「テレワーク(Tele-work)」を導入するにあたり、多くの企業が情報セキュリティに不安を感じるのではないでしょうか。近年はサイバー攻撃による情報漏えい事件が多発しており、外部ネットワークを使用する可能性もあるテレワークではそのリスクが特に大きくなるのではないかと懸念されています。
確かに、テレワークには情報セキュリティ対策が欠かせません。しかし、全ての企業が莫大な費用を投資し、高度な情報セキュリティ対策をする必要があるというわけではなく、企業ごとに最適な情報セキュリティ対策をとることが大切です。本稿ではそのヒントになるように、テレワークに必要な情報セキュリティ対策についてご紹介します。
テレワークにおける情報セキュリティリスクとは?
「情報漏えい」と聞くと、サイバー攻撃によって内部ネットワークに侵入され、サーバーから秘密裏に機密情報が収集・送信されていた、といった状況を想像する方が多いかもしれません。しかしながら、情報漏えいの大半はそうした外部からの脅威が原因になっているのではなく、不正やミスといった内部要因から発生するケースが多いのです。そのため、テレワーク導入企業はまず、テレワークに潜む情報セキュリティリスクを理解することが大切です。
リスク1. 情報セキュリティ対策不足の私用端末
テレワークでは従業員の私用端末を活用することが少なくありません。その際に、私用端末の情報セキュリティ対策が不十分であるがために、ウイルス感染によって企業の内部ネットワークに侵入されたり、機密情報が漏えいしたりするリスクがあります。
リスク2. 信頼性の低い無料Wi-Fi等への接続
現在では、Wi-Fiに接続できない場所は無いほど、無料Wi-Fiスポットが各地に設置されています。しかし、そうした無料Wi-Fiに接続したことでウイルスに感染したり、端末を遠隔操作されたりする事例が増えています。従業員がいつどこで信頼性の低い無料Wi-Fiに接続するかは予測できないため、テレワークのリスクの1つとなっています。
リスク3. 信頼性の低い場所での電源・有線LAN使用
近年、カフェに設置されている端末充電用電源や有線LANに接続したことで、そこに存在していた不正プログラムの影響を受けてしまう情報セキュリティ事件が増えています。テレワークのメリットは「どこでも仕事ができること」ですが、如何なる場所も安全とは限りません。
リスク4. 誤送信による情報漏えい、データ損失
メールでの誤送信等による情報漏えいやデータ損失は、意外と多いリスクです。テレワークでは情報システム部門が端末を直接的に管理できないことが多いため、誤送信が発生しやすくなります。
リスク5. 小型メディアの紛失・盗難
テレワークを導入すると、従業員がUSBフラッシュメモリなど小型メディアで情報を持ち歩くことが多くなります。持ち歩く、ということは紛失する可能性も、盗難に遭う可能性があります。小型故に紛失・盗難が発生しやすくなっているため、管理すべきリスクの1つです。
以上のように、テレワークではサイバー攻撃による情報漏えいの他にも、たくさんの情報セキュリティリスクがあります。むしろ、こうした組織内部に起因した情報セキュリティリスクの方が、危険性が高いケースもあるため、「リスクを理解する」というのがとても大切です。
テレワークに必要な情報セキュリティ対策
それでは、上記の情報セキュリティリスクを踏まえて、テレワークに必要な情報セキュリティ対策についてご紹介します。
情報セキュリティポリシーの設定と見直し
テレワークでは従来の情報セキュリティと変わる点も多いため、情報セキュリティポリシーを改めて設定し、それを定期的に見直すことが重要です。特に「機密情報の取り扱い」や「システムアクセス権限の範囲」など、情報漏えいに直接つながりやすいリスクに関しては、厳格な情報セキュリティポリシーを設定し、ポリシーの有効性を評価した上で継続的な見直しを行っていきます。どのような情報セキュリティ対策のシステムを導入したとしても、情報セキュリティポリシーがしっかりと設定されていないと情報漏えいはいとも簡単に発生してしまいます。
インシデント発生時の連絡体制の整備
情報漏えいというのは、何らかのトラブルが発生してからすぐに漏えいしたり、悪影響をあたえたりするものではありません。大切なのは、インシデント(ウイルス感染、誤送信、メディア紛失など)が発生してから如何に迅速に対処するかです。そのためには、インシデント発生時に素早く情報セキュリティ担当者に連絡するための、連絡体制を整備しておくことが大切です。
従業員に対する情報セキュリティ教育の実施
情報セキュリティというものは、従業員の意識改革を実施するだけでかなり高い効果を発揮します。特に、近年猛威を振るっている「標的型サイバー攻撃」に対しては、情報セキュリティ意識を向上するだけで大半の攻撃を防ぐことができます。組織の1人1人が高い情報セキュリティ意識を持っていれば、9割方のサイバー攻撃は未然に防げますし、内部要因によって情報漏えい等が発生する可能性もグッと下がります。
端末へのウイルス対策ソフトインストールを徹底
ウイルス対策ソフトは情報セキュリティ対策において、もっとも基本的な対策です。社内システムをサイバー攻撃の魔の手から護るという点では、ウイルス対策ソフトだけでは不十分ですが、テレワークにおいては端末の1つ1つにウイルス対策ソフトがインストールされていないと、簡単に情報漏えい事件などが発生します。もちろん、インストールだけではなく、定期的に更新されるセキュリティプログラムを都度適用することも徹底しましょう。
[RELATED_POSTS]
定期的なパスワード再設定
情報漏えいやアカウント乗っ取り等は、簡単で解読されやすい危険なパスワード設定によって起きることもあります。特に、文字数の少ないパスワードは解読ツールを使用するだけで簡単に判明してしまうため、非常に危険性が高くなっています。パスワードは10文字以上の英数字と記号を組み合わせたものが理想です。さらに、これを定期的に再設定することが重要なポイントになります。異なるサービスで同じパスワードを使用しないというのも情報セキュリティ対策の鉄則です。
クラウドサービスの検討
クラウドサービスとは、本来社内インフラ上に構築するICTシステムを、インターネット経由でサービスとして利用するものです。一見、情報セキュリティ性が低いようにも思えますが、実際はクラウドサービスベンダーによって堅牢な情報セキュリティ対策が施されているため、生半可な情報セキュリティ対策を実施するよりも堅牢な情報セキュリティを講じることができます。
このように、テレワークには様々な情報セキュリティリスクが潜んでいますが、適切な情報セキュリティ対策を実施することで、安心安全なテレワーク環境を構築することができます。
DSKでは、Google Workspace(旧 G Suite)をご利用のお客様向けに、便利なセキュリテイ対策サービスをご用意しています。
- Active!gateSS
Google Workspace(旧 G Suite) と連携しメールの誤送信防止するクラウドサービス - CloudGate
Google Workspace(旧 G Suite)へログインを許可する場所・端末を限定するなど、企業様のITポリシーを Google Workspace(旧 G Suite)に適用するためのセキュリティサービス - ソリトン セキュアブラウザー
クラウドや社内のWebシステムを社外から安全に利用できるリモートアクセスツール
この他にも各種Google Workspace(旧 G Suite)のお客様向けに関連オプションサービスをご用意していますので、ご興味ある方は、お気軽にお問い合わせください。
- カテゴリ:
- Google Workspace
- キーワード:
- テレワーク