• テレワーク

テレワークのセキュリティ対策に必要な7つの施策とツールを解説

テレワークのセキュリティ対策に必要な7つの施策とツールを解説

テレワークは、働き方の多様性を認め、従業員を働きやすくする勤務形態としては非常に重要な施策です。

しかし、オフィス外での労働には、情報漏えいや端末のウイルス感染といったリスクが伴います。情報のやり取りに社外のネットワークを利用したり、カフェやコワーキングスペースといった従業員以外の第三者が立ち入ることのできる場所で作業を行う場合があるからです。

従業員の労務管理をできるだろうか?
セキュリティ対策は十分だろうか?

こうした不安を抱える企業担当者の方も少なくないのではないでしょうか。

自社で安全にテレワークを運用するには、セキュリティ対策の全社的なベースラインを決める必要があります。

決して「この製品を導入すればセキュリティ問題が全て解決する」という単純なものではありません。

そこで本記事では、テレワークの正しいセキュリティ対策を理解するために、考えられるリスクや7つの対策方法、セキュリティ確保におすすめのITツールをご紹介します。

テレワークはセキュリティ上、問題がないと言えるのか

「テレワーク」とは、英語の「Tele(離れて)」と「Work(働く)」を組み合わせた造語です。文字通りオフィスから離れた、時間や場所にとらわれない、柔軟かつ自律的な働き方を指します。

働き方改革に伴い、在宅ワークやモバイルワークなど個人の働き方が多様化している昨今。テレワークを導入することで、社員の移動コストを削減や業務効率性の向上・人材獲得に繋げようとしている企業も少なくありません。

一方でテレワークは、情報漏えいやウイルス感染のリスクを含んでおり、実際に個人情報や顧客情報が流出するセキュリティ被害も発生しています。

機密性の高い情報が社外へ出てしまうとサイバー犯罪などのケースで企業が事実上の被害者となる場合になったり、クライアントや雇用している社員に対して加害者にもなってしまったりするため、社会的な責任を問われる可能性が大いにあるでしょう。

したがって、テレワークを導入する際には、自社の事業や社員を守るためにも、最適な情報セキュリティ対策をとることが必要不可欠なのです。

テレワークで実際に起こる可能性の高い3つのセキュリティ問題

コスト削減や人材確保などさまざまなメリットをもたらすテレワークですが、社員や事業に危害を及ぼさないようにするためにも、導入・運用の際は決してセキュリティ対策を怠ってはなりません。このことから、実際にテレワークの導入に尻込みしている企業も少なくないようです。

三菱UFJリサーチ&コンサルティング株式会社の「地方創生と企業におけるICT利活用にに関する調査研究」によると、実際に多くの企業が頭を悩ませテレワークの導入に二の足を踏む要因となっているのが、「情報セキュリティの確保」であることが明かされました。

テレワークならではの課題

出典:三菱UFJリサーチ&コンサルティング株式会社 - 地方創生と企業におけるICT利活用に関する調査研究

このことから、テレワークの導入を検討している企業の多くは、そのメリットを十分に認識しつつも、自社を脅かすセキュリティ問題がボトルネックとなり、なかなか施策に踏み出せていないことが伺えます。

しかしながら、適切なセキュリティ対策や社員の意識改革を行えば、テレワークを運用したとしても、セキュリティ問題の発生を限りなく0に近づけることができます。

そのために、テレワークを導入することで生じる可能性のあるセキュリティ問題と、その対策について整理してみましょう。

1. 業務データの損失

紙ベースの情報資産や、データの共有や保存に用いられるUSBメモリやクラウドサービスは、誤った使い方をすれば情報漏えいに繋がるリスクを孕んでいます。

紙媒体やUSBメモリは、第三者による盗難や紛失による情報漏えいのリスクがあります。これらは不必要な持ち出しを禁止するなどして、予めオフィスエリアから外に出さない対策が求められるでしょう。

また従業員の判断で利用した外部クラウドサービスに問題が生じ、データの消滅や漏えいが発生した場合は、企業の情報管理不足に対する責任が大きく問われることになってしまいます。

損害の規模によっては、自社事業そのものを脅かす可能性もあるので、データの格納先や方法については、「ドキュメントには必ずパスコードをかける」「ログインパスワードを1ヶ月ごとに変える」など、明確なポリシーやルールを設ける必要があるでしょう。

2. 公共の場所での盗み見や置き忘れ

テレワークのメリットの一つは、働く場所を限定されないことです。そのため従業員が自宅やサテライトオフィス以外にも、移動中やカフェで作業をするケースも考えられるでしょう。

しかし公共の場でパソコンやスマートフォンなどを使って仕事をする場合は、第三者による物理的な覗き見への対策が必要です。

企業機密事項や個人情報、業務ツールへのパスワードやメールの中身が意図せず、第三者に知られてしまう可能性も十分に考えられます。PC画面に覗き見を防止する液晶保護フィルムを利用することを義務付けるなどの対策をしましょう。

blog_how-to-secure-all-the-systems-for-remote-employees_01

出典:エレコム のぞき見防止フィルター - EF-PFS116W

また、従業員が私物端末を業務に用いる場合も注意が必要です。

置き去りにしたデバイスから企業機密情報や学生の個人情報などが漏れてしまった場合には、損害賠償や謝罪会見などで法的措置によって償わなければならず、それによって被る社会からのイメージダウンは計り知れません。

端末のセキュリティ対策が取られているか確認し、セキュリティ事故やトラブルを引き起こさないよう、デバイス毎に「アクセス権」「読み取り専用」といった情報保護環境を整えることを徹底しましょう。

3. 自宅ネットワークや公共Wi-Fiの脆弱性

テレワーク中の遠隔コミュニケーションに不可欠なのが、インターネット回線です。作業に使うデバイスを家庭内ネットワークや公共Wi-Fiに繋ぐ際は、必ずセキュリティを確保しなければなりません。

もしセキュリティに何らかの不備があった場合、ウイルス感染やハッキングといった被害を被るリスクに晒されてしまうからです。デバイス上に保存してある情報だけでなく、関連する企業情報や個人情報まで悪用される可能性もあります。

特に注意すべきは、カフェや駅構内といった公共の場所でフリーWi-Fiを利用するケースです。悪意のある第三者が設置したWi-Fiスポットや、そもそもセキュリティに不備のあるネットワークに接続してしまうと、通信内容を抜き出し悪用されるリスクが高まります。

こうした問題を未然に防ぐためには、セキュリティ対策がなされた自社専用Wi-Fiを契約してテレワーク従事者に使用してもらったり、充電ができてLANにも接続できるワークブースを設置し、その利用を促したりといった対策を取りましょう。

テレワークの実施で求められるのは「総合的なセキュリティ対策」

紙ベースの文書や電子データといった「情報資産」の漏えい、情報を外部に持ち出すことによって生じる「情報持ち出しリスク」、電子デバイスのウイルスの感染など、セキュリティ対策にはさまざまな観点から取り組むことが不可欠だということが理解できたと思います。

こうした多様なリスクに晒された環境のなかで情報セキュリティを確保し、テレワークの安全性を担保するためには、具体的にどういったステップが必要でしょうか。

残念ながら、単一の処方箋など存在せず、求められるのは「総合的なセキュリティ対策」です。

総務省の「テレワークセキュリティガイドライン 第4版」では、「ルール・技術・物理」といった3つの観点からバランスの良いセキュリティ対策を実施する重要性が指摘されています。

それぞれの具体的な内容は以下の通りです。

1. ルールによるセキュリティ対策 情報を取り扱う際の基本方針や行動指針を策定するとともに、従業員がそれに基づいて、情報を安全に扱えるようにするための研修等を実施する。
2. 技術的なセキュリティ対策 ウイルス対策ソフトやサービスの利用、情報の暗号化、ログインの複雑化等により、システムやアプリケーションのセキュリティを確保する。
3. 物理的なセキュリティ対策 防犯対策のほか書類や端末の施錠収納などにより、紙ベースの文書やPCやサーバーなど、実体のあるものの管理を行う。

※企業や団体がテレワークを実施する際の導入・活用するための指針「テレワークセキュリティガイドライン」は、2018年4月、総務省によって5年ぶりに改定されています。

以下では、上記の表にある3つの対策について解説していきます。

1. ルールによるセキュリティ対策


ルールによるセキュリティ対策

まずは、「ルールによるセキュリティ対策」について考えてみましょう。

テレワークの推進に当たって、情報セキュリティの面で安全か否かをその都度、個々に判断し、対策を講じていくのは効率的ではありません。また、専門家でなくては、適切な判断を下せないケースも少なくありません。

そこで重要になってくるのが、「ルール」の策定です。例えば、「○○すれば、セキュリティを確保できる」という仕事のやり方をルールとして定めます。これにより、従業員がその遵守を意識することで、安全に仕事を進められる環境を構築することができます。

① セキュリティガイドラインの策定

まず重要なのは、情報セキュリティに関する、組織として統一のとれた基本方針や行動指針を定めるとともに、自社でその内容を明文化した「セキュリティガイドライン」を作成することです。

「セキュリティガイドライン」とは、オフィス外からのアクセスや、Eメールの送受信などに関する制限、顧客との打ち合わせで発生するデータや端末の持ち出しの手続き方法など、業務を行ううえで遵守すべきセキュリティの考え方(ポリシー)をまとめたものです。基本方針ならびに対策基準、実施手順の3つによって構成されます。

その内容は、企業理念や経営戦略、企業規模、保有する情報資産、業種業態によって、企業ごとに異なります。自社の企業活動に合致したガイドラインのあり方を工夫する必要があるでしょう。

また、「セキュリティガイドライン」は一度策定したら終わりというものではありません。定期的に監査し、その結果に応じて、適宜、内容の見直しを行ったり、技術的な対策を講じたりする努力が欠かせません。

PDCAサイクルを確実に回し、ルールを最新の状況にアップデートしていくことで、テレワークの情報セキュリティレベルを高めていく必要があるのです。

② 実践的なセキュリティルール・情報管理ルールの策定

「セキュリティガイドライン」の策定の次に求められるのは、具体的な行動ルールの策定です。例えば、以下のように従業員がテレワーク時にとるべき行動をルール化します。

  • 紙ベースの資料の持ち出し
  • 自宅における作業環境やPCの保管・管理方法
  • 休憩中のPCの取り扱い
  • オフィスから持ち出すPCの管理
  • アプリケーションのインストールの可否や条件
  • クラウド使用の可否や条件
  • 機密性が求められる電子データの保存の仕方

これにより、テレワーク勤務中の従業員が安全かつ安心して作業に取り組めるようにするとともに、情報資産の管理責任に対する意識を醸成することが大切です。

また、現在では多くのクラウドサービスやメッセージアプリケーション、SNSなどが普及していますが、これらについても、従業員用のルールやガイドラインで留意事項を明示しておくことで、情報の漏洩をしっかりと防止することができます。

さらに、テレワーク勤務者が、これらのセキュリティに関する必要な情報を、きちんと把握・習得していれば、なりすまし(フィッシング)やサイバー攻撃などの被害を阻止しやすくなります。

③ ガイドラインとルールの遵守

指摘するまでもないことですが、「セキュリティガイドライン」や「セキュリティルール」「情報管理ルール」を策定するだけでは何の意味もありません。

制度や仕組みをつくるだけではなく、テレワーク勤務者がガイドラインやルールを確実に遵守し、セキュリティ対策を実効力のあるものとするためには、定期的な研修などの教育・啓発活動の実施や、イントラネット内での通知、ポスターの掲示などが必要です。

情報セキュリティの重要性について理解してもらい、従業員一人ひとりに浸透させていくことが欠かせません。

特にテレワーク勤務者は、オフィスから目の届きにくい場所で作業をすることとなります。そのためにも、ルールの趣旨や、ルールを遵守することの重要性を自覚してもらうことが大切です。

④ 連絡体制の確認

情報セキュリティ事故の発生などに備え、連絡体制をきちんと整備し、定期的に確認することも大切です。

事故時の対応についての訓練を実施するなど、日頃から情報セキュリティ事故の発生を想定し、万が一の時に、迅速な対応が取れるようにしておくとよいでしょう。

2. 技術によるセキュリティ対策

技術的なセキュリティの確保

システムやアプリケーションのセキュリティを確保する「技術的なセキュリティ対策」に関しては、本人認証や端末認証、端末管理による利用アクセスの管理・制限に加えて、①暗号化、②運用上のセキュリティ、③ネットワークのセキュリティの3つの対策が不可欠です。

① 暗号化

テレワークの実践にあたっては「持ち出しリスク」への対策が不可欠です。

社外で作業をする場合は、パソコンやスマートフォン、携帯電話を紛失したり、盗難に遭ったりする可能性も否定できません。 デバイス認証を複雑化し、セキュリティを強化していたとしても、こうした事態に遭遇した場合、情報漏えいのリスクが高まるのは避けられないからです

技術的なセキュリティ対策に効果的な方法の1つは、ハードディスク内のデータの暗号化です。

ただし、たとえハードディスク内のデータを暗号化したとしても、データをeメールに添付したり、DVD-ROMやCD-Rなどの外部メディアに移動させたりした場合、復号化され誰でもデータを見られるようになってしまうため、追加的な対策が必要となります。

また端末内に、「セキュアコンテナ」と呼ばれる、暗号化された業務データエリアを作成するソフト及びサービスの活用や、テレワーク時に活用するウェブアプリを安全に利用するための専用ブラウザ「セキュアブラウザ」の活用が必要です。

さらに、情報の持ち出しを可能にする場合には、暗号化機能やパスワードロック機能、ウイルス機能など、情報漏洩対策付きのUSBメモリの使用のルール化など、外部記録媒体のセキュリティ対策も欠かせません。

このように、従業員が所有する端末の内部だけでなく、社内で共有される他のメディアへのセキュリティ性の確保も含めた総合的な対策が求められる、といえるでしょう。

② 運用上のセキュリティ

ウイルスや不正アクセスなど、悪意あるソフトウェア(マルウェア)の手口は、日々多様化し複雑化しています。こうした脅威に備えるためには、パソコンやサーバーなど、情報を直接取り扱う機器のセキュリティ対策を絶えず進化させていく必要があるでしょう。

例えば、「ウイルス対策ソフト」はテレワークの導入にあたっての必須ツールです。テレワークを実施する際にはインターネットへの接続や、外付けの記録媒体を活用するケースがほとんどなので、端末がウイルスに感染するリスクは少なくありません。

こうしたウイルス感染による端末の不具合や、情報漏えいのリスクを回避するために、不正アクセス検知や不正プログラム検出などを搭載したウイルス対策ソフトを導入する必要があります。

また、ウイルスも常に進化し続けているため、ウイルス対策ソフトの導入後も、ソフトのアップデートを定期的に行うことが重要です。

ただし、運用上のセキュリティの強化を図るにあたって、留意すべき点もあります。それは、セキュリティ対策を強化すればするほど認証作業などが複雑化し、テレワーク勤務者の業務効率が低下する可能性もあることです。

テレワークの導入に当たっては、セキュリティ対策と業務効率のバランスを考慮しながら、最適なツールを選ぶ必要があるということです。

③ ネットワークのセキュリティ

「技術的なセキュリティ対策」の推進にあたっては、パソコンやサーバーのみならず、「ネットワークのセキュリティ」の構築にも力を入れる必要があります。

例えば、ウイルス感染や不正アクセスのリスクにさらされる可能性の低い、より安全な回線を選択し、テレワーク勤務者が安心してネットワークにアクセスすることのできる環境を準備することが求められます。

具体的には、外部ネットワークを利用する際は、定められたプライベート・ネットワークに接続して暗号化通信を行うルールやシステムを導入。また、ウイルス感染や盗聴の危険性がある公衆Wi-Fiは利用せず、通信キャリアが提供するモバイルルータの利用を義務付ける必要があるでしょう。

あるいは、第三者による「なりすまし(フィッシング)」対策も重要です。

3. 物理的なセキュリティ対策

物理的なセキュリティ対策

テレワークの導入に当たっては、「ルールによるセキュリティ対策」「技術的なセキュリティ対策」では対応できないケースが存在することにも留意しなければなりません。

盗難やスパイ活動、破壊などにより、パソコンやサーバーなど、ハードウェアそのものが危険にさらされるケースが存在するからです。

そこで重要になってくるのが「物理的なセキュリティ対策」です。テレワークの導入に当たっては、自宅やサテライトオフィスなど、所属オフィス以外の場所が執務スペースとなります。

会社貸与のPCを施錠管理するための棚の有無や、執務スペースへの立ち入りの制限などを確認したり、誓約書を交わしたりするなどして、オフィス同様の「物理的なセキュリティ対策」を構築する必要があります。

また、「持ち出しリスク」の低減には、台帳などを使用して、貸与するテレワーク端末の所在や利用する従業員を管理することや、ペーパーレス化の推進によって、紙ベースの文書の電子化を進めることで、持ち出しによる紛失や盗難を防ぐことも有効です。

ただし、持ち出しに当たっては、暗号化や情報漏洩対策付きのUSBの活用など、「技術的なセキュリティ対策」を徹底する必要があることは、指摘するまでもありません。

実際にセキュリティ被害にあった時の対応も明確にしておく

テレワークのセキュリティ対策は入念にしておくに越したことはないですが、100%問題が起こらないと言い切れるものではありません。

もし実際にセキュリティ被害にあってしまったら、どのように対応すれば良いのでしょうか?

例えば、在宅ワークをしている社員が、自宅のネット環境に繋いでいたPCでウイルス感染してしまったとしましょう。

オフィスに出社していれば、IT部門やヘルプデスクに連絡を取ることで、すぐさま専門家の知識と経験で対処することができます。

一方でテレワークの場合は、一度被害が出てしまうと、施せる対応が非常に限られてしまいます。感染被害を広げないために、LANケーブルを抜くもしくは無線LANをオフにすることが先決となりますが、こうすることで、企業のヘルプ要因が遠隔地から感染デバイスを確かめようにも、ネットワークを通して連絡を取ることができなくなります。

4Gなど他の回線に切り替えるという選択肢もありますが、感染・侵害の疑いがあるデバイスを使い続けることは望ましくないでしょう。

そこで社内では、セキュリティ問題を防ぐ対策面だけでなく、実際に被害を想定したレポートラインや対応方法をしっかりと共有しておきましょう。

また上記のようなことが起こらないよう、企業担当者が機密情報を扱っている自覚を持ち、十分なセキュリティ対策を施しておく必要があるのは言うまでもありません。

セキュリティ対策に強い3つのテレワークツール

テレワークを行う際には、遠隔で打ち合わせや会議を行うことができるコミュニケーションを行えるITツールも必要です。

最近では、有料版であれば接続がしっかりと暗号化された高品質なツールも増えているため、自社に合ったツールを選択することで、テレワーク勤務者との円滑なコミュニケーションも望めるでしょう。

以下では、高品質を誇るおすすめのWeb会議システム・テレビ会議システムを「テレワークツール」とし、それぞれ紹介していきます。

1. V-CUBEシリーズ

V-CUBEシリーズ

国内約5000社以上で導入されているWeb会議システム「V-CUBE ミーティング」をはじめ、弊社ブイキューブが提供する「V-CUBE」シリーズは、セキュリティチェックが厳しい官公庁や教育機関、また金融機関での導入実績が非常に豊富です。そのため、信頼と実績のあるテレワークツールである、といえます。

働くシチュエーションや職種ニーズによって使い分けられるさまざまなソリューションを展開しているので、詳しくはサービスページをご覧ください。製品資料の無料ダウンロードもこちらから行えます。

おすすめポイント① ASP/SaaS情報開示制度に認定

おすすめポイント① ASP/SaaS情報開示制度に認定

ASP・SaaSは、インターネットを通じてアプリケーションの提供を受けるサービスです。インターネット回線を利用する際に、自社ではなくサービスの提供者が管理するデータセンターにサーバーを保管することで、自社情報システムの保守や管理負担が軽減されるといったメリットがあります。

認定制度名称:ASP ・SaaS安全・信頼性に係る情報開示認定制度

審査機関:

サービスの名称:V-CUBE

認定番号:第0108-1012号

おすすめポイント② IPアドレス制限による強固なセキュリティ対策

V-CUBEの提供するサービスでは、Web会議・テレビ会議に参加できる参加者のIPアドレスを指定することができます。

IPアドレスからのアクセスを制限することで不正やアクセスを防ぎ、より強固なセキュリティ環境でWeb会議をご利用になれます。

おすすめポイント② IPアドレス制限による強固なセキュリティ対策

また、より強固なセキュリティをお求めのお客様には、自社内にシステムを構築する「オンプレミス型」のサービスも提供しています。

2. WebEx Meeting Center

2. WebEx Meeting Center

出典:WebEx Meeting Center

WebEx Meeting Centerは、シスコシステムズ合同会社が提供している、1会議室あたりの最大接続数が500名を誇るテレワークツールです。

高品質・高音声なWeb会議システム・テレビ会議システムには、それぞれチャット機能、デスクトップ共有機能などが備わっており、アプリケーションをダウンロードすればどこでも使うことができるSaaSモデルの遠隔コミュニケーションツールとして活用されています。

表示可能な参加者映像は7つに止まりますが、社内研修や告知など、発言者数が比較的少ない講義形式の遠隔コミュニケーションには最適と言えるでしょう。

▼サービス詳細を見てみる
WebEx Meeting Center

3. FleshVoice

fleshvoice

出典:FleshVoice

エイネット株式会社が提供する『FreshVoice』は、一般企業はもちろん、銀行や行政機関など、国内4,000社以上に導入されています。 Web会議開催までは、たった3クリック。もちろんパソコンだけでなく、スマートフォンやタブレットからWeb会議に参加することもできます。

同時接続は最大200拠点まで可能なため、支社の多い企業や、国内外に拠点を持つ企業にもおすすめであるといえます。

▼サービス詳細を見てみる
FleshVoice 

まとめ|自社のテレワークセキュリティガイドラインで万全な対策を

まとめ|自社のテレワークセキュリティガイドラインで万全な対策を

テレワークは今後、業種業態を問わず、あらゆる企業にとってますます重要になっていくのは間違いありません。

テレワークは、生産性の向上による企業競争力の強化はもとより、個々人のライフスタイルに応じた柔軟かつバランスのとれた働き方の実現に貢献。また雇用創出や地域振興、防災・環境対策等にも大きなインパクトを与える可能性を秘めています。

多様な人々が、創造的な力を効率的に発揮できる社会を作り上げていくために、テレワークに向けた取り組みは加速化していくでしょう。

そんな中で、自社におけるセキュリティ対策を見直すことは非常に重要な施策です。現状のセキュリティ対策がどの程度実施されているか、また不足しているポイントは何かを見極めながら、テレワーク環境の整備に力を入れていきましょう。

この記事が少しでもお役に立てましたら幸いです。

山田 陽一
著者情報山田 陽一

デザイン制作会社、広告代理店、フリーランスを経てブイキューブへ入社。社会の働き方の変化を実感し、ブイキューブの活動に共感。ブイキューブサービスを世の中に広く伝えるため、マーケティング プロモーション周りのディレクション・デザインを担当。

企業の課題解決に、まずはテレワーク導入の一手を

企業の課題解決に「やることはたくさんあるけど何から手をつければ良いかが分からない・・・」そうお困りの企業担当者さまも多いことでしょう。

そのような課題解決の一手として導入を検討していきたいのが、テレワークです。テレワークとは、パソコンやスマートフォンなどICT技術を活用した場所や時間にとらわれない柔軟な働き方のことですが、テレワークの導入で、

  •  災害や感染症の蔓延時にも通常と同じように業務を継続できる
  •  通勤や移動の時間を有効活用し、大幅なコスト削減につながる
  •  介護や育児の選択肢も増えるので、社員を持続的に雇用でき、優秀な働き手の採用・確保が可能になる
  •  プライベートが充実し、労働力意欲の向上、仕事への満足度が上がる

といったメリットがあります。

本当に自社でテレワークを導入すべきかどうかを判断するためにも、 「ゼロから学べるテレワーク導入完全ガイド」を読んでみましょう。資料は無料で忙しい方でもすぐに読むことができます。

新規CTA

無料の資料ダウンロードはこちら