特集 情シス事情を知る
テレワークにおけるセキュリティ不安とその対策
~ IPA調査から読み解く ~
2021年4月
新型コロナウイルス感染拡大に伴う緊急事態宣言が出され、テレワークを導入する企業が一気に増加したが、自宅のICT環境は十分な安全性が確保されていない場合も多い。そこでIPAはテレワーク環境を対象としたセキュリティに関するアンケート調査を実施し、一部を中間報告として公開している。今回はこのアンケート結果をもとに、今後のテレワーク環境を見据えたセキュリティの在り方を考察する。
コロナ禍で、テレワークはどれだけ導入されたのか
2020年4月に一度目の緊急事態宣言が出され、長期間の外出自粛が求められる中で多くの企業がテレワークを導入した。その後、テレワークはどのように推移しているのだろうか。
独立行政法人情報処理推進機構(IPA)が2021年1月28日に更新した「テレワークの実施における不安に関する調査結果(個人編 中間報告)」によれば、テレワーク実施経験者が勤務する企業のうち約6割が緊急事態宣言後にテレワークを導入している。
また、2020年10月31日時点でテレワークを実施している企業も約6割だ。その頃は、緊急事態宣言が解除されていた時期である。事業継続のための一時的措置として導入されたかに見えたテレワークだが、いわゆるニューノーマルの働き方として定着してきたことが見てとれる。
実際に別の設問では、テレワーク導入企業に勤務している従業員のうち5割以上が週3回以上のテレワークを実施していると答えている。
セキュリティなどのリスクに対する不安はあるのか
ただし、テレワークにまったく課題がないわけではない。基本的に完全テレワークを行っている従業員のうちの約5割が、セキュリティインシデントによりPCやスマートフォンが使えなくなった場合に、マニュアルが参照できないことへの不安を示している。また、週2回以下のテレワーク実施者もセキュリティインシデント発生時の対処方法がわからないことが不安であると回答している。
このようにテレワークを実施する頻度によって差はあるものの、セキュリティインシデント発生時の対応に多くの従業員が不安を感じているのが実情だ。
具体的にどんなセキュリティインシデントが発生することを危惧しているのだろうか。「テレワークの実施で不安に思うこと」という問いに対する回答として6割超の従業員が示した不安のトップ3は、端末の紛失(30.1%)、盗難(29.5%)、情報漏えい(25.1%)である。
切り口を少し変えた設問で、「個人端末を利用したテレワークで、自分の責任になってしまうのはないかと不安のあるセキュリティインシデント」という問いに対して寄せられた不安のトップ3は、ウイルス感染(39.1%)、情報漏えい(34.7%)、端末の紛失(27.3%)となっている。
同様に「会社支給端末を利用したテレワークで、自分の責任になってしまうのはないかと不安のあるセキュリティインシデント」という問いに対して寄せられた不安のトップ3は、ウイルス感染(35.4%)、端末の紛失(34.9%)、情報漏えい(29.8%)だ。
また、自分だけでなくテレワークの導入拡大に伴う取引先のセキュリティ対策に不安を感じている従業員も5割を超えている。内訳を見ると、情報漏えい時の経路が判明のしにくさに不安を感じている人が27.1%で最多となっており、テレワークにおけるリスクを多面的に捉えていく必要がある。
テレワークへの不安はどう払拭すればいいのか
テレワークに対する上記のような不安を解消するために、従業員が安心できるセキュリティ対策を施すことが急務だ。
とはいえ、新型コロナウイルスの感染拡大に伴い発出された緊急事態宣言に対する一時的措置として始まった経緯もあり、本格的なテレワーク環境が整備されていないケースも多く、まずは従業員自身にセキュリティ対策を強く意識させる必要がある。
IPAでは、日常における情報セキュリティ対策として、個人端末の利用者に対して、以下の事項を常に留意するよう促している。
- 修正プログラムの適用
- セキュリティソフトの導入および定義ファイルの最新化
- パスワードの適切な設定と管理
- 不審なメールに注意
- USBメモリなどの取り扱いの注意
- 社内ネットワークへの機器接続ルールの遵守
- ソフトウェアをインストールする際の注意
- パソコンなどの画面ロック機能の設定
また、テレワーク時に特に気をつけるべきこととして次のような注意事項を示している。
|
ただし、テレワークを行っている従業員は必ずしもITについて詳しい知識を持っているわけではないため、IT部門や部門内のアドミニストレーターが常に実施状況を確認しつつ適宜サポートを行う必要がある。
委託元と委託先の双方でポリシー/ルールを策定すべき
さらに自社のテレワークにおけるセキュリティ対策は、取引先からも注視されていることをしっかり認識しておく必要がある。取引先のセキュリティ対策に不安を感じている従業員も5割を超えていると前述したが、裏を返せば自社のセキュリティ対策も同様に取引先から不安視されている可能性があるのだ。
IPAが2020年11月から12月にかけて実施した「テレワークにおける実施およびルール策定の状況、実施に伴う業務委託に関する不安に関する調査結果」によれば、テレワーク実施時の社内規程・規則・手順などの課題として、社員の理解が不十分とする項目で委託元は47.7%であるのに対して委託先は27.4%にとどまっている。同様にルールが周知できていないとする項目でも委託元は36.7%であるのに対して委託先は19.7%にとどまる。
このようにテレワークのセキュリティ対策に関する従業員の理解やポリシー/ルールの周知について、委託元と委託先で課題認識にはかなり大きな差がある。委託先がテレワークを実施することに対する課題として、委託先からの情報漏洩を懸念する委託元の割合が33.2%で最多となっていることからもそれが見てとれる。
自分たちが他社からどう見られているのかは、ついおろそかになりがちなだけに注意を怠らずにいてほしい。
具体的にはテレワーク導入後のセキュリティインシデントへの対応策を以下に記載する。これらを基にポリシー/ルールを見直すとともに、委託元と委託先の双方で対応体制や手順の取り決めを行うことが肝要だ。
- セキュリティインシデント発生時の連絡体制(社外から問い合わせできる連絡先)
- セキュリティインシデント発生時の対応マニュアル
- 情報システム担当者のテレワークを念頭に置いた対応計画システム障害対策を含むIT-BCPの計画・体制
- セキュリティインシデント対応の教育訓練の内容
他社の取り組みに学ぶセキュリティ対策
テレワークのセキュリティ対策は広範囲に及ぶため完璧を期すのは容易ではないが、とにかく出来るところから始めることが重要である。 例えばテレワーク時の従業員が何らかの異常を感じた際に、即座にそれを伝える手段を用意することも効果的だ。ある企業は、すべての従業員が利用するWebポータルに「緊急連絡」というボタンを配備した。このボタンを押すと、社内のセキュリティ部門に即座に通知され、状況に応じた対策が行われる仕組みだ。この施策はテレワーク環境において一人で不安を抱えている従業員のストレスを解消することにも役立っている。
さらに一歩進んだ企業の間では、テレワークで利用する端末にEDR(Endpoint Detection and Response)というエンドポイントセキュリティ製品を導入するケースも増えている。これによりロケーションを意識することなく、セキュリティインシデントに対して迅速に調査や対処を行うことが可能となる。マルウェア感染した端末をリモートから論理的に切り離すこともでき、社内外への二次感染を防ぐ意味でも効果を発揮する。
また、仮想デスクトップサ―ビス(DaaS)やシンクライアント端末の活用もぜひ検討していただきたい対策の一つだ。端末には一切データが残らないため、万一の盗難・紛失時にもリスクは少なく、アンチウイルスや情報漏えい対策などの施策もセンター側から実施することができ、前述のIPAの調査結果にもあったような、「自分がセキュリティインシデントの責任を問われるのではないか」といった従業員の不安を解消することができる。
IT部門だけでは対応しきれない場合は外部のセキュリティ対策ベンダーの協力も受けながら、打てる手を確実に実行していただきたい。