リモートワークに求められるセキュリティ対策とは

 2019.08.19  ラクまるブログ編集部

働き方改革の取り組みが進む中、多くの企業が在宅勤務やモバイルワークを推奨し始めています。これにより、リモートワークに取り組む事例が日々増えています。

しなしながら欧米企業などと比較しても、日本のリモートワークやテレワークの導入はまだまだ低く、総務省が発表している情報通信白書でも13.9%の普及率と発表しています。
ご参考:総務省|平成30年版 情報通信白書

そこには制度面やシステム運用面など、いくつか共通する課題が存在すると考えられますが、なかでも多くの企業が懸念している点として、セキュリティ対策が上げられるのではないでしょうか。

従来利用されていた業務システムなどは、社内LANなど内部のネットワークだけですべての業務が完結する環境でした。ところが現在のリモートワークを実施するにためには、インターネット経由での通信が必要となるためセキュリティ環境を根本的に見直したり、新しいシステムを構築する必要があり、二の足を踏んでしまうケースも多いのではないでしょうか。

古くから社内システムを導入している企業ほど、リモートワーク導入のハードルが高くなる傾向にあります。

しかし、リモートワークに求められるセキュリティ要件は、それほど高度で難易度が高いものなのでしょうか?ちょっとした対策や現在の環境の設定を変更するだけでも、多くの部分で環境がセキュアになり、リモートワークを実施できるケースもあります。

本稿では、リモートワーク導入時に役立つ観点を踏まえつつ、企業としてコンプライアンス強化やセキュリティ対策として必要な点をピックアップし、ご紹介したいと思います。

セキュリティポリシーの見直しや改訂

セキュリティ対策の基本の「キ」とも言えるのが、セキュリティ上の行動や考え方に関する方針をまとめたセキュリティポリシーです。

まずは、セキュリティポリシーと言われる社内でのガイドラインを作成することで、組織的にセキュリティレベルを統一することができ、さらに社員のセキュリティに対する意識を高める効果も期待できます。

また、すでにセキュリティポリシーが策定されているという企業でも、日々変化するビジネス環境や業務形態(今回ではリモートワークの導入など)に合わせて、定期的に見直しや改訂を行う必要があります。

デバイス・データの管理に関するセキュリティルールの作成

リモートワークでは、主に自宅やカフェ、移動途中や客先など、オフィスとは異なる環境で仕事を行うことになります。そのため、使用するデバイスの管理やデータの持ち出し、ソーシャルメディアの利用などセキュリティ確保のために新しいルールを設ける必要があります。

また、就業規則にもそれらのルールを明記し、違反した場合の罰則設定で抑止力を持たせることも大切ですし、社員教育の徹底や有事に備えた連絡体制の整備など、あらかじめ手順を規定しておくこと必要があります。

徹底したパスワード管理

リモートワークではVPN(Virtual Private Network)を構築したり、クラウドサービスを利用し外部環境から社内システムへアクセスできるようネットワーク環境を整えることになります。その際に重要なのがユーザー認証に使用されるパスワードの管理です。

異なるサービスで重複する同一のパスワードを使用しないことや、英数字と記号を含めた10文字以上のユニークなパスワードを設定することでパスワードの強度を高く保つことが大切です。

また、定期的にパスワード変更促す仕組みを導入することで、パスワードの入れ替えを強制的に促す仕掛けなどを利用するケースも多く見られます。

[RELATED_POSTS]

システムログイン時の多要素認証

徹底したパスワード管理を行なっていても、使用するシステムが増えることで管理するパスワードの種類も増え、ユーザに少なからず負担を強いる結果になることも見逃せません。

また、パスワードを定期的に変更していても、現在のサイバー攻撃のパターンは高度化・多様化しているため、パスワードそのものを入力させるようなトリックにより、簡単に突破されてしまう事故も多く発生しています。

そうしたリスクを極力排除しながらセキュリティー強度をより高める方法の一つが、システムログイン時の多要素認証です。

パスワード入力とは別の方法で異なるデバイスを通じて認証を実行することで、システムへアクセスしているユーザーが本人かどうかを確認する仕組みで、Googleアカウントを用いた2段階認証もこの仕組みを利用しています。
ご参考:Google 2段階認証プロセス

デバイス紛失時のアカウントロック

リモートワークを実施すると、会社の重要情報が保存された状態のデバイスを持ち出すことがになります。

万が一デバイスを紛失すれば、第三者による社内システムへの不正アクセスやデバイスそのものからの情報流出などのリスクが高まるばかりか、社内コンプライアンスチームなどによる各種影響調査や対策など、多くの部門を巻き込んだ様々な対応が必要になります。

デバイスの紛失やパスワード情報の漏えい等が起きたり場合でも、速やかにシステム管理者によるアカウントのロック(閉鎖)が可能であれば、情報漏えいのリスクや紛失後に生じる多くの対応を極小化することができます。

持ち運びハードディスクの暗号化

リモートワークではデバイスやUSBフラッシュメモリ等を持ち運ぶ機会が多くなります。

デバイス内のハードディスクやSSD(Solid State Drive)、USBフラッシュメモリの暗号化は必ず設定しておくことをお勧めします。これにより、万が一紛失しても情報の流出を防ぐことができます。加えて、モバイルデバイスなどでは、遠隔で端末内の情報を消去できるワイプ機能などを利用することで、紛失した端末を無効化することも可能です。

ウイルス対策ソフトなどの基本セキュリティ

ウイルス対策ソフトはセキュリティにおける最低限の対策です。

リモートワークを実施した社用デバイスを従業員に貸与する場合は、1つ1つのデバイスにウイルス対策ソフトを必ずインストールする必要があります。

BYOD(Bring Your Own Device:私用デバイス持ち込み)を推進している場合でも、従業員の私用デバイスごとにウイルス対策ソフトを導入することが大切です。

当然のことですが、ウイルス対策ソフトは常に最新バージョンのシグネチャをダウンロードし適用する運用も徹底する必要があります。

スリープ状態解除時のパスワード入力

デバイスは一定時間操作しないとスリープ状態に入ります。スリープ状態から操作を再開するときは、必ずパスワード入力を促すように設定しておきます。

席を離れてデバイスがスリープ状態になっても、パスワードを設定していなければちょっとした時間で情報が抜き取られる可能性があります。

また、ほぼ全てのパソコンでは、スリープ状態に入るまでの時間を設定することができますが、注意すべき点として、「バッテリー駆動」の時だけ対策してしまうことです。

「電源アダプタ」で駆動している時でも一定時間が経過するとスリープ状態に入るように設定し、バッテリー駆動・電源アダプタ駆動どちらでも同一のポリシーを適用することが大切です。

情報種別ごとのアクセス制御

社内ファイルサーバーやクラウドストレージを利用して情報管理を実施する場合は、情報の重要度に応じてアクセス制御を設定します。

内部要因によって情報流出が起きたという事例も非常に多く、企業はサイバー攻撃だけではなくミスや不正によって発生するセキュリティリスクにも対応しなければいけません。

特に個人情報を取り扱う部門では、情報種別やレベルに応じた管理体制を敷くことが求められます。

セキュリティ問題発生時の対処マニュアル作成

セキュリティ対策に万全はありません。また、最終的には人が利用する以上は、人為的なミスに限らず不慮の事故など、時には問題発生が避けられないことがあります。

セキュリティ問題の発生に備えて、いつでも迅速な対応が取れるよう、対処マニュアルと連絡体制を整えておくことが重要です。

セキュリティ事件というのは、サイバー攻撃を受けてすぐに発生するのではなく、それからしばらくして情報が抜き取られ悪用されることにより問題が顕在化します。迅速に対処するほど被害の拡大を防ぐことができ、二次災害へと拡大することを抑制することも可能です。

クラウドサービスの利用検討

リモートワークにて従業員がオフィス内のシステムにアクセスするためには、ネットワーク管理のセキュリティ機器であるファイアウォールに一種の穴を空けることになります。これがそのままセキュリティリスクとなることが多くあります。

クラウドサービスの場合、Webブラウザ経由でサービスに限定させたり、ユーザー認証の強度を一層高めて利用することも可能です。

また、クラウドベンダーのセキュリティ対策は、一般企業が自力で実装できるレベルよりはるかに高く、各種セキュリテイ認証を取得するなど、絶えず対策に向けた努力をしていますので、サービスを利用することで自社のセキュリティを強化することできます。

まとめ

いかがでしょうか。今回記載したものは基本的なものと感じる方も多いかもしれませんが、全て対応できていると回答できる方も少ないのではないでしょうか。

もちろん必要なものを優先的に対応することが重要で、計画的に進めることと、ユーザの利便性とのバランスを加味しながら製品やサービスを選択することも大切です。

最後に、リモートワークを進めると問題になる点として、ファイルの共有方法が挙げられますのでご紹介します。数あるクラウドサービスの中でも、クラウドストレージは多くのクラウド活用企業が導入しているサービスの一つです。

Webブラウザ経由でファイル共有のためのスペースと、個人ストレージを用意することで社内ネットワークに穴を空けずに、セキュアなファイル管理を実現します。リモートワークを実施する際は、ファイル共有や個人ストレージの組織基盤としてクラウドストレージは非常に便利です。

代表的なクラウドストレージのサービスを比較した資料をご用意しましたので、ぜひ参考にしてください。

お問い合わせ

RELATED POST関連記事


RECENT POST「Chromebook」の最新記事


リモートワークに求められるセキュリティ対策とは
よくわかるGSuite無料セミナー