テレワークを行う上でのセキュリティについては、経営者側、システム管理者側、テレワーク勤務者側の3つの立場からそれぞれの施策を実施する必要があります。

ここでは総務省が公表しているガイドラインを参考に、テレワークのセキュリティ方針についてご紹介します。

経営者：運用ルールと社員教育の必要性

まずは経営者の立場からテレワークのセキュリティについて解説をしていきます。

経営者としては、セキュリティ保全のために、テレワークの運用ルールを作り、社員教育を行う必要があります。

テレワークを進める中で、その都度、安全かどうかを確認しながら実施することは非常に効率が悪くなります。そのため、この手順で作業をすれば安全に業務が推進できる、という運用ルールを固めて、それを社員に教育してくことが現実的です。

また、テレワークを安全に実施していくためにシステムの利用を避けることはできません。サイバー攻撃の手口は年々高度化しており、組織的に行われることも珍しくない状況です。

テレワークの拡大をきっかけに、ゼロトラストセキュリティへの移行や従来からの境界型セキュリティを強化するなど、セキュリティ対策の方針と投資について、自社の方向性を考え、意思決定をすることも重要な役割だと言えます。

システム管理者：セキュリティ施策の実行

システム管理者は、テレワークでのセキュリティにどう向き合うべきなのでしょうか。

企業には、漏えいを許されない機密情報や個人情報がたくさん存在しています。また、企業を狙ったサイバー攻撃も日々、進化をし続けており、テレワークを狙った攻撃も増えています。

セキュリティの安全性が損なわれてしまうと、社内システムへの不正アクセスや不正侵入の可能性を高めてしまいます。

システム管理者は、自社にテレワーク環境に最適なセキュリティ対策の設計を経営者に提案し、意思決定された施策を実行するだけではなく、環境の変化にあわせて実施施策を更新し続けることが重要です。

従業員：セキュリティリスクの理解と行動

テレワークで働く従業員の方は、テレワークによるセキュリティリスクを十分に理解してから業務を行う必要があります。

インターネットを経由して社内データにアクセスするテレワークの働き方を行う上で、外部への情報漏えいを防ぐための意識付けをする必要があります。

例えば従業員の一人が身に覚えのないメールや添付ファイルなどを不用意に開いてしまうことで、社内ネットワークにマルウェアやスパイウェアなどが侵入してしまう原因にもなります。

また自宅でテレワークを行う環境でのセキュリティ対策も必要となります。自宅でテレワークに利用する端末には、社内ルールで定められたネットワーク環境の設定などを行う必要があります。

参考：総務省｜テレワークにおけるセキュリティ確保

テレワークを行う上では、情報漏えいに関するセキュリティリスクが考えられます。

情報が漏えいしてしまう大きな原因としては、大きく分けて環境に起因する原因と人に起因する原因の2つがあります。

ここではそれぞれの原因について詳しくご紹介します。

環境に起因する原因

環境に起因する原因としては、大きく分けてネットワーク回線と端末が原因による情報漏えいのリスクであることが特徴です。

• セキュリティ対策が万全でないネットワークからの接続による情報漏えいのリスク
• クラウドサービスからの情報漏えいのリスク
• 業務に利用する端末のウイルス感染による情報漏えいのリスク
• 外出先の無料Wi-Fiや無線LANの利用による情報漏えいのリスク
• 家庭内の機器がウイルスに感染していることによる情報漏えいのリスク
• サイバー攻撃による情報漏えいのリスク

これらのリスクを防ぐために、会社として常日頃からセキュリティリスクに備え、サービスや端末のバージョンや利用状況などをこまめに確認しておくことが大切です。

人に起因する原因

テレワークにおける人に起因する原因の一例としては、次のようなものが挙げられます。

• 社内運用規定の不備によるリスク
• 社員教育の不備によるリスク
• 社用端末を持ち運ぶことにより起きる機器の紛失や盗難被害等のリスク
• 従業員による社内の情報の持ち出しなど、内部不正のリスク

上記に挙げたような、人に起因するリスクについては従業員一人ひとりのセキュリティに対する強い意識付けをすることによって改善していくことができます。

ただし人為的なミスは完全に防ぐことが難しくもあるため、社内の制度や仕組みを整え、ヒューマンエラーが発生し得ない体制をつくることが大切となります。

テレワークを実施するにあたりセキュリティ対策を十分にしておかなければ、外部からのコンピューターへの攻撃ウイルス感染・情報漏えいなどのリスクが伴います。

企業がセキュリティ対策を行うことはそもそも必須ですが、テレワークにおいて特に重要な4つの対策についてご紹介します。

運用ルールの設定

テレワークを実施する際には、社内で運用ルールを設定しましょう。運用ルールの一例としては次のようなものがあります。

• USBメモリーや紙などの社内情報を極力社外へ持ち出さないこと
• 企業側がテレワークに利用するWi-Fi環境を準備し、極力フリーWi-Fiを使用しないこと
• クラウドサービスを利用する際には解読されにくいパスワードを設定し、定期的に更新をすること
• 二段階認証やIPアドレスによる端末制限などのセキュリティ対策を実施すること
• 派遣社員や外部の契約社員がテレワークをする際には別途規定を定めること

テレワークの導入は働き方の改善を促し、生産性の向上へとつながります。

テレワークに関する運用ルールは社内で明文化・マニュアル化し、従業員が常に閲覧できるようにしておくと良いでしょう。

定期的な社内監査の実施

テレワークを実施する場合、定期的に社内監査を実施するようにしましょう。

社内監査というのは、第三者的に自社の拠点や従業員をそれぞれ確認していくことです。

担当部署が実際に本社以外の拠点も含めて運用ルールが守られているのかを直接チェックをしに行ったり、テレワークで利用するサーバーやネットワークに問題がないか確認をします。

セキュリティの担当者は、総務省のガイドラインなどを参考に、自社のセキュリティ・チェックリストを作成しておいて、それに合わせて運用をすることなどが挙げられます。

社員教育の徹底

テレワークを導入するために社員への教育を徹底し、テレワークへのセキュリティに関する理解を深めるようにしましょう。

テレワークに関する社員教育の一例としては、次のようなものがあります。

• テレワーク従事者に向けてセミナーを実施する
• 動画やEラーニングを活用してテレワークへの理解を深める
• テレワークを実施することに関する誓約書を導入する
• 情報漏えいに関する基礎知識をつける
• 社内でのWeb会議にはカフェなどの公衆の場から参加しないようにする
• 公共無線LANや無料Wi-Fiを使用する際にはVPN接続を利用する
• テレワークに利用する自宅のWi-Fiルーターは最新のものにアップデートする
• テレワークに利用する端末のセキュリティソフトは最新版にアップデートする
• テレワークに利用するPCに届いた不審なメールや見覚えのないメールは開かないようにする
• 社内の情報が入ったUSBメモリーや紙媒体の紛失防止に努める
• 個人端末を社内利用する際にはルールに従って取り扱うようにする

テレワーク環境でセキュリティに関する社員教育を行うに当たり、社内で勉強会や講座を開いて教育のための時間を設けるとよいでしょう。

セキュリティ環境の技術面での対策

テレワークにおいて技術面の観点からも対策を行うことが大切です。

具体的には、社内のデータを自分の端末で保有できない仕組みを構築したり、VPN接続やVDIなどの環境整備、リモートデスクトップツールを導入など、技術面での施策は非常に重要です。

今回の記事ではテレワークを行う上でのセキュリティに関するリスクや対策についてご紹介しました。

テレワークで作業する上では、社内のデータや社内端末を安全に取り扱えるよう、万全なセキュリティ対策を行うことが非常に大切になります。

今回の記事を読んで十分なセキュリティ対策を行い、安全にテレワークを実施するようにしましょう。

なお、弊社では自社のセキュリティ状況やテレワーク環境、コミュニケーション環境を簡単に把握できる「STC診断」をオンラインで無料公開しています。よろしければ、以下よりお試しください。