ただ、公共のWi-Fiはビジネス用のWI-Fiに比べ、セキュリティ面で不安を抱えている点に注意する必要があります。
誰でも自由にWi-Fiを利用できるということは、Wi-Fi利用者同士の接続も容易に行えるということでもあるため、知らない間に自分のインターネット利用状況がリアルタイムで第三者に漏えいしている、というリスクがあります。
そのため、公共空間で作業する場合にはインターネットの利用を控え、オフライン作業のみに限定するなどの施策も必要となるでしょう。
⑥公共の場での利用による覗き見
公共空間で作業をしていると、第三者から覗き見られてしまう場合もあります。人のPCを覗き見るというのはマナー違反ではありますが、通りがかりにふと目に入ってしまうというケースもあるため、好きこのんで見ているわけではなくとも情報が第三者に知られてしまうことがあるものです。
こういった事態を回避するためには、公共空間でのテレワークの実施の際、重要機密は扱わないことや、覗き見防止のためのフィルターをディスプレイに装着するなど、何らかの対策が求められます。
⑦クラウドサービス経由の情報漏えい
クラウドサービスは、オンライン環境さえあればどこででも業務が進められるように機能を提供してくれる、活用すべきツールです。これらは便利で優れたセキュリティ能力を備えている一方、セキュリティは全てサービスを提供する事業者に依存するという点には注意が必要です。
自社でセキュリティ環境を整備する技術や余裕がない場合には、クラウドサービスの導入はセキュリティ対策としても有効です。ただ、自社で高度なセキュリティ環境を構築できるという場合、サードパーティのクラウドサービスの利用はかえってリスクを伴う場合もあります。
自社のセキュリティ環境と比較して、クラウドサービスの利用とどちらが安全かを比較検討しながら、導入を進めると良いでしょう。
テレワークのセキュリティ対策として重要なポイント
テレワーク時には通常のオフィスワークとは異なるセキュリティ対策が求められるため、従来とは違ったアプローチが必要になります。テレワークのセキュリティ対策におけるポイントは、以下の2つです。
ルール・人・技術のバランスがとれた対策
テレワークにおいて、高度なセキュリティ環境を整備するためには、ルールと人、そして技術の3つの要素を均等に改善することが求められます。
セキュリティ対策を強化するためのアプローチは多様で、それぞれの要素に注目してバランスよく対策を講じなければいけません。詳しい対策については後述しますが、3つのバランスがうまく保たれているような環境を目指せるようにしましょう。
組織内の立場に応じた役割の認識
テレワーク環境下では、組織としてのまとまりや役割分担にも再注目しなければなりません。肝心なのは、経営者とセキュリティ管理者、そしてテレワークへ従事する従業員の役割分担です。
経営者の役割
経営者の役割は、テレワーク導入の意義やメリットを確認し、実行へ移せるよう積極的に現場へコミットすることです。
多くの企業がテレワークの導入による成果を生み出している以上、ケーススタディを正しく検証し、自社に落とし込むためにはどうすれば良いかを考えることが求められます。その上でセキュリティ対策の重要性を認識し、リソースを割けるよう組織へ促していきましょう。
システム・セキュリティ管理者の役割
システム・セキュリティ管理者は、従来のオフィスワーク主体の体制から大きくシフトチェンジすることが求められるため、忙しくなるでしょう。テレワーク環境でも現状と同じようなセキュリティレベル、あるいは強化を実現するため、フレームワーク作りからテコ入れを実施することが求められます。
テレワーク勤務者の役割
テレワーク勤務へ実際に従事する勤務者は、設計されたフレームワークを積極的に採用し、パフォーマンス改善に努めることが求められます。テレワークは多様な働き方を推進する取り組みの一環であるとはいえ、組織の一員としての責任を果たさなければなりません。
新しいシステム運用や働き方に慣れない場合でも、それらのメリットを理解し、最大限活用するための工夫を施していきましょう。
テレワークでもセキュリティレベルを落とさないための3つの対策
テレワーク下ではさまざまなセキュリティリスクが発生します。これらのリスクをうまく回避するためには、ルールと人、そして技術という3つの側面から対策を施すことが大切です。順に見ていきましょう。
①ルールの整備によるセキュリティ対策
まずはルールの整備によるセキュリティ対策ですが、これはテレワークの運用ルールを定め、余計なリスクを回避するための取り組みです。
そもそもどのような業務にテレワークを適用するのか、テレワークで使用して良いデバイスはどれか、どのような環境でのテレワークを許可するのかなど、実施に向けたフレームワークをあらかじめ詳細に固めておくことが必要です。
②人の意識改革によるセキュリティ対策
2つ目に、人の意識改革によるセキュリティ対策です。どれだけ丁寧にルールづくりへ取り組んだとしても、それを従業員が守らない、あるいは周知されていないとなれば、せっかくのルールも機能しません。
テレワークの実施にあたって、どのように業務と向き合っていけば良いのかなど、そもそもの働き方の意識から研修を進めていくことが大切です。
③技術によるセキュリティ対策
3つ目のポイントは、技術によるセキュリティ対策です。どれだけ仕組みづくりに力を入れても、それを実現するためのソフトやハードが伴わなければ、テレワークのセキュリティ強化は叶いません。
セキュリティソフトの見直しやインターネット環境の改善、最新ノートPCやスマホの導入にクラウドサービスの導入など、テレワークに向けた設備投資は怠らないことが重要です。
テレワークで有効なセキュリティ6つの対策例
具体的なテレワークにおけるセキュリティ対策としては、以下の6つの方法は有効であるとして多くの企業に導入されています。最後に確認しておきましょう。
①セキュリティガイドラインを作成する
1つ目は、セキュリティガイドラインの作成です。起こりうるインシデントやセキュリティ被害の事例を掲載し、それらを回避するために必要な知識をまとめておくことは非常に重要です。
セキュリティガイドラインがあることによって、従業員の自発的な判断を促すことができるので、セキュリティ担当者の負担軽減にも繋がります。不明点のみ確認を取れるような仕組みづくりを進め、広くガイドラインを周知するよう改善していきましょう。
②実践的なセキュリティルールを策定する
2つ目に、実践的なセキュリティルールの策定です。ただガイドラインを作成するだけでなく、テレワークに従事する従業員が対策を施せるよう、積極的にルール作りを進めていきましょう。
テレワーク時は特定のノートPCとスマホに運用を限定する、インターネット利用時には指定のVPNやスマホのテザリングを活用するなど、通信環境における取り組みには力を入れましょう。
日々の業務にセキュリティ対策のルールを盛り込むことで、自然とセキュリティ対策を普及できるとともに、余計な確認作業や判断の迷いがなくなるので、業務効率化も実現できます。積極的に採用しましょう。
③従業員を教育・啓蒙
従業員の教育や啓蒙も、重要な取り組みです。これまでITの活用が希薄だった職場の場合、具体的にどのようなセキュリティリスクが存在するのか、どんな被害が想定されるのかがイメージできない部分も大きいものです。
研修の機会をテレワーク導入前に設け、どんな脅威に備えなければいけないのか、企業にどんな被害が発生し、組織が危機に追いやられるかを周知し、意識改革を施すことが重要です。
④パスワード管理の徹底
パスワードの管理方法については、社内ルールとして規定のやり方で統一してしまうのが有効です。パスワード管理を各社員に一任してしまうと、セキュリティレベルにギャップが生まれてしまうため、満足のいくリスク回避ができない可能性があります。
どのようなパスワードを設定するのか、そしてパスワードをどう管理するのかをあらかじめ定義しておき、周知することが大切です。
⑤セキュリティソフトを導入する
基本的な対策ですが、セキュリティソフトをテレワーク用のノートPCやスマホへ実装することは不可欠な取り組みです。近年のマルウェアやフィッシング詐欺は高度化しており、最新のセキュリティソフトでも対処できない場合はあります。
しかしそれでも旧式の脅威に対してはほぼ完璧にカバーすることができ、定期的なアップデートによって、最新の脅威に対しても対策可能です。セキュリティソフトをインストールし、テレワークの安全を守りましょう。
⑥クラウドサービスを利用する
クラウドサービス、オンライン環境で従来の業務をどこからでも遂行できるだけでなく、セキュリティ対策も高度に設計されているのが特徴です。
インターネットを経由した業務遂行には情報漏えいのリスクも伴いますが、クラウドサービスは高度なセキュリティ対策を実装し、サービス内の情報を外部の脅威から守ってくれます。
そのセキュリティレベルは一般に流通しているセキュリティソフト以上のものであるため、自社でセキュリティ対策を施すよりも効果的です。
端末を紛失した場合でも、クラウドサービスならデータは端末に依存しないため、別の端末からアカウント設定を変更し、不正アクセスを防ぐことができます。情報が端末経由で外部に漏れてしまうリスクを大幅に低減可能です。
会社がセキュリティに強い組織でない限り、基本的にはクラウドサービスのセキュリティシステムを積極的に活用することをおすすめします。アップデートも自動で行ってくれるため、システム管理の効率化にも繋がります。
自社にあったテレワーク仕様のセキュリティ対策を
テレワークにおけるセキュリティ対策は、完璧にリスクを排除してゼロにすることはできないものの、自助努力によってそのリスクを大幅に低減することは十分に可能です。
日本企業はまだまだサイバー犯罪への対策が世界的に見ても遅れており、早急な対策が求められています。
デジタルトランスフォーメーション(DX)の実践においては、業務効率化にばかり目が行きがちですが、セキュリティ対策への取り組みも重要です。自社に最適なテレワーク仕様のセキュリティ環境を整備し、安全な運用を目指しましょう。
社内の安心安全なコミュニケーションと、業務効率化を検討している方におすすめしたいのが、ビジネスチャット・社内SNSツールの「WowTalk」です。シンプルなUIでICT活用に慣れていない方でも使いやすく、PCはもちろん、スマホからの利用も可能なため、テレワークや出張にも最適です。
導入前後のサポート体制も整っているため、初めてのクラウドサービス導入の方でも安心して利用ができます。ご興味をお持ちいただけた方は、ぜひページ下部のフォームより製品資料をダウンロードください。
※ワウテック株式会社は2023年9月1日にグループ会社であるキングソフト株式会社と合併いたしました。
導入実績10,000社を超えるビジネスチャット・社内SNS「WowTalk(ワウトーク)」についてまとめた資料です。機能に関する具体的な説明の他、導入事例や導入効果、料金プランなどの情報も掲載しています。
資料をダウンロード 関連記事
-
すべての始まりは”2020年3月の学校休校要請”だった!子育て×テレワークのリアル -
テレワークにビジネスチャット。活用事例と利用シーンまとめ。 -
テレワークでマネジメントを成功させるには?課題と対策を解説 -
テレワークとは?その種類や企業のメリット・デメリット、導入手順を解説