1. 電子印鑑・決裁・署名のシヤチハタクラウド > コラム > リモートワーク(テレワーク)におけるセキュリティのリスクと対策

コラム

リモートワーク(テレワーク)におけるセキュリティのリスクと対策

WRITER
木山 貴雄
シヤチハタ株式会社 システム開発部
大手PCメーカーのサポート業務や大手自動車メーカーでの社内SEを経験後、2005年シヤチハタに入社。シヤチハタフォントの開発・Web受注システムの開発を経て現在はソフトウェア開発部門に所属する。

新型コロナウイルスの感染拡大防止を目的としてリモートワーク(テレワーク)が推奨されるようになり、リモートワークを実施する企業がこれまで以上に増えてきました。今まで導入していなかった企業においても、導入が検討されるようになったのではないでしょうか。
リモートワークを推進するにあたって、最も心配されるのは情報漏えいなどのセキュリティリスクといえるでしょう。この記事ではリモートワークの導入を検討している企業の方、また導入し始めたばかりの企業の方に向けて、まさに今確認しておきたい5つのセキュリティ対策のポイントをご説明します。

リモートワークにおけるセキュリティ対策の目的

はじめに、総務省の取りまとめている「テレワークセキュリティガイドライン(第4版)」を参考に、セキュリティ対策の目的をお伝えします。


参考: https://www.soumu.go.jp/main_content/000545372.pdf

リモートワークには主にノート型パソコンやタブレット端末が利用されます。しかし、これらを実際に扱う環境は、サイバーセキュリティ対策が施された職場と比較すると、情報漏えいのリスクに晒されやすいといえます。

リモートワークを行う中で企業の情報資産を守るためには、技術的なセキュリティを確保することのみならず、従業員による人為的なセキュリティリスクを回避することが求められます。またそのためには、情報セキュリティポリシーとセキュリティルール・情報管理ルールを明確にし、遵守することが必要です。技術とルール、そして働く人のバランスの取れた対策を目指します。

(図)リモートワークのためのセキュリティの概念図


https://www.soumu.go.jp/main_content/000545372.pdf
上記を元に作図

それでは、リモートワーク推進にあたり確認しておきたい5つのポイントをご説明します。

1. 情報セキュリティポリシーの見直し

前述の通り、情報セキュリティ対策を推進する上で基本となるのが、情報セキュリティポリシーです。情報セキュリティポリシーとは、情報セキュリティにおける企業の考え方や、対策方法をまとめた文書のことで、従業員や関係者に周知するために作成します。

セキュリティポリシーを構成する3要素

情報セキュリティポリシーは、セキュリティ対策の(1)基本方針、(2)対策基準、(3)実施手順の3要素で構成されます。

(表1)情報セキュリティポリシーを構成する3要素

1.基本方針 「顧客情報をどのような方針で扱うのか」など、情報セキュリティに対する企業の考え方を宣言する項目
2.対策基準 基本方針を実現するために満たすべき基準(要件)を示した項目
3.実施手順 対策基準を達成するために行うべき具体的な手段を明らかにした項目

情報セキュリティポリシーにおいて、基本方針、対策基準、実施手順の順に具体的になっていくため、どれか一つを作成すればいいというわけではなく、3要素を漏れなく作成することが重要です。

情報セキュリティポリシーの構成例

情報セキュリティポリシーの形式や内容は、企業に委ねられています。作成の参考になるのが、総務省の「国民のためのセキュリティサイト」です。情報セキュリティポリシーの項目例が掲載されています。項目例を元に、企業に合わせて情報セキュリティーポリシーを作成するとよいでしょう。

(表2)情報セキュリティポリシーの項目例

基本方針 対策基準 実施手順
・ポリシーの目的
・ポリシーの適用範囲
・ポリシーの適用対象者
・体制及び構成と役割
・ポリシー文書構成
・ポリシー監査
・ポリシー違反発見時の対応
・入退室の管理基準
・施設内における管理
・セキュリティ教育基準
・ウイルス対策基準
・社内ネットワーク利用基準
・入退室管理マニュアル
・IDカード発行手順
・訓練手順・E-ラーニング実施手順
・ウイルス対策ソフト導入手順
・クライアントのネットワーク設定マニュアル


https://www.soumu.go.jp/main_sosiki/joho_tsusin/security/business/executive/04-2.htmlを元に作表

セキュリティを取り巻く環境は常に変化しています。まずはリモートワークの実施を考慮した情報セキュリティポリシーを定めましょう。そして情報セキュリティポリシーは定期的な見直しでアップデートすることが大切です。

2. セキュリティ・情報管理ルールの見直し

セキュリティを強化するため、リモートワークを行う場合のデータの取り扱いに関し、新たなルールを定める必要があります。ルールを従業員に守らせることで、人為的なセキュリティリスクも抑えることができます。たとえば以下のようなルールの設定を検討しましょう。

データへのアクセス・持ち出しの制限

リモートワークでは業務に必要な情報を電子化することが推奨されますが、まだ情報を電子化できている企業ばかりではないのが現状です。止むを得ず紙で情報を持ち出さなくてはならない場面があるかもしれません。

NPO法人日本ネットワークセキュリティ協会「2018年 情報セキュリティインシデントに関する調査報告書」によると、情報漏えい媒体・経路のうち、紙媒体が最も多く29.8%を占めるという結果が出ています。紙書類を減らす方向へ進めつつ、持ち出せる紙書類の範囲や廃棄方法を定めるなどの対策が必要となります。

この他、私用のクラウドサービスの利用やUSBメモリの使用を禁止すること、公共の場でのウェブ会議を禁止することなど、電子データへのアクセスを制限するルールも必要となります。

パスワード管理の厳格化

リモートワーク用の端末や様々な社内ツールにアクセスするためのパスワードについては、強固で他者に推測されにくいパスワードを設定します。ショルダーハック(覗き見)されるリスクも考慮した対応を取りましょう。

ルール違反を防ぐ仕組みの整備

リモートワークによる人為的な情報漏えいリスクを防ぐために、機密情報の取り扱いルールを明確にした上で、従業員には誓約書を提出してもらいましょう。就業規則など社内の規定に、セキュリティルールに違反した場合の罰則規定を設けるといった対策も考えられます。ガイドラインとして従業員に配布し、リモートワーク導入前後での変更点を明確に伝える教育の場を設けることも大切です。

▼電子印鑑のセキュリティについて詳しく知りたい方はこちら

>

▼リモートワークの書類について詳しく知りたい方はこちら

>

3. ウイルス対策

技術的なセキュリティ対策として、まずはウイルスへの対策は欠かせません。適切な準備ができているか今一度確認しましょう。

パソコンのファームウェアのアップデート

多くのウイルスは、ファームウェアの脆弱性を狙い攻撃を行います。ウイルス攻撃を防ぐために、パソコンのハードウェアを制御するファームウェアを最新の状態に保ちましょう。

ウイルス対策ソフトのインストール

リモートワーク環境で利用するパソコンやタブレットなどの端末には、ウイルス対策ソフトをインストールし、常に最新の状態にしておきましょう。個人所有パソコンからのアクセスを許可する場合には特に注意が必要です。マルウェア、アンチスパム、ウイルス進入防御機能などの対策が備わったソフトを準備します。

端末上のデータや通信の暗号化

端末を紛失した場合を考慮し、ハードディスク内のデータや機密情報は暗号化しておくことが望ましいといえます。また通信手段において、暗号化通信を行うためにVPNなどの導入も検討しましょう。

4. 端末のアクセス制御

技術的なセキュリティ対策としては、ウイルス対策の他、リモートワークで利用する端末そのものやドキュメントへのアクセス制御が有効です。

情報レベルに応じたアクセス制限の設定

機密情報といっても、たとえば従業員の名前とお客様のクレジットカード番号では情報の重みが異なります。情報の重みごとにレベル分けを行い、レベル相応の対策を設け、アクセス・印刷・暗号化などの可否をルールとして定める必要があります。あらゆる情報に厳しい制限を設けると、業務に支障を来すため注意が必要です。

ログイン時の多段階認証

ログイン時の本認証手段として、IDとパスワードに加え、指紋やワンタイムパスワードなど、複数の認証を組み合わせることを多段階認証と呼びます。管理する情報の内容によっては、多段階認証でより強固なセキュリティを確立させましょう。

端末紛失時のアカウントロックの設定

端末を紛失した場合や、情報漏えいのリスクが生じた場合の備えとして、システム管理者が端末を使えないように設定できる体制をとっておきましょう。またパソコンから一時的に離れるときには、パスワードを入力しなければアカウントを利用できないスリープモードにすることが望ましいでしょう。

5. 機器管理・リモート環境の整備

最後に、リモートワークを実施する環境整備についてお伝えします。

機器管理台帳の作成

誰にどの端末が利用されているのかを把握するために、従業員個人のIDと端末の機器番号を紐付けておく必要があります。台帳を作成し、責任者を立てて管理しましょう。

事故発生時の対応を含むマニュアルの策定

リモートワークが始まると、これまでのように直接声をかけられない環境に変わり、慣れないうちは戸惑う場面が増えると予想されます。連絡手段として何を使用するか、打ち合わせはどのように行うかなど、通常業務についてもマニュアルにまとめましょう。

特に事故が発生した場合や、ウイルスに感染した疑いがある場合には、迅速な対応が求められます。事前に対応手順をまとめておき、また緊急時の連絡体制も整備し、速やかに行動できるよう備えましょう。

リモートワークを行う従業員に注意喚起すべき5項目

企業として行うべきセキュリティ対策について解説しましたが、本章では、リモートワークを開始した際に従業員に注意喚起すべき5項目をご説明します。

1.パソコンの共同使用の禁止

情報漏えいを防止するため、会社から支給されたパソコンや、仕事で使用するパソコンは、家族や他人と共同使用しないことが重要です。パソコンを共同使用すると、社外の人物が機密性の高い文書にアクセス可能になるため、重要文書の改ざんや複製などのセキュリティリスクが高まります。

2.自宅のモデムやルーターのファームウェアを更新

インターネット回線に接続しているモデムやルーターのファームウェアも最新の状態に更新しましょう。ファームウェアを最新の状態にすることで、ファームウェアの脆弱性をなくし、ウイルス攻撃のリスクを低減させることができます。

3.使用するソフトウェアの安全性と初期設定の確認

ソフトウェアの中には、パソコンに害を与える不正なソフトウェアが存在します。従業員に不正なソフトウェアをインストールさせないためには、インストールしてよいソフトウェアを企業側でリストアップすることが望ましいといえます。
また、ソフトウェアをインストールした場合は、ソフトウェアの初期設定を確認し、情報公開範囲やセキュリティレベルなどを確認するとよいでしょう。

4. 自宅外での情報漏えいへの注意喚起

自宅では仕事に集中しづらい場合、公共施設や飲食店でリモートワークを行うことも考えられます。公共施設や飲食店には不特定多数の人がいるため、情報漏えいに注意することが必要です。公共施設や飲食店においては、以下の点に注意が必要です。

1.背後からパソコン画面を覗かれないよう注意する

リモートワークでは機密性の高い情報を扱います。未発表の情報などが、同業他社の目に触れ、企業に不利益をもたらすことも考えられます。公共施設や飲食店などでは、壁を背にして座ったり、覗き見防止のフィルターを使用したりすることで、情報漏えいに注意しましょう。

2.話し声が他の人に聞こえないよう注意する

パソコン画面だけでなく、自分が発する声にも注意が必要です。社名や取引社名などを口にすることで、個人情報や取引状況などが、不特定多数の人に知られてしまいます。仕事上、どうしても電話をしなければならない場合には、人の少ない場所に移動するなど、話し声が聞かれないよう配慮が必要です。

5.公衆Wi-Fi接続の禁止または注意喚起

公衆Wi-Fiの中には、セキュリティ対策が取られていないものや、悪意を持って設置されたものが存在します。公衆Wi-Fiを使用する場合には、以下の点に注意が必要です。

1.ファイル共有機能を解除する

ファイルの共有機能が有効になっていると、パソコンのファイルが読み取られたり、ウイルスが送り込まれたりする可能性が高まります。公衆Wi-Fiに接続する前には、ファイル共有機能を解除しましょう。

2. 知らない公衆Wi-Fiには接続しない

前述の通り、公衆Wi-Fiには、通信内容を傍受するために、悪意を持って設置されたものが存在します。公衆Wi-Fiに接続する場合は、公共施設や飲食店が提供しており、パスワード入力が必要なWi-Fiを利用するなど、安全性の高いものを利用することが望ましいといえます。

3. 接続している公衆Wi-Fiを確認する

自動的にWi-Fiに接続する設定を行っていると、望まない公衆Wi-Fiに接続してしまう可能性があります。公衆Wi-Fiを使用する場合には、どのWi-Fiに接続しているか確認することが重要です。

物理的なセキュリティ対策の必要性

情報が漏えいする原因はネットワークの利用だけではありません。本章では物理的なセキュリティ対策について解説します。

パソコン盗難リスクへの対応

シェアオフィスや公共施設、飲食店においてパソコンそのものが盗難される可能性もあります。席を離れる際にパソコンを携帯するなど、基本対策はもちろん、棚や机とパソコンを繋ぐセキュリティワイヤー(ケーブル)を導入するなど、物理的にパソコンの盗難リスクを低減させることが重要です。

リモートワーク中の紙書類の紛失対策

リモートワーク中には、パソコンと紙書類の両方を見て仕事をすることも多いかと思います。紙書類は置き忘れのリスク回避のため、持ち運ぶ書類の枚数を把握し、帰宅時に紛失がないことを確認するとよいでしょう。
ただし、紙書類を持ち運ぶ以上、紛失リスクは存在します。効果的な紙書類の紛失対策は、ペーパーレス化し、紙書類の持ち運びを減らすことといえます。

リモートワークの環境整備や紙書類の紛失対策には文書管理クラウドサービスが有効

社内からの重要データの持ち出し管理や、紙書類の紛失などのリスク回避には、文書管理クラウドサービスの導入が有効です。文書管理クラウドサービスとは、インターネットを通じて場所や時間を問わずデータを閲覧・ダウンロードできるサービスのことです。多くの文書管理クラウドサービスには、文書へのアクセス制限を設定することが可能で、閲覧やダウンロードのログも残すことができます。
従業員のデータの閲覧・ダウンロードを管理することができるだけでなく、紙書類を使用しないため、紙書類の紛失対策にも有効です。

シヤチハタの「Shachihata Cloud(シヤチハタクラウド)」は、リモートワーク先から書類の回覧・捺印などが行えるクラウドサービスで、電子印鑑にはなりすまし防止機能もあります。まずは「Shachihata Cloud」の無料トライアルをお試ししてから導入を検討されてみてはいかがでしょうか。

▼電子印鑑について詳しく知りたい方はこちら

>

▼電子印鑑のメリット・デメリットについて詳しく知りたい方はこちら

>

▼リモートワーク(テレワーク)について詳しく知りたい方はこちら

>

▼在宅勤務(テレワーク)に便利なツールについて詳しく知りたい方はこちら

>

▼Shachihata Cloud(前:パソコン決裁Cloud)とは?サービス名に込めた想いと機能について

>

キーワード
電子印鑑
ワークフロー
業務改善
効率化
申請に手間
業務停滞
お問い合わせ