「テレワーク(Tele-work)」とは、ICT(Information and Communication Technology:情報通信技術)を利用し、時間・空間を有効活用する多様な就労・作業形態を指します。
在宅勤務ワーカーと本社オフィスワーカーのコミュニケーションを支援したり、本社オフィス以外のサテライトオフィスで仕事をするための環境を整えたり、従来の「出社して本社オフィスで働く」という働き方の常識を覆すことで、企業に労働生産性の向上をもたらし、従業員のワークライフバランスを整えるのがテレワークです。
このテレワークへ取り組むにあたり、多くの企業が課題視しているのが「情報セキュリティ」でしょう。「社内」という閉じられたネットワークの中で仕事をしていた環境から、たとえばWeb会議システムやビジネスチャットツールを活用しするなどして、「社外」というオープンなネットワークを活用することで、サイバー攻撃など企業の機密情報を脅かすような情報セキュリティリスクが増えることは確かです。
そこで本稿では、総務省が発表している「テレワークセキュリティガイドライン(第4版)」から、テレワーク実施企業が取り組むべき情報セキュリティ対策について解説していきます。
テレワークの情報セキュリティリスクと脆弱性
テレワークを実施するにあたり、どのような情報セキュリティリスクがあるのでしょうか?また、それを許してしまう脆弱性※とは何でしょうか?
(※情報セキュリティ上の欠点)
マルウェア(コンピューターウイルス、ランサムウェア等)
注意すべきポイントや管理上の脆弱性
- マルウェア対策ソフトの未導入、更新不備
- アップデートの未実施
- 信頼性の低いサイト、または偽サイトへのアクセス
- 偽メールに添付されたファイルの開封や、文中のリンクをクリック
端末の紛失・盗難
注意すべきポイントや管理上の脆弱性
- 電車の網棚に置いた端末入りバックを失念
- カフェで端末を放置しての長時間離席
- バックアップの未実施
重要情報の盗聴
注意すべきポイントや管理上の脆弱性
- 無線LANの設定不備
- 偽アクセスポイントへの接続
- 暗号化せずにそのまま送信
- 画面を覗き見られる
- 従業員による内部不正
不正アクセス
注意すべきポイントや管理上の脆弱性
- ファイアウォールの未設置
- 推測されやすいパスワードの使用
- 異なるサービスでのパスワード使い回し
- ログイン方法を書いたメモの放置
- アップデート未実施
テレワークを実施するにあたっての情報セキュリティリスクは多く、脆弱性は至るところに潜んでいます。これらの情報セキュリティリスクと脆弱性を放置していると、最終的には「情報漏えい(機密性の喪失)」「重要情報の消失(完全性の喪失)」「作業中断(可用性の喪失)」とった事件につながります。
経営者・情報システム管理者・テレワーク勤務者、それぞれの情報セキュリティに対する役割と考え方
テレワーク実施における情報セキュリティ対策では、経営者・情報システム管理者・テレワーク勤務者の3者間で連携を取り、対策を推進していくことが肝要になります。それと同時に、各人が情報セキュリティ対策において担う役割や、考え方は違ったものでなくてはいけません。
経営者の役割と考え方
テレワーク実施において、経営者が担う役割とは情報セキュリティポリシーを迅速に策定し、それを定期的に見直すことと、情報セキュリティの重要性を組織全体が理解できるように啓もう活動に取り組むことです。情報セキュリティ対策では組織全体の意識改革がとても重要であり、各人が高い意識を持っているだけで、情報セキュリティリスクの大半は回避できます。そのため、経営者は組織の中で情報セキュリティについて深く理解し、組織を牽引する存在でなくてはいけません。
情報システム管理者の役割と考え方
情報システム管理者は、経営者が策定した情報セキュリティポリシーを対策実施レベルに落とし込み、テレワークを実現するためのICT環境を整えることが大きな役割になります。そのための専門知識と専門技術を併せ持ち、実施するテレワークに応じて都度最適なICT環境を構築できることも、資質として強く求められます。それと同時に、テレワーク勤務者のICT機器利用状況を常に監視して、危険があればすぐに警告・監視するような、監督者としての視点も必要です。
テレワーク勤務者の役割を考え方
テレワーク勤務者は作業中、利用する情報資産の管理責任を自らが負うことを自覚し、情報セキュリティポリシーが定める技術的・物理的および人的対策基準に沿った業務を行い、その実施状況を定期的に自己点検することが大切です。テレワーク勤務者が情報セキュリティ対策を直接的に実施するわけではありませんが、その行動が情報セキュリティリスクを回避できるかどうかを左右することを意識することが大切です。
[RELATED_POSTS]
テレワークで検討すべき社内システムとは?
では、企業はテレワークを実施するにあたり、どのような社内システムを検討すればよいのでしょうか?情報セキュリティ対策の精度が、社内システムに大きく依存することは間違いありません。そのため、情報セキュリティ対策を実施するための、ICTシステムを構築することが大切です。
情報セキュリティシステム
ICT機器にインストールするようなマルウェア対策ソフトや、ファイアウォール、あるいは高度な情報セキュリティシステムはテレワークに欠かせません。しかし、情報セキュリティシステムの構築にはコストがかかるため、環境に合わせて最適な情報セキュリティシステムを構築する必要があります。
VPN(Virtual Private Network:仮想ネットワーク回線)
VPNはテレワークが、外部から安心安全なネットワーク通信を実現するためのネットアーク回線です。仮想的に構築し、VPNを通じてネットワーク通信することで、第三者からの盗聴などを防ぐことができます。
シンクライアント(Thin-client)
シンクライアントとは、パソコンなどの端末内にはソフトウェアが搭載されておらず、画面出力やマウス操作等のみであり、ソフトウェアはサーバ側で管理されます。これにより、端末内にデータを管理する必要がなくなるため、シンクライアントを構築することで効率良く情報セキュリティシステムを構築することができます。
クラウドサービス
クラウドサービスとは、インターネット回線経由で利用するシステムやソフトウェアのことです。クラウドサービスは提供事業者が運営しているため、堅牢なセキュリティ体制が整えられていることが多く、利用するだけで情報セキュリティ対策が取り入れられます。
テレワークの種別ごとに最適な情報セキュリティ対策を!
テレワークのタイプごとに最適な情報セキュリティ対策があります。企業は、自身が実施するテレワークによって情報セキュリティ対策を変更することにより、多くのリスクを回避することができます。まずは現状把握から始め、自社にとって必要な情報セキュリティ対策について検討しましょう。
電算システムでは、Google Workspace(旧 G Suite)ユーザの皆様のセキュリテイ対策や、全く新しいコンセプトのシンクラインアント「Chromebook」など、企業が求められるセキュリティー対策に役立つソリューションを豊富に取り揃えていますので、いつでもお気軽にご相談ください。
