directed-by-vcube

働き方改革の本質は、いかにして従業員一人ひとりの生産性を高め、企業の競争力を強化するかという点にあります。そのための取り組みとして、近年、大きな注目を浴びているのが「テレワーク」です。

 

ただし、「テレワーク」の導入に対して、二の足を踏んでいる日本企業も少なくありません。そこで本記事では、テレワークの重要性や、その導入に向けたセキュリティ面での課題と、その対策について、あらためて考えてみたいと思います。

「テレワーク」とは何か。なぜ、今、求められるのか?

ご存知のように、「テレワーク」は、英語の「Tele(離れて)」と「Work(働く)」を組み合わせた造語です。

 

その狙いは、すなわち、日進月歩のICT(情報通信技術)の活用により、在宅勤務やモバイルワーク、サテライトオフィス勤務などを実現し、従業員一人ひとりが場所や時間に縛られることなく、柔軟かつ自律的に働くことのできる環境を整える。これにより、育児や介護など、さまざまな制約を抱えた多様な社員が生き生きと働き、持てる力を最大限に発揮できるようにする点にあるといっていいでしょう。

 

本格的な人口減少社会の到来に伴う労働力不足が、業種業態を問わず大きな課題となるなかで、テレワークの戦略的な推進により、「いつでも」「どこでも」「誰とでも」働くことのできる環境を構築する。そして、生産性の向上はもとより、従業員のワークライフバランスの向上、オフィス関連コストの削減、事業継続性の確保といった、さまざまな効果を実現することが期待されているのです。

テレワーク導入企業は13.9%

テレワークは企業経営に対して、きわめて大きなインパクトを与える可能性を秘めています。しかしながら、米国では85%、英国では38%の企業がテレワークを導入しているといわれているのに対し、日本企業の導入はなかなか進んでいません。

 

総務省が毎年実施している「通信利用動向調査」によると、テレワーク導入企業は、緩やかな増加傾向にあるものの、まだまだ少ないのが現状です。

 

テレワーク導入企業率

 

出典:総務省 - 平成30年版 情報通信白書

 

実際、従業員100人以上の企業でテレワークを導入している企業は、2017年時点で13.9%にとどまっています。その内訳について詳しく見てみると、従業員が300人以上の企業の導入率は23.0%に上るのに対し、従業員が300人未満の中小企業の導入率は10.2%と非常に低い水準です。小規模な企業が導入に踏み切れていないことが、日本企業におけるテレワーク普及の足かせになっているといっていいでしょう。

 

もっとも、このことを必ずしも悲観的に捉える必要はありません。むしろ、生産性向上に向けた、大きな伸びしろが存在すると考えて然るべきです。今後、テレワークの導入を加速させていくために求められる取り組みについて、考えてみたいと思います。

安全なテレワークのためには、「総合的なセキュリティ対策」が必要

先ほど紹介した「通信利用動向調査」では、テレワークを導入した企業のおよそ半数が、「生産性・業務効率の向上」や「社員の通勤・移動時間の短縮」といった効果を期待する一方、テレワークならではの課題を抱えていると指摘されています。

 

テレワーク導入目的

 

出典:総務省 - 平成30年版 情報通信白書

 

なかでも、多くの企業が頭を悩ませ、テレワークの導入に二の足を踏む要因となっているのが、「情報セキュリティの確保」です。

 

 

テレワークならではの課題

 

出典:三菱UFJリサーチ&コンサルティング株式会社 - 地方創生と企業におけるICT利活用にに関する調査研究<<調査報告書>>

 

当然のことながら、テレワークの実践にあたっては、従業員は、会社の業務に関わる情報をオフィスの外で活用することになります。

 

厳重に管理されたオフィス空間の外部という、ある意味で危険な環境で仕事をする以上、ネットワークならではの脅威やそれに対する脆弱性を的確に把握し、セキュリティ・リスクの低減するための取り組みが欠かせません。

 

具体的には、紙ベースの文書や電子データといった「情報資産」の漏洩など、情報を外部に持ち出すことによって生じる「情報持ち出しリスク」、電子デバイスのウイルスやワームの感染など、外部のテレワーク環境と社内環境をネットワークでつなぐことによって生じる「接続リスク」への対処が不可欠です。

 

こうしたリスクにさらされた環境のなかで情報セキュリティを確保し、テレワークの安全性を担保するために、具体的には何が必要でしょうか。残念ながらというべきか、当然とでもいうべきか、単一の処方箋など存在しません。求められるのは「総合的なセキュリティ対策」です。

 

具体的には以下の3つのセキュリティ対策が挙げられます。

1. ルールによるセキュリティ対策 情報を取り扱う際の基本方針や行動指針を策定するとともに、従業員がそれに基づいて、情報を安全に扱えるようにするための研修等を実施する。
2. 技術的なセキュリティ対策 ウイルス対策ソフトやサービスの利用、情報の暗号化、ログインの複雑化等により、システムやアプリケーションのセキュリティを確保する。
3. 物理的なセキュリティ対策 防犯対策のほか書類や端末の施錠収納などにより、紙ベースの文書やPCやサーバーなど、実体のあるものの管理を行う。

企業には、これらの対策を組み合わせながら、テレワークの安全性を積み上げる努力が求められています。以下、3つのセキュリティ対策について、少し詳しく論じてみましょう。

1. ルールによるセキュリティ対策

ルールによるセキュリティ対策

 

まず、「ルールによるセキュリティ対策」について考えてみましょう。

 

テレワークの推進に当たって、情報セキュリティの面で安全か否かをその都度、個々に判断し、対策を講じていくのは効率的ではありません。また、専門家でなくては、適切な判断を下せないケースも少なくありません。

 

そこで重要になってくるのが、「ルール」の策定です。例えば、「○○すれば、セキュリティを確保できる」という仕事のやり方をルールとして定める。これにより、従業員がその遵守さえ意識していれば、安全に仕事を進められる環境を構築する点に、「ルールによるセキュリティ対策」の本質があります。

 

セキュリティガイドラインの策定

「ルールによるセキュリティ対策」の実効性を高め、テレワークをより安全かつ安心して活用できるようにするためには、いかなる取り組みが必要でしょうか。

 

まず重要なのは、情報セキュリティに関する、組織として統一のとれた基本方針や行動指針を定めるとともに、その内容を明文化した「セキュリティガイドライン」を作成することです。

 

「セキュリティガイドライン」とは、オフィス外からのアクセスや、Eメールの送受信などに関する制限、顧客との打ち合わせで発生するデータや端末の持ち出しの手続き方法など、業務を行ううえで遵守すべきセキュリティの考え方(ポリシー)をまとめたもので、基本方針ならびに対策基準、実施手順の三つによって構成されます。

 

その内容に関しては、企業理念や経営戦略、企業規模、保有する情報資産、業種業態によって異なるため、自社の企業活動に合致したガイドラインのあり方を工夫する必要があります。

 

また、「セキュリティガイドライン」は一度策定したら終わりというものではありません。定期的に監査し、その結果に応じて、適宜、内容の見直しを行ったり、技術的な対策を講じたりする努力が欠かせません。いわばPDCAサイクルを確実に回し、ルールを最新の状況に適応させていくことで、テレワークの情報セキュリティレベルを高めていく必要があるのです。

 

セキュリティルール・情報管理ルールの策定

「セキュリティガイドライン」の策定の次に求められるのは、具体的な行動ルールを策定です。

 

例えば、紙ベースの資料の持ち出しや、自宅における作業環境やPCの保管・管理方法、休憩中のPCの取り扱い、オフィスから持ち出すPCの管理、アプリケーションのインストールの可否や条件、機密性が求められる電子データの保存の仕方など、従業員がテレワーク時にとるべき行動をルール化します。

 

これにより、テレワーク勤務中の従業員が安全かつ安心して作業に取り組めるようにするとともに、情報資産の管理責任に対する意識を醸成することが大切です。

 

ガイドラインとルールの遵守

指摘するまでもないことですが、「セキュリティガイドライン」や「セキュリティルール」「情報管理ルール」を策定するだけでは、“絵に描いた餅”にすぎません。

 

制度や仕組みをつくるだけではなく、テレワーク勤務者がガイドラインやルールを確実に遵守し、セキュリティ対策を実効力のあるものとするためには、定期的な研修などの教育・啓発活動の実施や、イントラネット内での通知、ポスターの掲示などを通じて、情報セキュリティの重要性について理解してもらい、従業員一人ひとりに浸透させていくことが欠かせません。

2. 技術的なセキュリティの確保

技術的なセキュリティの確保

 

システムやアプリケーションのセキュリティを確保する「技術的なセキュリティ対策」に関しては、本人認証や端末認証、端末管理による利用アクセスの管理・制限に加えて、①暗号化、②運用上のセキュリティ、③ネットワークのセキュリティの3つの対策が不可欠です。

 

① 暗号化

先ほど述べたように、テレワークの実践にあたっては「持ち出しリスク」への対策が不可欠です。

 

社外でPCやスマートフォン、携帯電話を紛失したり、盗難に遭ったりする可能性も否定できません。デバイスそのものの認証をいかに複雑化し、セキュリティを強化したとしても、こうした事態に遭遇した場合、情報漏洩のリスクが高まるのは避けられないからです

 

こうした事態を防ぐための基本は、ハードディスク内のデータの暗号化です。

 

ただし、ハードディスク内のデータを暗号化していたとしても、データをEメールに添付したり、DVD-ROMやCD-Rなどの外部メディアに移動させたりした場合には、復号化され、誰でもデータを見られるようになってしまうため、追加的な対策が必要となります。

 

また、端末内に、「セキュアコンテナ」と呼ばれる、暗号化された業務データエリアを作成するソフト及びサービスの活用や、テレワーク時に活用するウェブアプリを安全に利用するための専用ブラウザ「セキュアブラウザ」の活用。さらに、情報の持ち出しを可能にする場合には、暗号化機能やパスワードロック機能、ウイルス機能など、情報漏洩対策付きのUSBメモリの使用のルール化など、外部記録媒体のセキュリティ対策も欠かせません。

 

② 運用上のセキュリティ

ウイルスや不正アクセスなど、悪意あるソフトウェア(マルウェア)の手口は、日々、多様化し複雑化しています。こうした脅威に備えるためには、PCやサーバーなど、情報を直接取り扱う機器のセキュリティ対策を絶えず進化させていかねばなりません。

 

例えば、「ウイルス対策ソフト」はテレワーク導入にあたっての必須ツールです。テレワークを実施する際には、インターネットへの接続や、外付けの記録媒体の活用するケースがほとんどですから、端末がウイルスに感染するリスクは小さくありません。

 

ウイルス感染による端末の不具合や、情報漏洩のリスクを低減するために、不正アクセス検知や不正プログラム検出などを搭載したウイルス対策ソフトを活用し、ウイルスを早期検知し、駆除する仕組みを整えておく必要があります。また、シンクライアント型の端末を利用する場合には、サーバーにウイルス対策ソフトを導入すれば、効果的かつコスト面からみても有効です。

 

ただし、運用上のセキュリティの強化を図るにあたって、留意すべき点もあります。それは、セキュリティ対策を強化すればするほど、認証作業などが複雑化し、テレワーク勤務者の業務効率が低下する可能性もあることです。

 

テレワークの導入に当たっては、セキュリティ対策と業務効率のバランスを考慮しながら、最適なツールを選ぶ必要があるということです。

 

③ ネットワークのセキュリティ

「技術的なセキュリティ対策」の推進にあたっては、PCやサーバーのみならず、「ネットワークのセキュリティ」の構築にも力を入れる必要があります。

 

例えば、ウイルス感染や不正アクセスのリスクにさらされる可能性の低い、より安全な回線を選択し、テレワーク勤務者が安心してネットワークにアクセスすることのできる環境を準備することが求められます。

 

具体的には、外部ネットワークを利用する際は、定められたVPN回線に接続して暗号化通信を行うルールやシステムを導入したり、ウイルス感染や盗聴の危険性のある公衆Wi-Fiは利用せず、通信キャリアが提供するモバイルルータの利用をルール化したりする。あるいは、第三者による「なりすまし(フィッシング)」対策も重要です。

3. 物理的なセキュリティ対策

物理的なセキュリティ対策

 

テレワークの導入に当たっては、「ルールによるセキュリティ対策」「技術的なセキュリティ対策」では対応できないケースが存在することにも留意しなければなりません。盗難やスパイ活動、破壊などにより、PCやサーバーなど、ハードウェアそのものが危険にさらされるケースが存在するからです。

 

そこで重要になってくるのが「物理的なセキュリティ対策」です。テレワークの導入に当たっては、自宅やサテライトオフィスなど、所属オフィス以外の場所が執務スペースとなります。会社貸与のPCを施錠管理するための棚の有無や、執務スペースへの立ち入りの制限などを確認したり、誓約書を交わしたりするなどして、オフィス同様の「物理的なセキュリティ対策」を構築する必要があります。

 

また、「持ち出しリスク」の低減には、ペーパーレス化の推進によって、紙ベースの文書の電子化を進めることで、持ち出しによる紛失や盗難を防ぐことも有効です。ただし、持ち出しに当たっては、暗号化や情報漏洩対策付きのUSBの活用など、「技術的なセキュリティ対策」を徹底する必要があることは、指摘するまでもありません。

「テレワークセキュリティガイドライン」で万全な対策を

冒頭にも述べた通り、業種業態を問わず、あらゆる企業にとって、テレワークがますます重要になっていくのは間違いありません。

 

テレワークは、生産性の向上による企業競争力の強化はもとより、個々人のライフスタイルに応じた柔軟かつバランスのとれた働き方の実現、さらには、雇用創出や地域振興、防災・環境対策等にも大きなインパクトを与える可能性を秘めています。多様な人々が、創造的な力を効率的に発揮できる社会をつくり上げていくために、テレワークに向けた取り組みの加速化が求められているといっていいでしょう。

 

2018年4月、総務省は、企業や団体がテレワークを実施する際の、情報セキュリティ上の不安を払拭し、テレワークを安心して導入・活用するための指針「テレワークセキュリティガイドライン」を5年ぶりに改定しました。

 

改訂版のガイドラインには、「セキュリティ保全体制の大枠」や「マルウェアに対する対策」「端末の紛失・盗難に対する対策」「重要情報の盗聴に対する対策」「不正アクセスに対する対策」「外部サービスの利用に対する対策」などのテレワークのセキュリティ対策について、経営者及びシステム管理者、テレワーク勤務者がそれぞれ実施すべき対策と、その解説が列記されています。また、テレワークに関連したトラブル事例と、その対策についても多数紹介されています。

 

これらを活用し、自社におけるセキュリティ対策がどの程度実施されているか、また不足しているポイントは何かを見極めながら、テレワーク環境の整備に力を入れていきましょう。