昨今、テレワークの普及に伴い、情報セキュリティの重要性が一層高まっています。しかし、テレワークを脅かす要因として、マルウェア感染や不正アクセス、端末の紛失・盗難、情報の盗聴といったリスクが存在します。

現にコロナ禍によるテレワークの急速な普及に伴い、2021年以降「テレワーク等のニューノーマルな働き方を狙った攻撃」がIPA 独立行政法人 情報処理推進機構の情報セキュリティ10大脅威[組織]で毎年報告されています。

実際の被害例としては、VPN製品などの機器や従業員の利用しているPCのOS やアプリケーションが最新化されていないことによる脆弱性をついた攻撃や、公共の場でのPC利用時に盗み見といった盗聴からの情報流出などがあります。

これらの被害を防ぐには、経営者・システム管理者・従業員それぞれが適切な対策を取る必要があります。今回はその中でも代表的な対策を、経営者・システム管理者・従業員の３つの視点からご紹介します。

テレワーク中の従業員に対しては、通常のオフィス勤務とは異なり、セキュリティに対するガバナンスが及ばず、意図しない情報セキュリティ事故を引き起こす可能性があります。

情報セキュリティ事故は、企業の信用を失墜させ、事業継続に深刻な影響を与える可能性がある危機です。それに対する経営者の役割はとても重要なものといえます。情報セキュリティ事故が発生した際の組織体制の構築や予算の確保といった対策はもとより、情報セキュリティ事故を未然に防ぐことが重要といえます。

多くの情報セキュリティ事故は人為的なミスや不注意によるものです。これを防ぐためには、全従業員がセキュリティ意識を持ち、適切な対応方法を知ることが不可欠です。

そのため、この問題に対する有効な対策としてセキュリティ教育の実施について紹介します。

定期的な教育の実施

セキュリティへの理解と意識の向上を図るため、定期的なセキュリティ研修を実施します。経営者として従業員に対して研修参加を呼び掛けるだけでなく、従来の集合研修方式の他に、Web会議ツールを活用したオンラインの研修といった研修を受講しやすい体制を作ることで、従業員の研修参加率を高めます。

eラーニングの活用

自主学習ができるeラーニングシステムを導入し、各自のペースで学んでもらいます。集合研修と異なり、従業員は自分のペースで学習できるため、仕事の合間など時間の調整が容易です。テレワークでも参加しやすく、特に離れた場所にいる従業員にとって有効です。

また、物理的な会議室や講師の手配が不要で、時間や場所に縛られないことが特徴です。

テストと評価

研修後には理解度テストを行い、習得状況を確認し、システム管理者や管理職に対して必要なフォローアップを実施するように指示します。

これらの従業員への継続的な教育は、企業全体のセキュリティガバナンスの強化に繋がります。

テレワーク実施時のセキュリティ対策、とりわけ外部からの脅威に対してシステム管理者の果たす責任は大きいです。多くのサイバー攻撃はソフトウェアやネットワークなどの脆弱性を突いたものがほとんどです。ここでは、この問題に対する対策として脆弱性管理について紹介します。

ソフトウェアの最新状態維持

テレワーク端末（PCやタブレットなど）のOSやアプリケーション、オフィスネットワークにアクセスする際に必要となるVPN機器のファームウェアやリモートデスクトップアプリケーションは、常に最新の状態に保つことが重要です。新しいアップデートの情報を確認し、速やかに対応するようにします。

資産管理ツールの活用

資産管理ツールを活用することにより、テレワーク端末やネットワーク機器の状態を一元的に把握することができます。これにより、新しいアップデートが必要な機器を速やかに特定し、必要なセキュリティアップデートを一律に配布することで、管理下の機器を最新の状態に保つことができます。

また、テレワーク端末に対して、業務に不必要なアプリケーションのインストールを制御することで、攻撃の入り口を最小限にし、管理の手間も抑えられます。

NTTコムウェアのゼロトラスト型セキュリティサービスなら業務用PCの管理やインターネット通信の制御などの対策も可能です。詳しくは以下バナーからご覧ください。

悪意のあるソフトウェアへの対策

テレワーク端末のソフトウェアを最新に保つことはもちろんですが、そもそも、マルウェアなどの悪意のあるソフトウェアから端末を守るため、危険なサイトへのアクセスを防ぐことが重要です。インターネットフィルタリングの設定を行うことで、テレワーク中に従業員が意図せず危険なサイトにアクセスするリスクを低減できます。

脆弱性管理は地道な作業ですが、長期的なリスクを未然に防ぐために欠かせない取り組みです。

テレワーク作業中は会社の管理が及ばないことがあるため、情報資産の管理責任は従業員自ら負うということを自覚し、会社が定める情報セキュリティポリシーに沿った行動を心がける必要があります。

テレワーク時はノートPCやタブレットなど、モバイル端末で情報資産を扱うことが多く、会社での作業よりも端末の紛失・盗難による情報事故の可能性が高くなります。ここでは、端末に関するセキュリティ対策について紹介します。

端末の紛失・盗難対策

テレワークでは、自宅やカフェなどオフィス以外の場所で仕事をすることが多くなります。そのため、端末の紛失・盗難のリスクが高まります。対策として、まず端末のロック機能を必ず設定しましょう。画面を閉じたときや一定時間放置したときに自動的にロックがかかるように設定するのがおすすめです。

また、紛失や盗難時には端末の遠隔ロックやデータを削除できるような機能も利用すると良いでしょう。スマートタグによる紛失対策もおすすめです。

データの暗号化

営業資料や顧客情報など、外部に漏れると大きな問題となるデータは必ず暗号化して保存しましょう。暗号化を行うことで、仮に端末の紛失・盗難があっても第三者がデータを読み取ることが難しくなります。

多くの端末にはデフォルトでHDDやSSDといった記憶媒体の暗号化機能が搭載されています。また、ファイル単位での暗号化ソフトウェアの使用もおすすめです。

覗き見防止

カフェや新幹線など公共の場所で作業をする際、他人に画面を覗き見されるリスクがあります。これを防ぐために、専用のプライバシーフィルターを装着することをおすすめします。プライバシーフィルターを使うことで、真正面以外の角度からは画面が見えにくくなります。

また、できるだけ背後に人が通らない場所や、壁際などの視線が気にならない場所で作業するように工夫しましょう。

テレワークのセキュリティ対策として、経営者には教育、システム管理者には脆弱性管理、従業員には端末管理の3つの対策をご紹介しました。もちろん、テレワークのセキュリティ対策はこれ以外にも多岐に渡ります。

詳しくは総務省の「テレワークセキュリティガイドライン」や「中小企業等担当者向けテレワークセキュリティの手引き（チェックリスト）確保」を参考にすると良いでしょう。

これらの対策は専門知識を要求するものも多く、自社のリソースだけで十全に実施できない場合もあるかもしれません。その場合はセキュリティの専門会社を利用しながら対策を進めることをお勧めします。

NTTコムウェアでは、これらのセキュリティ対策をさらに強化するために、ゼロトラスト型セキュリティサービスを提供しています。

ゼロトラスト型セキュリティモデルは、「すべてを信頼せず、常に確認する」という原則に基づき、ネットワーク内外を問わず、すべてのアクセスに対して認証と検証を行うことを目的としています。

これにより、セキュリティの堅牢性が飛躍的に向上し、企業の情報資産を守ることができます。ぜひ、NTTコムウェアのゼロトラスト型セキュリティについてもご検討ください。

→まずは、NTTコムウェアのゼロトラスト型セキュリティをご確認ください。