directed-by-vcube

近年、働き方改革の一環としてテレワークの導入が進められています。

 

在宅ワークやリモートワークのように、時間や場所にとらわれない働き方ができるようになったおかげで、個人がライフワークバランスの更なる充実を図れるようになりました。

 

しかし、オフィス外での労働には、情報漏えいや端末のウイルス感染といったリスクが伴います。情報のやり取りに社外のネットワークを利用したり、カフェやコワーキングスペースといった従業員以外の第三者が立ち入ることのできる場所で作業を行う場合があるからです。 

 

従業員の労務管理をできるだろうか?

セキュリティ対策は十分だろうか?

 

こうした不安を抱える企業担当者の方も少なくないのではないでしょうか。

 

自社で安全にテレワークを運用するには、セキュリティ対策の全社的なベースラインを決める必要があります。

決して「この製品を導入すればセキュリティ問題が全て解決する」という単純なものではありません。

 

そこで本記事では、テレワークの正しいセキュリティ対策を理解するために、考えられるリスクや対策方法、セキュリティ確保におすすめのテレワークツールをご紹介します。

テレワークはセキュリティ上、問題がないと言えるのか

「テレワーク」とは、英語の「Tele(離れて)」と「Work(働く)」を組み合わせた造語です。文字通りオフィスから離れた、時間や場所にとらわれない、柔軟かつ自律的な働き方を指します。

 

働き方改革に伴い、在宅ワークやモバイルワークなど個人の働き方が多様化している昨今。テレワークを導入することで、社員の移動コストを削減や業務効率性の向上・人材獲得に繋げようとしている企業も少なくありません。

 

一方でテレワークは、情報漏えいやウイルス感染のリスクを含んでおり、実際に個人情報や顧客情報が流出するセキュリティ被害も発生しています。

 

機密性の高い情報が一人歩きしてしまったら、サイバー犯罪などのケースで企業が事実上の被害者となる場合にも、クライアントや雇用している社員に対しては加害者ともなり得るため、社会的な責任を問われる可能性が大いにあるでしょう。

 

したがって、テレワークを導入する際には、自社の事業や社員を守るためにも、最適な情報セキュリティ対策をとることが不可欠なのです。

テレワークで実際に起こる可能性の高い3つのセキュリティ問題

コスト削減や人材確保など様々なメリットをもたらすテレワークですが、社員や事業に危害を及ぼさないようにするためにも、導入・運用の際は決してセキュリティ対策を怠ってはなりません。このことから、実際にテレワークの導入に尻込みしている企業も少なくないようです。

 

三菱UFJリサーチ&コンサルティング株式会社の「地方創生と企業におけるICT利活用にに関する調査研究」によると、実際に多くの企業が頭を悩ませテレワークの導入に二の足を踏む要因となっているのが、「情報セキュリティの確保」であることが明かされました。

 

 

テレワークならではの課題

 

出典:三菱UFJリサーチ&コンサルティング株式会社 - 地方創生と企業におけるICT利活用に関する調査研究

 

 

このことから、テレワークの導入を検討している企業の多くは、そのメリットを十分に認識しつつも、自社を脅かすセキュリティ問題がボトルネックとなりなかなか施策に踏み出せていないことが伺えます。

 

しかしながら、適切なセキュリティ対策や社員の意識改革を行えば、テレワークを運用したとしても、セキュリティ問題の発生を限りなく0に近づけることができます。

 

そのために、テレワークを導入することで生じる可能性のあるセキュリティ問題と、その対策について整理してみましょう。

 

1. 業務データの損失 

紙ベースの情報資産や、データの共有や保存に用いられるUSBメモリやクラウドサービスは、誤った使い方をすれば情報漏えいに繋がるリスクを孕んでいます。

 

紙媒体やUSBメモリは、第三者による盗難や紛失による情報漏えいのリスクがあります。これらは不必要な持ち出しを禁止するなどして、予めオフィスエリアから外に出さない対策が求められるでしょう。

 

また従業員の判断で利用した外部クラウドサービスに問題が生じ、データの消滅や漏えいが発生した場合は、企業の情報管理不足に対する責任が大きく問われることになってしまいます。

 

損害の規模によっては、自社事業そのものを脅かす可能性もありますので、データの格納先や方法については、「ドキュメントには必ずパスコードをかける」「ログインパスワードを1ヶ月ごとに変える」など、明確なポリシーやガイドラインを設ける必要があるでしょう。

2. 公共の場所での盗み見や置き忘れ

テレワークのメリットの一つは、働く場所を限定されないことです。そのため従業員が自宅やサテライトオフィス以外にも、移動中やカフェで作業をするケースも考えられるでしょう。

しかし公共の場でPCやスマホなどを使って仕事をする場合は、第三者による物理的な覗き見対策が必要です。

 

企業機密事項や個人情報、業務ツールへのパスワードやメールの中身が意図せず、第三者に知られてしまう可能性も十分に考えられます。PC画面に覗き見を防止する液晶保護フィルムを利用することを義務付けるなど対策をしましょう。

 

blog_how-to-secure-all-the-systems-for-remote-employees_01

出典:エレコム のぞき見防止フィルター - EF-PFS116W

 

また、従業員が私物端末を業務に用いる場合も注意が必要です。

 

置き去りにしたデバイスから企業機密情報や学生の個人情報などが漏れてしまった場合には、損害賠償や謝罪会見などで法的措置によって償わなければならず、それによって被る社会からのイメージダウンは計り知れません。

 

端末のセキュリティ対策が取られているか確認し、セキュリティ事故やトラブルを引き起こさないよう、デバイス毎に「アクセス権」「読み取り専用」といった情報保護環境を整えることを徹底しましょう。

 

3. 自宅ネットワークや公共Wi-Fiの脆弱性

テレワーク中の遠隔コミュニケーションに不可欠なのが、インターネット回線です。作業に使うデバイスを家庭内ネットワークや公共Wi-Fiに繋ぐ際は、必ずセキュリティを確保しなければなりません。

 

もしセキュリティに何らかの不備があった場合は、ウイルス感染やハッキングといった被害を被るリスクに晒されてしまうからです。デバイス上に保存してある情報だけでなく、関連する企業情報や個人情報まで悪用される可能性もあります。

 

特に注意すべきは、カフェや駅構内といった公共の場所でフリーWi-Fiを利用するケースです。悪意のある第三者が設置したWi-Fiスポットや、そもそもセキュリティに不備のあるネットワークに接続してしまうと、通信内容を抜き出し悪用されるリスクが高まります。

 

こうした問題を未然に防ぐためには、セキュリティ対策がなされた自社専用Wi-Fiを契約してテレワーク従事者に使用してもらったり、充電ができてLANにも接続できるワークブースを設置し、その利用を促すといった対策を取りましょう。

テレワークの実施で求められるのは「総合的なセキュリティ対策」

紙ベースの文書や電子データといった「情報資産」の漏洩、情報を外部に持ち出すことによって生じる「情報持ち出しリスク」、電子デバイスのウイルスの感染など、セキュリティ対策には様々な観点から取り組むことが不可欠だということが理解できたと思います。

 

こうした多様なリスクに晒された環境のなかで情報セキュリティを確保し、テレワークの安全性を担保するためには、具体的にどういったステップが必要でしょうか。

残念ながら、単一の処方箋など存在せず、求められるのは「総合的なセキュリティ対策」です。

 

総務省の「テレワークセキュリティガイドライン 第4版」では、「ルール・技術・物理」といった3つの観点からバランスの良いセキュリティ対策を実施する重要性が指摘されています。

それぞれの具体的な内容は以下の通りです。

1. ルールによるセキュリティ対策 情報を取り扱う際の基本方針や行動指針を策定するとともに、従業員がそれに基づいて、情報を安全に扱えるようにするための研修等を実施する。
2. 技術的なセキュリティ対策 ウイルス対策ソフトやサービスの利用、情報の暗号化、ログインの複雑化等により、システムやアプリケーションのセキュリティを確保する。
3. 物理的なセキュリティ対策 防犯対策のほか書類や端末の施錠収納などにより、紙ベースの文書やPCやサーバーなど、実体のあるものの管理を行う。

※企業や団体がテレワークを実施する際の導入・活用するための指針「テレワークセキュリティガイドライン」は、2018年4月、総務省によって5年ぶりに改定されています。

 

1. ルールによるセキュリティ対策

 


ルールによるセキュリティ対策

 

まずは、「ルールによるセキュリティ対策」について考えてみましょう。

 

テレワークの推進に当たって、情報セキュリティの面で安全か否かをその都度、個々に判断し、対策を講じていくのは効率的ではありません。また、専門家でなくては、適切な判断を下せないケースも少なくありません。

 

そこで重要になってくるのが、「ルール」の策定です。例えば、「○○すれば、セキュリティを確保できる」という仕事のやり方をルールとして定めます。これにより、従業員がその遵守を意識することで、安全に仕事を進められる環境を構築することができます。

 

① セキュリティガイドラインの策定

まず重要なのは、情報セキュリティに関する、組織として統一のとれた基本方針や行動指針を定めるとともに、自社でその内容を明文化した「セキュリティガイドライン」を作成することです。

 

「セキュリティガイドライン」とは、オフィス外からのアクセスや、Eメールの送受信などに関する制限、顧客との打ち合わせで発生するデータや端末の持ち出しの手続き方法など、業務を行ううえで遵守すべきセキュリティの考え方(ポリシー)をまとめたものです。基本方針ならびに対策基準、実施手順の3つによって構成されます。

 

その内容は、企業理念や経営戦略、企業規模、保有する情報資産、業種業態によって、企業ごとに異なります。自社の企業活動に合致したガイドラインのあり方を工夫する必要があるでしょう。

 

また、「セキュリティガイドライン」は一度策定したら終わりというものではありません。定期的に監査し、その結果に応じて、適宜、内容の見直しを行ったり、技術的な対策を講じたりする努力が欠かせません。PDCAサイクルを確実に回し、ルールを最新の状況にアップデートしていくことで、テレワークの情報セキュリティレベルを高めていく必要があるのです。

 

② セキュリティルール・情報管理ルールの策定

「セキュリティガイドライン」の策定の次に求められるのは、具体的な行動ルールの策定です。例えば、以下のように従業員がテレワーク時にとるべき行動をルール化します。

 

  • ・紙ベースの資料の持ち出し
  • ・自宅における作業環境やPCの保管・管理方法
  • ・休憩中のPCの取り扱い
  • ・オフィスから持ち出すPCの管理
  • ・アプリケーションのインストールの可否や条件
  • ・クラウド使用の可否や条件
  • ・機密性が求められる電子データの保存の仕方

 

これにより、テレワーク勤務中の従業員が安全かつ安心して作業に取り組めるようにするとともに、情報資産の管理責任に対する意識を醸成することが大切です。

 

また、現在では多くのクラウドサービスやメッセージアプリケーション、SNSなどが普及していますが、これらについても、従業員用のルールやガイドラインで留意事項を明示しておくことで、情報の漏洩をしっかりと防止することができます。

 

さらに、テレワーク勤務者が、これらのセキュリティに関する必要な情報を、きちんと把握・習得していれば、なりすまし(フィッシング)やサイバー攻撃などの被害を阻止しやすくなります。

 

③ ガイドラインとルールの遵守

指摘するまでもないことですが、「セキュリティガイドライン」や「セキュリティルール」「情報管理ルール」を策定するだけでは、「絵に描いた餅」にすぎません。

 

制度や仕組みをつくるだけではなく、テレワーク勤務者がガイドラインやルールを確実に遵守し、セキュリティ対策を実効力のあるものとするためには、定期的な研修などの教育・啓発活動の実施や、イントラネット内での通知、ポスターの掲示などが必要です。

 

情報セキュリティの重要性について理解してもらい、従業員一人ひとりに浸透させていくことが欠かせません。

特にテレワーク勤務者は、オフィスから目の届きにくい場所で作業をすることとなります。そのためにも、ルールの趣旨や、ルールを遵守することの重要性を自覚してもらうことが大切です。

 

④ 連絡体制の確認

情報セキュリティ事故の発生などに備え、連絡体制をきちんと整備し、定期的に確認することも大切です。

 

事故時の対応についての訓練を実施するなど、日頃から情報セキュリティ事故の発生を想定し、万が一の時に、迅速な対応が取れるようにしておくとよいでしょう。

 

2. 技術的なセキュリティの確保

技術的なセキュリティの確保

 

システムやアプリケーションのセキュリティを確保する「技術的なセキュリティ対策」に関しては、本人認証や端末認証、端末管理による利用アクセスの管理・制限に加えて、①暗号化、②運用上のセキュリティ、③ネットワークのセキュリティの3つの対策が不可欠です。

 

① 暗号化

テレワークの実践にあたっては「持ち出しリスク」への対策が不可欠です。

 

社外で作業をする場合は、PCやスマートフォン、携帯電話を紛失したり、盗難に遭ったりする可能性も否定できません。 デバイス認証を複雑化し、セキュリティを強化していたとしても、こうした事態に遭遇した場合、情報漏洩のリスクが高まるのは避けられないからです

 

技術的なセキュリティ対策に効果的な方法の1つは、ハードディスク内のデータの暗号化です。 

 

ただし、ハードディスク内のデータを暗号化していたとしても、データをeメールに添付したり、DVD-ROMやCD-Rなどの外部メディアに移動させたりした場合には、復号化され、誰でもデータを見られるようになってしまうため、追加的な対策が必要となります。

 

また端末内に、「セキュアコンテナ」と呼ばれる、暗号化された業務データエリアを作成するソフト及びサービスの活用や、テレワーク時に活用するウェブアプリを安全に利用するための専用ブラウザ「セキュアブラウザ」の活用。さらに、情報の持ち出しを可能にする場合には、暗号化機能やパスワードロック機能、ウイルス機能など、情報漏洩対策付きのUSBメモリの使用のルール化など、外部記録媒体のセキュリティ対策も欠かせません。

 

② 運用上のセキュリティ

ウイルスや不正アクセスなど、悪意あるソフトウェア(マルウェア)の手口は、日々、多様化し複雑化しています。こうした脅威に備えるためには、PCやサーバーなど、情報を直接取り扱う機器のセキュリティ対策を絶えず進化させていく必要があるでしょう。

 

例えば、「ウイルス対策ソフト」はテレワークの導入にあたっての必須ツールです。テレワークを実施する際には、インターネットへの接続や、外付けの記録媒体の活用するケースがほとんどですから、端末がウイルスに感染するリスクは少なくありません。

 

ウイルス感染による端末の不具合や、情報漏洩のリスクを回避するために、不正アクセス検知や不正プログラム検出などを搭載したウイルス対策ソフトを活用し、ウイルスを早期検知し、駆除する仕組みを整えておく必要があります。

また、ウイルスは常に進化し続けているため、ウイルス対策ソフトの導入後も、ソフトのアップデートを定期的に行うことが重要です。

 

ただし、運用上のセキュリティの強化を図るにあたって、留意すべき点もあります。それは、セキュリティ対策を強化すればするほど、認証作業などが複雑化し、テレワーク勤務者の業務効率が低下する可能性もあることです。

テレワークの導入に当たっては、セキュリティ対策と業務効率のバランスを考慮しながら、最適なツールを選ぶ必要があるということです。

 

③ ネットワークのセキュリティ

「技術的なセキュリティ対策」の推進にあたっては、PCやサーバーのみならず、「ネットワークのセキュリティ」の構築にも力を入れる必要があります。

 

例えば、ウイルス感染や不正アクセスのリスクにさらされる可能性の低い、より安全な回線を選択し、テレワーク勤務者が安心してネットワークにアクセスすることのできる環境を準備することが求められます。

 

具体的には、外部ネットワークを利用する際は、定められたプライベート・ネットワークに接続して暗号化通信を行うルールやシステムを導入したり、ウイルス感染や盗聴の危険性のある公衆Wi-Fiは利用せず、通信キャリアが提供するモバイルルータの利用をルール化したりする。あるいは、第三者による「なりすまし(フィッシング)」対策も重要です。

 

3. 物理的なセキュリティ対策

物理的なセキュリティ対策

 

テレワークの導入に当たっては、「ルールによるセキュリティ対策」「技術的なセキュリティ対策」では対応できないケースが存在することにも留意しなければなりません。

 

盗難やスパイ活動、破壊などにより、PCやサーバーなど、ハードウェアそのものが危険にさらされるケースが存在するからです。

 

そこで重要になってくるのが「物理的なセキュリティ対策」です。テレワークの導入に当たっては、自宅やサテライトオフィスなど、所属オフィス以外の場所が執務スペースとなります。会社貸与のPCを施錠管理するための棚の有無や、執務スペースへの立ち入りの制限などを確認したり、誓約書を交わしたりするなどして、オフィス同様の「物理的なセキュリティ対策」を構築する必要があります。

 

また、「持ち出しリスク」の低減には、台帳などを使用して、貸与するテレワーク端末の所在や利用する従業員を管理することや、ペーパーレス化の推進によって、紙ベースの文書の電子化を進めることで、持ち出しによる紛失や盗難を防ぐことも有効です。

 

ただし、持ち出しに当たっては、暗号化や情報漏洩対策付きのUSBの活用など、「技術的なセキュリティ対策」を徹底する必要があることは、指摘するまでもありません。

実際にセキュリティ被害にあった時の対応も明確にしておく

テレワークのセキュリティ対策は入念にしておくに越したことはないですが、100%問題が起こらないと言い切れるものではありません。

 

もし実際にセキュリティ被害にあってしまったら、どのように対応すれば良いのでしょうか?

 

例えば、在宅ワークをしている社員が、自宅のネット環境に繋いでいたPCでウイルス感染してしまったとしましょう。

 

オフィスに出社していれば、IT部門やヘルプデスクに連絡を取ることで、すぐさま専門家の知識と経験で対処することができます。

 

一方でテレワークの場合は、一度被害が出てしまうと、施せる対応が非常に限られてしまいます。感染被害を広げないために、LANケーブルを抜くもしくは無線LANをオフにすることが先決となりますが、こうすることで、企業のヘルプ要因が遠隔地から感染デバイスを確かめようにも、ネットワークを通して連絡を取ることができなくなります。

 

4Gなど他の回線に切り替えるという選択肢もありますが、感染・侵害の疑いがあるデバイスを使い続けることは望ましくないでしょう。

 

そこで社内では、セキュリティ問題を防ぐ対策面だけでなく、実際に被害を想定したレポートラインや対応方法をしっかりと共有しておきましょう。

 

また上記のようなことが起こらないよう、企業担当者が機密情報を扱っている自覚を持ち、十分なセキュリティ対策を施しておく必要があるのは言うまでもありません。

セキュリティ対策に強い3つのテレワークツール

1. V-CUBEシリーズ

blog_how-to-secure-all-the-systems-for-remote-employees_02

 

株式会社ブイキューブが提供する「V-CUBE」シリーズは、5,000社以上で活用されているテレワークツールです。セキュリティチェックが厳しい官公庁や教育機関、また金融機関での導入実績が豊富に揃っています。

 

働くシチュエーションや職種ニーズによって使い分けられる、多様なソリューション・サービスを展開しています。

 

V-CUBE ミーティング・・・高画質・高品質なWeb会議ツール

V-CUBE Box・・・低コストで高い拡張性を実現するテレビ会議システム

V-CUBE セールス+・・・「オンライン営業」に特化したWeb会議ツール

V-CUBE セミナー・・・研修、セミナー、説明会に最適な配信ツール

 

おすすめポイント① ASP/SaaS情報開示制度に認定

blog_how-to-secure-all-the-systems-for-remote-employees_03

ASP・SaaSは、インターネットを通じてアプリケーションの提供を受けるサービスです。インターネット回線を利用する際に、自社ではなくサービスの提供者が管理するデータセンターにサーバーを保管することで、自社情報システムの保守や管理負担が軽減されるといったメリットがあります。

 

認定制度名称:ASP ・SaaS安全・信頼性に係る情報開示認定制度

審査機関:

サービスの名称:V-CUBE

認定番号:第0108-1012号

 

おすすめポイント② IPアドレス制限による強固なセキュリティ対策

V-CUBEの提供するサービスでは、Web会議・テレビ会議に参加できる参加者のIPアドレスを指定することができます。

IPアドレスからのアクセスを制限することで不正やアクセスを防ぎ、より強固なセキュリティ環境でWeb会議をご利用になれます。

 

blog_how-to-secure-all-the-systems-for-remote-employees_04

 

また、より強固なセキュリティをお求めのお客様には、自社内にシステムを構築する「オンプレミス型」のサービスも提供しています。

V-CUBEの資料請求(無料)はこちらから!

 

2. WebEx Meeting Center

blog_how-to-secure-all-the-systems-for-remote-employees_05

 

出典:WebEx Meeting Center公式サイト

 

WebEx Meeting Centerは、シスコシステムズ合同会社が提供している、1会議室あたりの最大接続数が500名を誇るテレワークツールです。

 

高品質・高音声なWeb会議システム・テレビ会議システムには、それぞれチャット機能、デスクトップ共有機能などが備わっており、アプリケーションをダウンロードすればどこでも使うことができるSaaSモデルの遠隔コミュニケーションツールとして活用されています。

 

表示可能な参加者映像は7つに止まりますが、社内研修や告知など、発言者数が比較的少ない講義形式の遠隔コミュニケーションには最適と言えるでしょう。

 

▼サービス詳細を見てみる

WebEx Meeting Center

 

3. LiveOn

blog_how-to-secure-all-the-systems-for-remote-employees_06

 

出典:LiveOn公式サイト

 

ジャパンメディアシステム株式会社によるLiveOnは、月額3,000円(税別)の定額制で利用できるテレワークツールです。出張にかかる経費や移動時間の大幅削減や業務の効率化などのメリットが考えられます。

 

1会議あたり20名まで参加可能で、他のユーザとファイルを共有できる資料共有やホワイトボード機能など、業務を支援してくれるシステムが整っています。こちらもASP/SaaS動作環境チェック済みのため、セキュリティ面でも安心して導入できそうです。

 

▼サービス詳細を見てみる

LiveOn

 

まとめ|自社のテレワークセキュリティガイドラインで万全な対策を

wework-nogizaka_privateoffice

 

テレワークは今後、業種業態を問わず、あらゆる企業にとってますます重要になっていくのは間違いありません。

 

テレワークは、生産性の向上による企業競争力の強化はもとより、個々人のライフスタイルに応じた柔軟かつバランスのとれた働き方の実現に貢献。また雇用創出や地域振興、防災・環境対策等にも大きなインパクトを与える可能性を秘めています。

 

多様な人々が、創造的な力を効率的に発揮できる社会を作り上げていくために、テレワークに向けた取り組みは加速化していくでしょう。

 

 そんな中で、自社におけるセキュリティ対策を見直すことは非常に重要な施策です。現状のセキュリティ対策がどの程度実施されているか、また不足しているポイントは何かを見極めながら、テレワーク環境の整備に力を入れていきましょう。

この記事が少しでもお役に立てましたら幸いです。

無料体験会開催中!
空いたワークスペースを会議室として有効活用できる「テレキューブ」

telecube

もしも今現在、自社で以下のような課題をお持ちであれば「テレキューブ」の導入を検討してみましょう。

  • 評価面談や1on1ミーティングなど、個人間の対話に適した場所が少ない
  • 誰にも話しかけられずに、業務に集中できるスペースが欲しい
  • 機密性が保たれたスペースで、周囲に聞かれずにWeb会議や電話がしたい

テレキューブは、オフィスの空きスペースを活用しあらゆる場所に設置ができるスマートワークブースです。Web会議が利用できるPCが設置されており、セキュリティが保たれた静かな環境で業務に集中できます。

また、大掛かりな設置工事の必要がなく最短1ヶ月〜から契約可能です。設置場所や利用シーンを問わず自社のオフィスに合わせた活用を検討しましょう。

詳細を確認する