<img height="1" width="1" style="display:none" src="https://www.facebook.com/tr?id=445779107733115&amp;ev=PageView&amp;noscript=1">

テレワークは情報漏洩の温床? 企業が行うべきリスク対策とは

 2021.08.11  2021.12.23

働き方改革や新型コロナウイルスの感染拡大によってテレワークの導入が進んでいますが、そこには情報漏洩のリスクが存在することを忘れてはなりません。十分な対策を取らずにテレワークを導入すると、情報漏洩を理由とした損害賠償や信用失墜といった損害を被る可能性があります。
そこで、本記事ではテレワークの導入時に考えたい情報漏洩対策についてまとめました。最近聞かれる「ゼロトラスト」の考え方についても紹介しています。この機会に、情報漏洩対策をさらに強化して、本格的なテレワーク環境を構築してみてはいかがでしょうか。

テレワークでの情報漏洩リスク

近年は「働き方改革」の推進や新型コロナウイルス感染対策のため、多くの企業がテレワークを導入しています。
総務省のデータによると、2019年9月末時点のテレワークの導入率は20.2%です。

実施率を見ると、新型コロナウイルス対策が始まる前の2020年3月は13.2%でしたが、対策が行われるようになった4月には2倍の27.9%まで増えています。

テレワークは、意識と環境の変化によってさらに普及したといえるでしょう。テレワーク導入は効率的な働き方を実現し、感染予防に効果を発揮する半面、情報漏洩につながりかねない新たなリスクを抱えるのも事実です。具体的には以下のようなリスクがあります。

紛失・覗き見リスク

テレワークでは、パソコンなどデバイス機器を紛失したり、盗まれたりする可能性が増加します。慣れない外出先では注意力が散漫になるため、店舗や電車などに機器を置き忘れるといった事例が少なくありません。パソコンをはじめとしたデバイス機器は、仕事の道具であると同時に情報を保管するストレージでもあります。

カフェやコワーキングスペースなど、第三者の目に触れやすい環境で仕事をするときは、画面を後ろから覗き見られるというリスクもあります。情報を盗まれるだけでなく、簡単に情報を見られてしまう状態で仕事をしていることで、「セキュリティ意識の低い会社」というイメージを持たれる可能性もあるでしょう。

個人端末利用によるリスク

予算や時間の都合で、テレワークに個人端末を利用することもあります。BYOD(Bring Your Own Device)と呼ばれるこの方法では、会社の端末と違ってセキュリティ対策が不十分なことも少なくありません。マルウェアに感染しないように対策を講じることはもちろん、すでに感染している可能性も考慮に入れて、慎重に利用しましょう。感染したまま社内ネットワークに接続するなら、被害が一気に拡大する恐れがあります。
個人でインストールしたクラウドサービスに、誤って会社の情報を共有させる、といった問題も考えられます。また、家族がその端末を利用することで、セキュリティリスクが生じるかもしれません。

家庭内ネットワークセキュリティリスク

家庭で使われているルーターのセキュリティ対策が不十分な場合、情報漏洩の原因になることがあります。メールの内容が外部に漏れるだけではなく、使用しているデバイス内の情報も漏洩する恐れがあるのです。自宅でテレワークを行う際は、通信環境の安全性を確認しなければなりません。
当然のことながら、暗号化が行われていない公共Wi-Fiに繋ぐことには、さらにリスクがあります。

社外から社内LANに接続する際に、VPNへの不正アクセスが行われるケースも増えています。「VPNで接続しているから安全」と考えがちですが、テレワーク環境を狙ったサイバー攻撃が増加していて、VPNのIDやパスワードが流出するという事例が増えているのです。

内部不正

テレワークは、周囲の目があるオフィスとは異なり、情報を不正な持ち出しを行いやすい環境と言えます。不必要なアクセス権限を与えないように注意すべきです。不正防止策を従来以上に強化する必要もあります。

参照元:https://www.soumu.go.jp/main_content/000541216.pdf

Google Workspaceの7つの特徴
株式会社アクティオホールディングス 導入事例

テレワークでの情報セキュリティ保全対策

テレワークでの情報漏洩を回避するためには、対策を講じるべきポイントがいくつかあります。以下では、総務省の策定したガイドラインを参考にしつつ、ぜひおさえておきたいポイントを挙げています。それぞれについて、バランスよく対策を行っているかを確認しましょう。

ルールの策定・遵守

セキュリティ対策について一通り学んだことのある社員でも、最近普及したテレワークにおける対策まで理解しているとは限りません。そのため、改めてガイドラインを策定し、社員全員に周知することが大切です。例えば、社外に持ち出した端末や、個人の端末の取り扱いについて、それぞれ定める必要があるでしょう。クラウドストレージの正しい使い方、使用するネットワーク、データの保存や送信の際に行う暗号化についてもルールとして明文化します。

また、機器を持ち出す際の報告を義務化する、重要機器を施錠できる場所に保管するといった、物理的な対策も重要です。

自己点検・教育

テレワークでは管理者の目が行き届かない部分もあるため、自分で判断したり、問題に気付いたりしなければならない場面も多くなります。業務を行う社員一人ひとりが情報の管理責任を持つ、という強い自覚を持たなければなりません。
そのためにも、ルールに従って業務を進めているか、点検項目をリストアップし、年に1~2度自己点検を実施することが必要です。注意したい点として、ペナルティを課されることを恐れて問題を隠すようになっては意味がないということがあります。守られていない項目については、企業側が改善を助ける姿勢を示すことで、実質のある点検になるようにしましょう。

定期的に勉強会やセミナーを開催して教育することも有効です。情報漏洩のリスクの大きさを認識させることで、高いセキュリティ意識を持つ組織ができます。社員の意識が高まると、フィッシング詐欺や機器やUSBの紛失といった、人為的なミスの防止につながるでしょう。
また、防止策だけでなく、情報漏洩やその他のトラブルが発生したときに、誰にどのような方法で報告するかを決めておき、周知することも忘れないでください。

マルウェア対策

システムのセキュリティ対策も強化します。端末のOSやソフトウェア、ブラウザ、ウイルス対策ソフトが、最新のものにアップデートされているかを毎回確認することは大切です。
テレワークに使用する端末にアプリをインストールする際は、管理者の許可を求めるように求め、いわゆる「シャドーIT」を防止します。テレワークに個人の端末を使用している場合、業務以外の使用であっても、インストールするアプリの安全性や設定には注意する必要があります。
送信されてきたメールが安全であることが確認できない限り、添付ファイルやリンクをクリックしてはなりません。

適切なテレワークツールの選択

情報漏洩対策をスムーズに行うためには、テレワークツールの選択の仕方も重要です。
テレワークツールを選ぶ際、最も重視すべきことはセキュリティ性能の高さです。
マルウェアなどの悪意あるウイルスが侵入しない、侵入したとしてもすぐに検知する性能を持つテレワークツールであれば、外部からの攻撃のほとんどを防げるでしょう。
外部からの攻撃の対応をシステムに任せることができれば、内部のセキュリティ対策にリソースを割けるので、全体的な安全性を高められます。

また、ソフトウェアとして使いやすいツールは、誤操作や設定ミスなどが起こりにくいため、結果として情報漏洩のリスクを抑えられます。
導入後に受けられるサポート内容や体制も確認しておきましょう。ツール利用時にトラブルが発生した場合、サポートがなければ業務がストップしたり、問題が大きくなったりする可能性もあります。

ゼロトラストの考え方

ゼロトラストとは、文字通り「すべて信用しない」という前提でセキュリティ対策を講じるもので、近年取り入れられている考え方です。2010年、アメリカのForrester Research社のジョン・キンダーバーグ(John Kindervag)氏により提唱されました。
以前は、ファイアウォールなどを設けて、社内のネットワークを社外のアクセスや攻撃から守って情報漏洩を防ぐ、という対策が一般的でした。
しかし現在は、クラウドサービスの利用増加にともない、保護したい社内の情報が外部にあることが多くあります。また、テレワークの増加により、社員が使っている端末であってもセキュリティリスクにさらされやすく、安全とは言い切れなくなってきました。セキュリティ面での社内と社外の境界が、以前より曖昧になっていると言えるでしょう。
そのため、ゼロトラストの考え方に基づいてどこからのアクセスでも信用せず、認証を強化したり、通信経路を暗号化したりするセキュリティ対策が重視されるようになりました。ログ監視を行ったり、端末のセキュリティ状態に応じアクセスを制御したりするシステムもあります。

ゼロトラスト採用のツール Google Workspace

テレワークにおける総合的なICT環境を構築するなら、「Google Workspace(旧 G Suite)」がおすすめです。
Google WorkspaceならWebメール、チャット、Web会議システム、ファイル共有など、テレワークで有用な機能をまとめて利用できます。クラウドサービスなのでサーバーなどのインフラは必要なく、すぐにテレワーク環境として導入できます。

Googleのセキュリティ機能が適用されるため、情報漏洩対策も充実しています。データと端末は管理コンソールで一元管理され、必要に応じて多要素認証やセキュリティ キーなどのカスタマイズによって、より堅牢なシステムを構築できます。

また、「前方秘匿性」技術でHTTPSセッションの復号化を防ぎ、サーバー間を移動するコンテンツを厳格に暗号化するなど、データの保護にも尽力しています。不正なアクセスやソフトウェアの検出・監視も行われるため、外部からの攻撃にも対応可能です。
ベストプラクティスともいえるプライバシー基準とセキュリティ基準に準拠した対策が取られているので、情報漏洩のリスクを最小限に抑えられるでしょう。

DSKでは、Google Workspaceの導入支援やコンサルティングを行っており、テレワークに必要な環境の構築をサポートします。
オプションで、ログイン制御や誤送信防止などのセキュリティ機能を追加することもできるので、より安全な環境でテレワークを実施が可能です。
Google Workspaceを導入する際は、ぜひDSKにご相談ください。

Google Workspace
Google Workspace 事例

まとめ

テレワークは場所と時間を選ばずに業務を行えるというメリットがありますが、対策を講じないと情報漏洩の温床となるリスクをはらんでいます。テレワークによって、これまでなかったパターンで情報漏洩が発生することも想定して、必要な環境を準備することが求められます。

本記事を参考にして、テレワークにおける情報漏洩リスクを確認し、その対策となる機能を備えたテレワークツールを導入することをおすすめします。

Google WorkspaceとMicrosoft 365で悩んだらまず読もう

RELATED POST関連記事


RECENT POST「Google Workspace」の最新記事


Google Workspace

テレワークに必要なセキュリティ対策とは

Google Workspace

有名企業の個人情報漏洩の事例7選を紹介!企業が受ける損失や原因・対策を紹介

Google Workspace

情報漏えいはなぜ起こる? その原因と対処方法・対策ソフトの選び方を紹介

Google Workspace

企業が選択すべきテレワークとは?

テレワークは情報漏洩の温床? 企業が行うべきリスク対策とは