ページの先頭です。
サイト内の現在位置を表示しています。
  1. ホーム
  2. ビズサプリ 情報システムポータル
  3. 情シス事情を知る
  4. 多様化するワークスタイルを支えるセキュリティ担保術
ここから本文です。

特集 情シス事情を知る

多様化するワークスタイルを支えるセキュリティ担保術

2016年11月

仕事と生活を両立させるワークライフバランスなど、従業員の多様な働き方をいかに実現するかが企業に求められている。その一方、IT担当者など管理の目が届きにくい自宅などから社内システムにアクセスして業務を行うテレワークを進める上で欠かせないのが情報セキュリティだ。システム的な対策やテレワーク勤務者の意識改革の必要性など、新たなワークスタイルを支えるセキュリティ担保術を考える。

企業の課題解決に向けてテレワークに着目

多様なワークスタイルを実現する手段の1つとして、テレワークに着目する中堅中小企業は少なくない。総務省「テレワーク優良導入モデル(導入支援事例集)」によれば、企業の主な導入目的は「生産性・効率性の向上」、「有能・多様な人材の確保」、「企業運営コストの削減」、「非常時の事業継続対策」などとなっており、企業の課題解決に向けてテレワークをうまく活用しようという経営者の姿勢がうかがえる。

また、テレワークで導入した主なシステムは、PCアクセス(仮想デスクトップなど)、業務支援(クラウドサービス型グループウェア、オンラインストレージなど)、コミュニケーション(Web会議システムなど)、セキュリティ(暗号通信など)となっており、リモートでの働き方を支援するICT環境の整備が欠かせない。そして、テレワークの効果として、顧客との対面時間を増やして受注件数を増加できた、クラウドサービスとインターネットを活用することで時間と場所の制約なく業務が行えるようになった、という例が挙げられている。

オフィスとテレワークで異なるセキュリティレベル

在宅勤務やモバイルを活用するテレワークでは情報セキュリティが不可欠になるが、対策を考える上でいくつか注意が必要だ。従来のオフィスのセキュリティ対策と、テレワークのセキュリティ対策では脅威のレベルも異なるからだ。例えば、情報の収集・交換やメールのやり取りなど業務に欠かせないインターネット。社内とインターネットの出入口となるゲートウェイレベルで全社的なセキュリティ対策を講じるオフィスと異なり、テレワークでは個人の端末レベルでウイルス対策や不正アクセス対策などを行う必要がある。

また、テレワークを行う従業員によって業務内容が異なることもある。個人情報など重要データを在宅勤務で扱う従業員に対しては、より高いセキュリティが必要になる。だが、IT担当者や管理者の目が行き届きにくい在宅勤務の場合、いくらセキュリティ対策を講じても、従業員の不注意やセキュリティ意識の低さから情報漏えいなどが起こるリスクもある。

そこでテレワークの情報セキュリティ対策は、「システム」「利用環境」「勤務者」の3つの観点から考える必要がある。システムは、ウイルスや不正アクセス、情報漏えいなどの脅威から企業の情報資産を保護する上で必要なシステムやネットワークを含め技術的な対策を講じる。利用環境は、在宅勤務で利用する端末は家族にも使わせない、外出先で端末を操作する場合にも第三者に盗み見されないといったテレワークを行う際のルールを定める。そして、テレワーク勤務者に対しては、ルールを順守し、情報セキュリティを徹底するための教育・啓発活動を行うといった対策が必要になる。

ウイルス感染や情報漏えいのリスクが顕在化

それでは、具体的な脅威と対策を考えてみよう。総務省の「テレワークセキュリティガイドライン」(注)に代表的な脅威の事例が示されている。オフィスのノートPCを自宅に持ち帰ってインターネットに接続したが、ウイルス対策ソフトの定義ファイルを最新のものに更新していなかったため、新種のウイルスに感染。そのまま、社内LANに接続してウイルスを蔓延させた例や、ウイルスが原因で個人用端末に保存した機密データが流失した例もあるという。また、自宅の無線LANの暗号化を設定せずに使用し、業務で利用していた電子メールの内容が漏えいした事例も報告されている。

また、こういった在宅勤務に限らず、モバイルを活用した形での多様なワークスタイルも広がりつつある。だが、モバイルを利用して社外から業務報告書などを送信する場合は、ウイルス感染や情報漏えいなどのセキュリティインシデントへの十分な対策が必要だ。

データ暗号化などシステム面でセキュリティ対策を強化

まず、ゲートウェイレベルでウイルス対策を講じている企業でも、社内ネットワークのセキュリティ対策が欠かせない。万一、従業員が自宅でウイルス感染した端末を社内ネットワークに接続した場合、ゲートウェイレベルでは検知できないからだ。そのため、社内ネットワーク上でウイルスを検知・駆除する仕組みを導入するといった対策が求められる。

また、端末や外部記録デバイスの盗難・紛失、端末の盗み見などによる情報漏えい防止策としてデータ暗号化を行うほか、端末やシステムの不正利用を防ぐユーザー認証、推測されにくいID、パスワードの設定と定期的な変更に加え、無線LANの暗号化機能の設定、社外のユーザーと社内システムを結ぶ通信経路を暗号化するVPNなどの活用が対策として挙げられる。

万一、テレワークで利用している端末がウイルスに感染してしまった場合、どのように対処すればよいか。まず、感染端末をネットワーク(有線LAN、無線LAN)から隔離する。次に端末にインストールしているウイルス対策ソフトでスキャンし、ウイルスのタイプを確認。ウイルス感染の原因となったメールや、インターネットからダウンロードしたファイルを削除した後、ウイルス対策ベンダーが用意する駆除ツールを使ってウイルスを駆除する。ウイルスによって変更された端末の設定などを修復するといった対処も必要だ。こうした手順はウイルス対策ソフトベンダーのホームページなどに公表されている。

また、テレワーク勤務者のウイルス感染を防ぐシステム的な対策としては、自宅の私用端末、オフィスの持ち出し用端末を問わず、社外で使用する端末のウイルス対策の定義ファイル更新を徹底するとともに、メールの添付ファイルやインターネットからダウンロードしたファイルを開く前にウイルス対策ソフトでチェックする必要がある。

クライアント端末の利用環境を考慮したルールを規定

テレワークのセキュリティ対策では、端末などの利用環境を考慮したルールづくりがポイントになる。テレワーク勤務者は自宅のほか、モバイルを介して交通機関やホテルのロビー、カフェなど社外の様々な場所で端末を使用することもあるからだ。

そして、悪意のある第三者に端末の情報を盗み見されることのないよう、端末の利用環境についてルールを定める。例えば不特定多数の人目に触れる場所で端末を使用する場合、盗み見されないように十分配慮する。さらに、業務用に貸与された端末を私用で使わない、IT担当者の許可なくソフトウェアをインストールしないといったルールを定める。また、私用の端末を業務で使用する場合、ウイルス対策ソフトなどのセキュリティ対策は会社の指示に従うこともルール化する。

そして、自宅やサテライトオフィスで端末を利用する際、本人以外の人が端末を操作できないよう、ログイン時やスクリーンセイバー解除時にパスワード認証と指紋などの生体認証を組み合わせて対策を講じるといったルールを定め、セキュリティを担保する方法もある。こうしたセキュリティ対策のほか、就業規則でテレワーク時の機密保持と違反時の罰則を規定するなど、利用環境の整備が必要になる。

従業員の意識改革やルールの徹底に欠かせない教育・啓発活動

オフィスではIT担当者や部門長などが従業員にルールを順守するよう管理することも可能だが、テレワークでは従業員自身がルールの管理責任者となる。いくらルールを規定しても、従業員がルールを守らなければリスクとなる。そこで、従業員の情報セキュリティに対する意識を改革し、ルールの順守を徹底するため、教育・啓発活動が重要になる。定期的なセキュリティの研修、部門レベルでの勉強会のほか、テレワーク勤務者向けにセキュリティのeラーニングを実施する方法もある。

研修、勉強会では、ウイルス感染や不正アクセス対策など従来の脅威の理解に加え、近年増え続けている標的型攻撃などのリスクを学習する必要があるだろう。不用意にメールの添付ファイルを開いて標的型攻撃の被害に遭わないよう、テレワーク勤務者を含め全社的に訓練する。そして、従業員の自宅の端末が踏み台となって企業が攻撃されることのないよう、システム的な対策とルールの徹底、従業員のセキュリティ教育の面から効果的な対策を検討したい。

注:総務省の「テレワークセキュリティガイドライン」

ページ共通メニューここまで。

ページの先頭へ戻る