テレワークを導入している企業や、今後導入する予定の企業にとって、テレワーク環境への情報セキュリティ対策は重要な課題の一つです。テレワーク環境の情報セキュリティはどのようにして高めるべきか、悩んでいる事業者様も多いのではないでしょうか。この記事では、テレワークにおける情報セキュリティ対策の必要性や、テレワークで起こる可能性の高い問題について解説。ツールを選ぶ際に重視すべきポイントなどと併せて、テレワークでの情報セキュリティについて詳しく見ていきます。
テレワークは、ICTを活用した時間や場所にとらわれない柔軟な働き方
テレワークとは、「Tele(遠隔)」と「Work(働く)」を組み合わせた造語で、ICT(Information and Communication Technology:情報通信技術)を活用した「場所や時間にとらわれない柔軟な働き方」を指します。
テレワークと似た言葉にリモートワークがありますが、こちらも「Remote(遠隔)」と「Work(働く)」を組み合わせた造語で、オフィスから離れた遠隔地で働く勤務形態を指しています。このように、テレワークとリモートワークは、ほぼ同じ意味を表す言葉です。
テレワークは、コロナ禍において急速に社会に浸透した働き方といえます。アフターコロナ時代の現在でも、コスト削減や離職防止、人材獲得へのメリットを期待してテレワークを継続している企業も少なくありません。テレワークの代表的なワークスタイルは、大きく分けて以下のようなものがあります。
テレワークの種類
- 在宅勤務:自宅で就業するワークスタイル。
- モバイルワーク:カフェや交通機関、屋外など自由な場所で就業するワークスタイル。観光地やリゾート地などで働きながら休暇も取るワーケーションも含まれる。
- サテライト/コワーキング:サテライトオフィスやコワーキングスペースで就業するワークスタイル。
テレワークの現状とリスク
主にIT企業やベンチャー企業を中心とした、ICTを活用している業界で導入されているテレワークですが、情報セキュリティ対策はどの程度浸透しているのでしょうか。ここでは、日本におけるテレワークの現状と、テレワークの推進に伴い顕在化してきたリスクについて解説します。
テレワークの現状
総務省が公表した資料によれば、2022年の時点でテレワークを導入済みの企業は全体の32.1%であり、従業員300人以上の企業においては73.0%の企業がテレワークを導入しています。また、国土交通省が2024年に公表した資料によれば、2023年時点で雇用型就業者のテレワーカーの割合は全国で24.8%となっており、2022年の26.1%から1.3ポイント減っています。一方、テレワークと出社を組み合わせたハイブリッドワークは拡大傾向にあるようです。
テレワークやリモートワークのように遠隔地で稼働するワークスタイルが定着するにつれて、情報セキュリティに関する課題も顕著になりつつあります。テレワーク実施企業のうち、テレワーク導入にあたり課題となった点として最も高い割合を占めていたのは「セキュリティの確保(52.0%)」でした。このことから、テレワークの推進と情報セキュリティ対策は、切り離せない関係にあることがわかります。
参考:総務省「テレワークセキュリティに関する実態調査(R4年度)」
テレワークにおけるリスク
テレワークの導入に伴い、オフィスのみでの就業時には見られなかったリスクが顕在化しました。例えば、情報セキュリティ関連の被害は、テレワーク環境下における特徴的なリスクの一つです。業務に使用する端末や記憶媒体をオフィスから持ち出すことにより、紛失や盗難被害に遭うケースは決して珍しくありません。また、シャドーITによる情報セキュリティリスクも重要な課題といえます。シャドーITとは、企業の管理下にない端末やソフトウェア、サービスなどを従業員が独自に利用することを表す言葉です。シャドーITに対しては企業側が情報セキュリティ対策を講じられないことから、脆弱性が生じる原因となりかねません。
そのため、テレワーク環境に狙いを定めたサイバー攻撃も見られるようになりました。インターネット回線を介した情報漏洩やアカウント乗っ取りといった被害は後を絶ちません。テレワークの普及によって、従来のオフィス勤務時とは異なる情報セキュリティ上の課題が表面化しており、多くの企業が対応を迫られているのが実情です。
国によるテレワークの情報セキュリティへの取り組み
テレワークの定着に伴い、国による情報セキュリティ対策への取り組みは、より現実に即したものとなっています。特に押さえておきたいテレワークの情報セキュリティへの取り組みは以下の3点です。
総務省:テレワークセキュリティガイドラインを公表
「テレワークセキュリティガイドライン」は、テレワークを取り巻く環境や情報セキュリティ動向の変化に応じて、総務省が策定・公表したガイドラインです。テレワークの主な方式をはじめ、テレワーク環境において必要な情報セキュリティ対策一覧やトラブル事例などが掲載されています。テレワークをこれから導入予定の企業はもちろんのこと、すでに導入済みの企業にとっても情報セキュリティの基本対策・発展対策を確認する上で役立ちます。
参考:総務省「テレワークセキュリティガイドライン 第5版(令和3年5月)」
総務省:中小企業等担当者向け テレワークセキュリティの手引きを公表
「中小企業等担当者向け テレワークセキュリティの手引き」は、中小企業のシステム・セキュリティ管理担当者向けに、総務省が公表したテレワークセキュリティに関する手引書およびチェックリストです。テレワークにおける情報セキュリティへの疑問に応じて、必要な対策を把握できる構成となっています。
警視庁:テレワーク勤務のサイバーセキュリティ対策に関するWebページを公開
「テレワーク勤務のサイバーセキュリティ対策!」は、テレワークに従事するシーンごとに、情報セキュリティ対策のポイントをまとめた警視庁のWebページです。サイバーセキュリティ対策を怠ることによって、端末がマルウェアに感染したり、重要なデータが流出したりする被害に遭う恐れがあるとして、情報セキュリティ強化の必要性を呼びかけています。
参考:警視庁「テレワーク勤務のサイバーセキュリティ対策!」
テレワークで起こる可能性の高い情報セキュリティ問題
テレワーク環境下においては、具体的にどのような情報セキュリティ問題が生じる可能性があるのでしょうか。懸念される問題として、主に以下の5点が挙げられます。
端末の紛失、盗難
テレワークではオフィスから端末を持ち出すことになるため、必然的に紛失や盗難のリスクが高まります。業務で利用する機密情報や個人情報が保存された端末を紛失したり盗難被害に遭ったりすれば、情報漏洩の被害へと直結しかねません。カフェやコワーキングスペースなどでの紛失や盗難はもちろんのこと、ハイブリッドワークの場合、通勤中に同様の被害が発生することは十分に考えられます。
紙媒体やUSBメモリの紛失による情報漏洩
PC・スマートフォンなどの端末以外にも、業務で使用する紙媒体の資料やUSBメモリなどの記憶媒体を紛失すれば、情報漏洩の原因となります。近年は小型かつ大容量の記憶媒体が比較的安価に購入できるようになっているため、保存されているデータの内容やデータサイズによっては、甚大な被害へとつながる可能性も否定できません。企業は、紙媒体や記憶媒体の持ち出しに関するルールを設けるなど、従来のオフィス勤務とは異なるルールの策定と運用が求められます。
クラウドサービスからの情報漏洩
テレワーク環境において利用されるケースが多いクラウドサービスも、情報漏洩につながる大きな要因となり得ます。クラウドサービスはインターネットへの接続が必須であるため、インターネットを介したサイバー攻撃の標的にされやすいのです。
例えば、クラウドストレージ上に保存された共有フォルダ内に悪意のあるプログラムが混入された場合、インターネットを経由して各従業員の端末やオフィス内のネットワークへと脅威が侵入する可能性があります。クラウドサービスに保存されていたデータが第三者へ流出したり、改ざん・破壊されたりするといった被害にも遭いかねません。
公共の場でののぞき見による情報漏洩
公共の場で業務用の端末を操作する際、画面に表示されている情報をのぞき見される可能性はゼロではありません。移動中の電車内をはじめ、カフェやコワーキングスペース、シェアオフィスといった共有スペースでは、のぞき見による情報漏洩のリスクにも注意が必要です。
情報セキュリティが万全でない通信環境からの情報漏洩
情報セキュリティが万全でない通信環境を使用することも、情報漏洩の原因となり得ます。一例として、公衆Wi-Fiに接続してクラウドサービスなどを利用した際、通信内容が抜き出されてしまう恐れがあるからです。無料で提供されているWi-Fiの中には、情報セキュリティが施されておらず、通信内容が暗号化されていないものもあります。また、悪意のある第三者によって設置されている「なりすましアクセスポイント(AP)」も存在します。こうしたWi-Fiに端末を接続すると、機密情報や個人情報が窃取されてしまう可能性も否定できません。
なお、一般家庭向けのインターネット回線は、業務用の回線と比べて情報セキュリティ対策が手薄になっているケースが多いため、サイバー攻撃の格好の標的にもなります。従業員が自宅でどのようなインターネット環境を構築しているのか、企業側が完全に把握することは困難です。このように、テレワーク時の通信環境は、情報漏洩の要因が多く存在している状態となっています。
テレワークにおける総合的な情報セキュリティ対策
ここからは、テレワーク時に求められる総合的な情報セキュリティ対策について解説します。必要な対策は大きく分けて、「ルールの整備」「技術的な情報セキュリティ対策」「物理的な情報セキュリティ対策」の3点です。
情報セキュリティ対策のルールを整備する
テレワークを導入している企業は、自社の情報セキュリティ対策に関するルールの整備が必要です。ルールの整備には、総務省が公表している「テレワークセキュリティガイドライン(第5版)」が役立ちます。このガイドラインを参考に、自社が抱えている情報セキュリティ上のリスクや脅威を洗い出し、それらを回避・解消するためのルールを自社の情報セキュリティガイドラインとして策定することをお勧めします。
情報セキュリティ対策のルールは、基本方針・対策基準・実施手順の3つの要素で構成されるのが一般的です。実務に即した実践的な情報セキュリティルールや情報管理ルールを策定するとともに、策定したガイドラインを順守できる環境を整備していくことが求められます。
参考:総務省「テレワークセキュリティガイドライン 第5版(令和3年5月)」
技術的な情報セキュリティ対策を推進する
技術的な情報セキュリティ対策とは、システムやアプリケーションに関するセキュリティ確保のための対策です。具体的な対策として、「データの暗号化」「パスワード管理の徹底」「安全な回線の使用」「ウイルス対策ソフトウェアの導入」が挙げられます。
データの暗号化
データの暗号化には、通信データの暗号化と端末内に保存されているデータの暗号化の2つの要素があります。テレワーク時に発生しやすい情報の持ち出しリスクに備え、万が一データが窃取されたとしても第三者が利用できない状態にしておくことが大切です。
パスワード管理の徹底
パスワード管理を徹底するには、推測されやすいパスワードの使用や、パスワードの使い回しを禁止する必要があります。パスワード設定のルールを徹底するとともに、パスワードマネージャーを活用するなどして適切に管理していくのがポイントです。
安全な回線を使用する
安全な回線を使用するには、公衆Wi-Fiの使用を制限したり、VPN(Virtual private network:仮想プライベートネットワーク)を導入したりする対策が有効です。ただし、近年はテレワーク環境下で多く利用されているVPNを狙ったサイバー攻撃の事例も確認されていることから、VPN接続の安全性を過信せず、ほかの情報セキュリティ対策と組み合わせて活用していくことが大切です。
ウイルス対策ソフトウェアの導入
ウイルス対策ソフトウェアの導入も、テレワークにおいては必須の情報セキュリティ対策といえます。ウイルス対策ソフトウェアは、既知のマルウェアの特徴などを記録したパターンファイルを更新するとともに、未知のマルウェアにも対応できる可能性がある「ふるまい検知」などの機能を備えたソフトウェアを選ぶのがポイントです。
物理的な情報セキュリティ対策を推進する
物理的な情報セキュリティ対策とは、業務で使用するPCや書類などの紛失・盗難・不正利用を防ぐための対策です。具体的には「作業スペースの情報セキュリティ確保」と「紙書類の紛失対策」の2点が求められます。
作業スペースの情報セキュリティ確保
作業スペースの情報セキュリティを確保するには、社用PCの保管場所など、テレワーク環境下での利用方法に関するルールを徹底する必要があります。自社の情報セキュリティガイドラインに具体的な規定を設けるとともに、会社と従業員の間でガイドラインの順守について誓約書を交わすなどして、オフィスと同水準の情報セキュリティレベルを確保することが重要です。
紙書類の紛失対策
紙書類の紛失を防ぐには、文書のペーパーレス化を推進したり、オフィスで印刷可能な文書の枚数に制限を設けたりする対策が求められます。重要文書はオフィス外への持ち出しを禁止するなど、紙媒体による情報の紛失や盗難が発生しにくい仕組みを整備することが大切です。
情報セキュリティツール選びのポイント
情報セキュリティ対策を強化するにあたって、情報セキュリティツールの導入は効果的です。ここでは、情報セキュリティツールを選ぶ際に重視しておきたいポイントをご紹介します。
仕様やプランは自社に合うか
情報セキュリティツールの仕様や提供されているプランが自社の要件に合っているかは、必ず確認してください。ツールによっては、対応しているOSや連携可能な外部ツールが限られている場合があります。導入後に非対応の端末や外部ツールの存在に気づくことのないよう、漏れなく確認しなければなりません。
ツールによっては、加入するプランに応じてインストール可能な端末の台数が決められているケースもあります。近年はPCやスマートフォン、タブレット端末など、従業員1人当たりで2台以上の端末を業務で使用することも珍しくないため、インストールが必要な端末の台数は正確に把握しておくことが大切です。
導入後も利便性・快適性が下がらないか
情報セキュリティツール導入後に、端末や業務ツールの利便性・快適性が低下することがないかも事前に確認しておくことをお勧めします。インストールする端末のスペックによっては、情報セキュリティツールの導入によって動作が極端に遅くなったり、利用環境によっては業務に必要なツールの機能が制限されたりすることも想定されるからです。こうした不具合を回避するためにも、トライアル期間などを活用して実際に情報セキュリティツールをインストールし、業務に支障を来さないことを確かめることが大切です。
必要とする機能が搭載されているか
自社が必要とする機能が搭載されている情報セキュリティツールかどうか、機能一覧などを確認しておくことも重要なポイントです。具体例として、以下に挙げる機能の要否と搭載の有無を確認しておくことをお勧めします。
情報セキュリティツールの機能例
- MDM(モバイル・デバイス・マネジメント):タブレット端末やスマートフォンといったモバイル端末の管理システム
- EDR(エンドポイント・ディテクション・アンド・レスポンス):不審な挙動を検知する情報セキュリティソリューション
- 多要素認証:2つ以上の情報を組み合わせて認証する情報セキュリティ手法
- 脆弱性の管理:デバイスやアプリケーションなどの情報セキュリティ上の欠陥を特定、評価、修復するプロセス
- ログ管理システム:PC操作ログの収集・管理に特化したシステム
なお、自社にとって必要な機能とは何かというところは、事前に定めておくことも大切です。不要な機能が搭載されていることによって利用料金が高くなったり、かえって使い勝手が悪くなったりすることも想定されます。搭載機能が多ければ多いほど良い、というわけではない点には注意が必要です。
メーカーのサポート体制が用意されているか
ツールのメーカーが提供しているサポート内容についても、必ず確認しておく必要があります。例えば、以下のようなサポートが提供されているツールであれば、導入後も安心して利用できる可能性が高いといえます。
情報セキュリティツールのサポートサービス例
- ヘルプデスクサービス
- リモートサポートサービス
- 定期フォローサービス
- 最新アップデート情報の提供
- ユーザー専用サイトの提供
- 情報誌やメールマガジンによる情報提供
- 研修会・セミナーの実施
テレワークの情報セキュリティ強化は、早期に取り組むべき課題の一つ
テレワークの情報セキュリティ強化は、できるだけ早期に対策を講じておくことが重要です。クライアント運用管理ソフトウェア「SKYSEA Client View」は、テレワークの情報セキュリティ強化をサポートする機能も満載です。
「SKYSEA Client View」の組織外ネットワーク接続(デフォルトゲートウェイ/VPN・プロキシサーバー)機能を活用すると、社外からインターネットにアクセスする際に、社内ネットワークへVPN接続させることができるなど、社外でのインターネット利用をよりセキュアにします。また、事前に指定したネットワーク外にPCが持ち出された際には、自動的にインターネットへのアクセスを制限。万が一、社外持ち出し禁止のPCがオフィスから持ち出されても、情報セキュリティリスクを軽減することが可能です。
また、PCやスマートフォンなどのエンドポイントを常時監視し、不審な挙動を検知する他社のEDR製品とも連携。パターンファイルに依存しない「ふるまい検知」機能で、未知のマルウェアを素早く発見・隔離します。加えて、リモートワークに求められる「ログ管理」機能によって各端末の状況を確認することも可能です。有事の際の原因追求、事後調査への利用など、ログの活用は情報セキュリティ対策において重要です。テレワークの情報セキュリティを強化するためにも、「SKYSEA Client View」の導入をぜひご検討ください。
お問い合わせ・カタログダウンロード
「SKYSEA Client View」のお問い合わせ・資料ダウンロードはこちらから