昨今の社会情勢の影響により、テレワークの導入が企業や自治体で広がっています。テレワークの導入は、業種や職種によってはノートPCさえあれば誰でも簡単にできてしまうため大企業だけでなく、中小企業にも導入の動きが進んでいます。一方で手軽だからこそ、セキュリティ面でのリスクが心配です。リスクを考慮せずにテレワークを導入してしまうと企業の信頼低下に繋がりかねません。テレワークにはどのようなリスクが潜んでいるのでしょうか。今回はテレワークに潜むリスクとその対策についてご紹介します!
広がるテレワーク導入
最近、日本の企業や団体ではテレワークの導入が積極的に進んでいます。
テレワークの導入は元々、オリンピックイヤーにおける混雑解消を目的に2016年頃から取り組まれてきました。
2017年に14万社だったテレワーク導入企業は、2022年には倍以上の29万社まで広がることが予想されています。加えて、昨今の社会情勢により人と人との接触を避けるためにテレワークの導入を急ピッチで進める企業も増えています。現在では東京都内の企業の約3割程度がテレワークの導入を進めています。
テレワークは在宅勤務など会社のオフィス以外でも働ける手段としてとても有効です。では、テレワークとは、具体的にどのようなものなのでしょうか。
テレワークとは?
総務省によればテレワークとは、ICTを活用した時間や場所を有効に使える働き方と定義されます。
テレワークは、基本的には会社のメインオフィス以外で働くことを意味します。会社のオフィス以外の場所とは、自宅や移動中を含めたあらゆる「会社から離れた場所」とされています。最近では郊外や交通の便がよい場所にサテライトオフィスを設置する企業も増えています。
サテライトオフィスとは職住近接や通勤ラッシュによるストレス軽減を目的に設置されるセカンドオフィスです。多くの場合、コストの安いシェアオフィスやコワーキングスペースを企業が借りるケースが中心です。
テレワークは企業にとっても、働く人にとってもメリットがあります。企業は、オフィスの家賃や備品コストを最小限にできます。一方、働く人にとっては家庭と仕事の両立がしやすくなります。さらに、社会にとっても満員電車の混雑解消など様々な効果が期待できます。
このように、テレワークは会社のオフィス以外で仕事をすることで様々なメリットを生むことができます。では会社以外の場所で働くことで、どのようなリスクがあり得るのでしょうか。
テレワークに潜むリスクとは?
テレワークに潜むリスクは、単にインターネットセキュリティ上の問題だけではありません。テレワークには全体としてどのようなリスクが潜んでいるのでしょうか。
実はテレワークにおける情報漏洩の多くは物理的なトラブルによって発生しています。
のぞき見による情報漏洩
情報漏洩のうち、約6割が画面ののぞき見による情報漏洩だとされています。これは肩越しに重要な情報を盗まれることから「ショルダーハッキング」と呼ばれます。
端末の盗難紛失
意外にも多いのが端末の盗難紛失です。特に最近では社員自身のモバイル端末を利用するBYO(Bring Your Own)も広がっており、社員が自分のスマホを落としただけで簡単に情報が流出してしまう恐れがあります。
書類の紛失
テレワークのリスクはICT端末だけではありません。テレワークとともに書類を持ち帰る場合、機密書類が紛失する可能性もあります。紙の紛失だけでなく、USBメモリに保存された重要情報が紛失するケースも発生しています。
ICT上のリスク
もちろん、インターネットセキュリティなどICT上のリスクもあります。特にセキュリティ対策ソフトがインストールされていても、OSのバージョンが最新でない場合、OSの脆弱性を狙って攻撃する悪意のあるプログラムにより情報が流出する恐れがあります。
このようにテレワークのリスクは広範囲にわたっており、単にセキュリティ対策ソフトを端末にインストールすればよいというものではありません。
テレワークのセキュリティガイドライン
では、具体的にどのようにテレワークのリスク対策を行えばよいのでしょうか。
総務省ではテレワークのセキュリティガイドラインを公表しています。
ガイドラインでは、単にICT上のセキュリティ対策を行うのではなく、「ルール」と「技術」と「人」の三位一体で対策を行うことが重要と訴えています。
「ルール」とは、「こうやって仕事を進めれば安全を確保できる」という指針です。テレワークでは、オフィスと異なる環境で働くため、管理者が目の届かない範囲でも安全を守れるように組織として情報セキュリティに関するルールを定めておくことが必要です。例えば紙やデータに関わらず、どの情報を持ちだしてよいのか、どの情報なら自宅でも取り扱えるのか、一つ一つの情報にルールを決めておくことなどです。
「人」は最も対策が難しい対策実施対象です。経営者、システム管理者、テレワーク勤務者それぞれがルールや運用を守らなければセキュリティ対策を万全にすることはできません。特に意識面での対応は最も重要です。ルールを守ることが会社を守ることにつながり、ひいては自分自身を守ることにつながることを全員に理解してもらう必要があるでしょう。「人」がきちんとルールを守れば、どんなサイバー攻撃に対してもある程度強固に防御が可能になります。
「技術」とは文字通りICTにおける技術のことです。技術はあくまでもルールと人を補完する存在です。検知や認証、制御、防御を可能にする仕組みとして、いわば最後の砦のような存在として機能するものです。最新の技術を揃えるのは効果的ですが、一方で「ルール」と「人」への対策が機能していなければ技術があっても万全とは言えません。技術だけではなく、「ルール」「人」への対策も合わせた三位一体で取り組むことがやはり重要なのです。
このように、テレワークのリスク対策は、国として標準化された指針があります。自社独自で行うのではなく、こうしたガイドラインを参考に取り組みましょう。
テレワークのリスク対策とその具体的方法
では、具体的にはどうすればリスクを防げるのでしょうか。具体的な方法例をご紹介します。
社員の意識改革
まずは何よりも経営者を含む社員の意識改革が重要です。情報をお金と同じく会社の資産として扱う意識を持たなければ、セキュリティ対策を行っても有効ではないでしょう。
ペーパーレス化
紙を廃止し、可能な限りすべてをデジタル化することで必要な情報をスリム化できます。
DaaSまたはVDIの利用
DaaSとはDesktop as a Serviceの略です。またVDIとはVirtual Desktop Infrastractureを意味します。いずれもデスクトップ自体を仮想化(クラウド化)する仕組みです。デスクトップを仮想化できれば、情報管理が一元化できるでしょう。
シンクライアント端末の導入
DaasまたはVDIを利用する端末をシンクライアント端末といいます。端末自体にはOS以外のソフトウェアやデータが入っておらず、デスクトップにはインターネットで接続します。万が一端末をなくしても情報漏洩の恐れがありません。
テレワークのリスク対策は、何か一つだけをやればよいということではありません。可能な限り複合的に取り組む必要があります。ガイドラインも参照しながら、自社の体力でできる範囲の対策を講じましょう。
この記事を読んだあなたにおすすめ!