コロナ禍以降、急速に広がるテレワーク。通勤時間の削減、社員の満足度向上などメリットが多いです。しかしオフィス内で管理していた情報を外部に持ち出すことになるため、セキュリティの問題が懸念されます。この記事では企業が社員にテレワークをさせる場合どのような点に留意すべきかまとめました。
テレワーク実施前に考えるべきこと
テレワークが急速に広がっており、場所を問わずどこにいても仕事ができる環境になってきました。従業員からすると、働き方が選べて自分の時間も確保できるメリットがあります。
しかし、デバイスの盗難・故障やウイルスの侵入など、情報セキュリティを強化しなければならないのがデメリットです。
こちらでは、テレワーク実施前に考えるべきことを解説していきます。
- メリット
- デメリット
- 情報セキュリティ
それぞれ解説しますので、参考にしてみてください。
メリット
会社がテレワークを導入すると、毎朝満員電車に乗って出社する必要がありません。そのため会社と従業員のどちらにも、メリットがあります。
テレワークを導入する主なメリットは以下のとおりです。
- 働き方が選べる
- コストを削減できる
- 生産性や効率性の向上につながる
- 人材の確保につながる
まずテレワークの最大のメリットは、働き方を選べることです。導入前は仕事をするために、毎日会社へ出社するのが一般的で、働く場所を自由に選べませんでした。
しかしテレワークの普及で会社の他に、自宅・サテライトオフィス・カフェなどさまざまな場所で働けるようになりました。
例えば週3日は出社して、残りの2日は自宅で仕事をするのが可能です。午前中は会社に出社し、午後は近くのカフェで仕事をするのもできます。
続いてテレワークを導入すると、出社する必要がなくなるため、交通費がかかりません。従業員の通勤定期代を減らせるでしょう。出社人数が減るので、ワークスペースの削減も可能です。
またテレワークは会社での仕事と違って、自分だけの作業スペースで集中できます。さらに予定外の打ち合わせや、取引先への訪問がなくなるため、作業を中断することがありません。生産性や効率性の向上につながるでしょう。
最後にテレワークは場所や時間に縛られない働き方のため、個々のライフスタイルに合わせられます。子供がいるご家庭では育児をしたり、両親のお世話をしたりしながら働けるでしょう。
今までだと育児や介護を理由に離職していた方でも、安心して働けるため人材の確保が可能です。
デメリット
テレワークにはさまざまなメリットがあるのですが、デメリットもあります。
主なデメリットは以下のとおりです。
- セキュリティ
- 設備投資が必要
テレワークは会社以外のインターネット環境を使用することになります。そのためセキュリティの対策が不十分になるでしょう。
例えばインターネットに接続する方法には、誰でも簡単にアクセスできるフリーWi-Fiや、パスワード設定がされているWi-Fiなどがあります。フリーWi-Fiは誰でも利用できる分、第三者に会社の重要なデータを盗み見される可能性が高いです。
セキュリティはテレワークのデメリットになります。
またテレワークを導入するには、設備投資が必要です。持ち出しても大丈夫なパソコンや、業務時間内に連絡をするためのスマートフォンなどを準備しなければなりません。特にパソコンは安いものではないので、従業員分を用意するとかなりの金額になるでしょう。
テレワークの導入を検討している方は、デメリットも把握して適切な対応をしてみてください。
情報セキュリティ
テレワークを行うには、情報セキュリティは欠かさない存在です。対策が不十分だと、会社に損害が出る可能性があるからです。
そこで導入前に考えるべき情報セキュリティは以下になります。
- セキュリティガイドラインの作成
- 従業員への教育
- セキュリティソフトの導入
- 徹底したパスワードの管理
- 多要素認証の導入
- デバイスのOSやアプリケーションのバージョンアップ
- ハードディスクの暗号化
上記の中で重要なのが、セキュリティガイドラインを作成して、従業員に知らせることです。どんなに高い対策をしていても、ガイドラインとして明確にされていなければ、効果が期待できません。やってはいけない行為だと知らずに、行なう可能性があるからです。
その結果、会社に損害を与えかねません。
テレワークを導入する場合、情報セキュリティの対策をしっかり実施して、安全な環境で仕事をしましょう。
政府によるガイドライン
総務省ではテレワークのセキュリティガイドラインを策定・公開しています。導入を検討している会社はもちろんのこと、すでにテレワークを行なっている企業にも、セキュリティの不安を払拭することを目的に策定されています。
企業はガイドラインを把握して内容に沿った対応を行うのが必要です。
またガイドラインの内容には「経営者」「システム・セキュリティ管理者」「テレワーク勤務者」のそれぞれが行うべき、対策が記載されています。そのため何をすればよいかわからない方でも、すぐに実施できるでしょう。
総務省のセキュリティガイドラインを把握して、対策を強化することが重要です。
テレワーク実施時の情報リスク
テレワークにはセキュリティにデメリットがありますが、具体的にどのようなリスクがあるか知りたい方も多いのではないでしょうか。
リスクを把握していないと、具体的な対策が行えません。しっかりリスクを把握するのが重要です。
こちらでは以下の内容を解説します。
- 情報漏洩
- 盗難・紛失
- 内部不正
一つひとつ解説するので、検討材料にしてください。
情報漏洩
まず考えられるのが、第三者にデータが行き渡る情報漏洩です。
情報漏洩が起こる原因は以下になります。
- フリーWi-Fi
- 自宅のインターネット回線
- ウイルス感染
- フィッシング、標的型メール
フリーWi-Fiはカフェや飲食店など、さまざまな場所にあります。仕事ができそうな場所では、カフェに多くあるので、フリーWi-Fiを使って仕事をしている方もいるでしょう。しかし、パスワードが設定されていないものが多くあり、第三者に通信内容を盗み見られる可能性があります。
さらに自宅のインターネット回線は、社内と異なりセキュリティが不十分です。個々の自宅ごとでセキュリティレベルが違うため、不正アクセスを受ける可能性が考えられます。
またパソコンがウイルスに感染すると、情報漏洩することもあるでしょう。特に私物のパソコンを使っている場合は、注意が必要です。セキュリティ対策がされていないケースが多く、簡単なことでウイルスに感染するからです。
最後に考えられるリスクは、フィッシング・標的型メールになります。フィッシングは実在する企業を装って、アカウントIDやパスワードなどの個人情報を盗む詐欺です。標的型メールは特定の企業や個人に狙いを絞って、悪意のあるサイトに誘導させ、マルウェアに感染させる手口です。
特に標的型メールは一度でもURLをクリックすると、気づかない間に情報を抜き取られるので注意しましょう。
盗難・紛失
テレワークは会社から支給されたパソコンや、スマートフォンを持ち出して使用するため、盗難や紛失を起こすリスクが高くなります。
例えばカフェで仕事をしているときに、少し席を外した瞬間に盗まれたり、電車の網棚に置いたまま忘れたりが考えられるでしょう。
パソコンやスマートフォンには、会社の重要なデータが入っているので、盗難や紛失が起こると影響範囲が広いです。
そのため自社だけでなく取引先にも迷惑をかけることにつながるので、対策をするようにしましょう。
内部不正
テレワークは従業員の働いている姿を直接見られません。何をしているかわからない分、会社の重要なデータを盗み出される可能性が考えられるでしょう。
例えば、役職が高い社員しかアクセスできないシステムに不正侵入して、データを盗むことです。
自分だけの環境で働けることから、内部不正が発生しやすくなります。
テレワーク実施による情報漏洩事故の事例
実際にテレワークの情報漏洩事故は起こっています。どんなに対策をしていても、100%防げる方法はありません。
ただし情報漏洩が起こる可能性を、できるだけ高くする努力が重要です。
こちらでは情報漏洩の事例を解説します。テレワークのセキュリティ対策に活用してみてください。
事例①
1つ目の事例はVPN機器の脆弱性によって起こる情報漏洩です。
VPNを簡単に解説すると「Virtual Private Network」の略で、一般的なインターネット回線を利用して、仮想的なプライベートネットワークを作ることです。通信を暗号化できるため、フリーWi-Fiよりも、高いセキュリティを実現します。さらにリモートから社内のネットワークにアクセスできるため、導入している企業も多いでしょう。
2020年8月にPulse Secure(パルスセキュア)のVPN機器から、脆弱性が見つかりました。そして社外接続するときの認証情報(IDやパスワードなど)が流入しています。住友林業や日立化成など複数の国内企業への不正アクセスがあり、内閣サイバーセキュリティセンター(NISC)の調査が入りました。
Pulse SecureのVPN機器における脆弱性は2019年4月に公表され、対策を行うための修正プログラムが公開されています。そのため、修正プログラムを反映していなかったことが原因です。
情報漏洩を防ぐには、使っている機器を最新の状態にする必要があります。OSやアプリケーションは、定期的に新しいバージョンが公開されるため、しっかり更新するのが非常に重要です。
事例②
2つ目の事例は重要データが保存されているUSBを紛失したケースです。
会社の仕事を自宅で行おうとして、USBにデータを保存して持ち出しました。そして帰宅途中にUSBを紛失してしまい、情報漏洩しました。
会社によっては社内のセキュリティルールで、USBやハードディスクなど外部媒体へのデータ保存が禁止されているところもあるでしょう。外部媒体はパソコンより小さいため、持ち運びに適しています。
しかし、管理する機器が増えるので情報漏洩するリスクも上がります。できるだけ外部媒体を持ち出さないのが重要です。持ち出す場合は、セキュリティルールを明確にしましょう。
テレワーク時の情報セキュリティ対策
テレワークをするときの対策はさまざまあります。
こちらでは以下の内容を解説します。
- 端末のセキュリティを上げる
- 運用ルール化
- 社内教育
ぜひ活用してみてください。
端末のセキュリティを上げる
データはパソコンやスマートフォンなどに保存されているため、端末にセキュリティ対策を行うのが効果的です。
主な対策は以下になります。
- OSやアプリケーションを最新にする
- ウイルス対策ソフトを導入する
- 自宅の施錠ができるところに保存する
事例でも紹介しましたが、IT機器は定期的に最新バージョンが更新されます。古いバージョンだと、脆弱性が見つかったときの対策ができなかったり、不具合が起きた際の問い合わせができなかったりするでしょう。
OSやアプリケーションを最新の状態にすることで、情報漏洩対策が可能です。
またパソコンにウイルス対策ソフトを導入するのも効果的です。侵入したウイルスの検知に特化しているからになります。自分では気づかなくても、自動で検知して情報漏洩しないように動きます。
さらに自宅では施錠できるところに端末を保管しましょう。重要なデータが保存されている端末を放置していると、紛失する可能性があるからです。
運用ルール化
テレワークの対策を強化するには、セキュリティガイドラインやテレワークのルールを策定しましょう。
セキュリティの基本方針や具体的な対策を明確にすることで、従業員も運用しやすくなります。またテレワーク時のルールを予め決めておけば、社内の重要なデータの持ち運びを最低限に制限できるでしょう。
運用をルール化して、情報漏洩対策を明確にするのが重要です。
社内教育
どれだけ運用ルールを策定しても、従業員が把握していなければセキュリティ対策につながりません。そこで社内教育が必要になります。
文章だけだと従業員にしっかり意図が伝わりません。直接伝えてあげれば、どのような意図で策定したのかが伝わります。
教育の方法は集合研修・Web会議・eラーニングなど、さまざまあります。適切な方法で社内教育を行いましょう。
まとめ
ここまでにテレワークのセキュリティを解説してきました。テレワークを導入する最大のメリットは、働き方を選べる点です。会社だけでなく、自宅やカフェなどで仕事ができるようになり、個々のライフスタイルに合わせた働き方ができるでしょう。
一方で今までよりも、セキュリティの強化が重要になります。社外にパソコンやスマートフォンなどを持ち出すので、情報漏洩を起こす可能性が高いです。
端末のセキュリティを向上させ、運用をルール化して適切な情報漏洩対策を行いましょう。
