ページの先頭です。
サイト内の現在位置を表示しています。
  1. ホーム
  2. ビズサプリ 情報システムポータル
  3. 情シス事情を知る
  4. 働き方改革を加速させるために実践すべき「モバイル端末持ち出し7箇条」
ここから本文です。

特集 情シス事情を知る

持ち出し禁止はもう時代遅れ!?
働き方改革を加速させるために実践すべき「モバイル端末持ち出し7箇条」

2019年11月

多様な社員の価値観を尊重した働き方を認め、業務効率の改善や生産性向上を図る。いわゆる働き方改革を多くの企業が推進している。その筆頭がテレワークだ。テレワークではモバイル端末(ノートPC・スマホ・タブレット端末など)の持ち出しが必須事項となり、セキュリティが十分に整備されていないまま見切り発車してしまうと、情報漏えいや不正アクセスなどのリスクが増大する恐れがある。そんなことにならないために、陣頭指揮に立つ情報システム部門が主導すべきセキュリティ対策をまとめておく。

広がるテレワーク。モバイル端末での仕事は必須の時代に

働き方改革が叫ばれる中で注目されるテレワークだが、厳密には働く場所によって「在宅勤務」「モバイルワーク」「サテライトオフィス」の3つに分けられる。その中から今回フォーカスするのは、文字どおり移動先で仕事することを意味するモバイルワークだ。

総務省が公開した「平成29年通信利用動向調査」によると、企業におけるテレワークの導入率は13.9%となっているが、そのうちモバイルワーク導入率は過半数を超えた56.4%となっている。営業やサービス要員など、社外フィールドを主な働き場所としている人は非常に多いだけに、今後ますますモバイルワークは拡大していくと予想されている。

とはいえ、社員がモバイル端末を外に持ち出して仕事をすることには、さまざまなセキュリティリスクが伴うのも現実だ。

飲食事業を手がけるX社に起こったインシデントの例を紹介しておきたい。

1人の社員が訪問先にノートPCを置き忘れて紛失してしまったのだが、悪いことにこのノートPCに数万件の顧客の個人情報が保存されていたというものだ。X社は即座に警察当局に届けると共に、遠隔操作でパスワードを複雑なものに変更するなどの対処を行った。しかし、いまだにノートPCの発見には至っていないため、今後個人情報の流出や不正利用などの深刻な事態に発展する可能性は払拭できない。

ところで、X社の社員がノートPCを置き忘れさえしなければこのような問題は発生しなかったのかというと、実はそうではない。モバイルワークには、次のようなセキュリティの“落とし穴”があり、実際にインシデントも起こっているのだ。

モバイルワークにおけるセキュリティインシデント例

  • フリーのWi-Fiスポット(公衆無線 LAN)などからインターネットにつなぎ、電子メールの送受を行っていたところ、添付したファイルに書かれていた秘密情報が競合企業に知られてしまった。
  • カフェで未発表の新製品に関するプレゼンテーション資料を作成していたところ、何者かにその画面を撮影され、SNSで拡散されてしまった。
  • インターネットから社内システムへのアクセスは従業員が利用するモバイル端末のみに制限していたが、そのうちの1台のモバイル端末に潜伏していたマルウェアが社内システムに侵入。サーバで管理していた顧客情報が流出してしまった。

情報漏えい事件はどうすれば防げたのか

上記のようなセキュリティインシデントは、どのような事前対策をとっておけば防ぐことができたのだろうか。総務省が発行した『テレワークセキュリティガイドライン』では、「ルール」「人」「技術」を三位一体とした対策の必要性を強く訴えている。

1つめの「ルール」は、セキュリティポリシーとも呼ばれるものだ。セキュリティを担保するための正しいルールが全社的に定められていれば、社員はそれを遵守することで安全に仕事を進めることができまる。もっとも、モバイルワークについてはオフィスとは異なる環境で仕事を行うことになるため、その形態にあわせた新たなルールづくりが必要となる。

2つめの「人」は、情報セキュリティ対策で最も重要なものであり、同時に最も困難なものである。先のようなルールを定めても、実際にモバイルワークを活用する従業員やシステムの運用管理者がルールを守らなければ、効果はまったく発揮されないからだ。継続的な教育や自己啓発を通じて、ルールを遵守することが自分にとってのメリットとなることをしっかり自覚してもらうことが重要だ。

そして「ルール」と「人」を補完する要素として、3つめの「技術」が位置付けられる。多様な脅威に対して「認証」「検知」「制御」「防御」のセキュリティ対策を複合的に実施することが、ここでの基本となる。

この3点を踏まえつつ、先に挙げたモバイルワークにおけるセキュリティの“落とし穴”への対策を以下に紹介しておく。

モバイルワークのセキュリティ対策

モバイル端末の紛失や盗難による情報漏えいへの対策

モバイルワークの社員には、本体内にデータを保持しない端末(シンクライアント)を用意するのが安心だ。「リモートデスクトップ方式」「仮想デスクトップ方式」「クラウド型アプリ方式」などがある。ただし、これらの端末は携帯電話回線やWi-Fiの電波が届かない場所では利用できなくなってしまう。オフラインでも仕事をする必要がある場合、必要最小限のデータを端末に残すしかないが、必ず暗号化は行っておくべきである。あわせてリモートワイプ(遠隔から端末内の情報を消去)やリモートロック(遠隔から端末を施錠)の機能を導入しておきたい。

通信の盗聴による情報漏えいへの対策

パスワードの設定されていないフリーWi-Fiスポットなどからインターネットに接続する場合、同時に利用している他者に通信内容を傍受される恐れがある。また、ホテルで提供されている無線LANサービスなど、仮にパスワードが設定されていてもそのパスワードは不特定の宿泊者に公開されているため安心とは言えない。基本的にこうした通信環境下でのインターネット接続は避けるべきだ。移動先から社内ネットワークにアクセスする際は必ずVPNサービスを用いる。メールを送受信する際も添付ファイルは必ず暗号化すべきである。

モバイル端末の覗き見による情報漏えいへの対策

他人の視線のある環境でモバイルワークを行う場合、端末にプライバシーフィルターを装着することで覗き見を防ぐことができる。また、最近のノートPCの中には顔認証機能を搭載し、他人の覗き見を検知すると警告を発するものもある。

マルウェア感染による情報漏えいへの対策

モバイル端末がマルウェア感染の「踏み台」となることを防ぐためには、エンドポイントのセキュリティ対策が欠かせない。具体的にはウイルス対策ソフトを導入して最新のシグネチャーで感染を防止すると共に、ファイアウォール機能を有効活用して外部からの不正侵入を防ぐ対策が求められる。また、システム管理者はモバイル端末から社内ネットワークへのアクセスログを継続的に分析し、不審な振る舞いを検知する必要がある。

モバイル端末持ち出しで守るべきこと

まとめとして、モバイル端末を社外に持ち出す際に守るべき「7箇条」を以下に示しておく。モバイルワークを行う社員に丸投げするのではなく、これらの条件がしっかり守られ、実行されているかどうか、必ず情報システム部門がチェックを行うこと。また、必要に応じてアドバイスやサポートを行うことが重要である。

なお、情報漏えいなどのセキュリティインシデントを恐れるあまり、モバイル端末の社外持ち出しを禁止するのは避けるべきである。これからの働き方にそぐわないだけでなく、社員の生産性向上に歯止めをかけることにもなりかねないからだ。

セキュリティの脅威を完全に防ぐことは不可能だが、事前対策をしっかり行えば、インシデントの発生を限りなくゼロに近いレベルに抑えることは可能だ。一人ひとりの社員に対して、より働きやすく、持てる能力を最大限に発揮できるモバイルワークの環境を提供するため、情報システム部門が陣頭指揮をとり、安全にモバイル端末を持ち出しできる体制を築いていくことが肝要だ。

ビズサプリ 情報システムポータル

    ページ共通メニューここまで。

    ページの先頭へ戻る