1. 電子印鑑・決裁・署名のシヤチハタクラウド > コラム > リモートワーク(テレワーク)におけるセキュリティのリスクと対策

コラム

リモートワーク(テレワーク)におけるセキュリティのリスクと対策

WRITER
木山 貴雄
シヤチハタ株式会社 システム開発部
大手PCメーカーのサポート業務や大手自動車メーカーでの社内SEを経験後、2005年シヤチハタに入社。シヤチハタフォントの開発・Web受注システムの開発を経て現在はソフトウェア開発部門に所属する。

新型コロナウイルスの感染拡大防止を目的としてリモートワーク(テレワーク)が推奨されるようになり、リモートワークを実施する企業がこれまで以上に増えてきました。今まで導入していなかった企業においても、導入が検討されるようになったのではないでしょうか。
リモートワークを推進するにあたって、最も心配されるのは情報漏洩などのセキュリティ観点といえるでしょう。この記事ではリモートワークの導入を検討している企業の方、また導入し始めたばかりの企業の方に向けて、まさに今確認しておきたい5つのセキュリティ対策のポイントをご紹介します。

リモートワークにおけるセキュリティ対策の目的

はじめに、総務省の取りまとめている「テレワークセキュリティガイドライン(第4版)」を参考に、セキュリティ対策の目的をお伝えします。


参考: https://www.soumu.go.jp/main_content/000545372.pdf

リモートワークには主にノート型パソコンやタブレット端末が利用されます。しかし、これらを実際に扱う環境は、サイバーセキュリティ対策が施された職場と比較すると、情報漏洩のリスクに晒されやすいといえます。

リモートワークを行う中で企業の情報資産を守るためには、技術的なセキュリティを確保することのみならず、従業員による人為的なセキュリティリスクを回避することが求められます。またそのためには、情報セキュリティポリシーとセキュリティルール・情報管理ルールを明確にし、遵守することが必要です。技術とルール、そして働く人のバランスの取れた対策を目指します。

(図)リモートワークのためのセキュリティの概念図


参考: https://www.soumu.go.jp/main_content/000545372.pdf
(上記をもとに作図)

それでは、リモートワーク推進にあたり確認しておきたい5つのポイントをご紹介します。

1. 情報セキュリティポリシーの見直し

前述の通り、情報セキュリティ対策を推進する上で基本となるのが、情報セキュリティポリシーです。情報セキュリティポリシーはセキュリティ対策の基本方針・対策基準・実施内容の3要素で構成されます。基本方針においては、リモートワーク中に事故が起きた場合の責任の所在を明確にするなどの対応をしましょう。

セキュリティを取り巻く環境は常に変化しています。まずはリモートワークの実施を考慮した情報セキュリティポリシーを定めましょう。そして情報セキュリティポリシーは定期的な見直しでアップデートすることが大切です。

2. セキュリティ・情報管理ルールの見直し

セキュリティを強化するため、リモートワークを行う場合のデータの取り扱いに関し、新たなルールを定める必要があります。ルールを従業員に守らせることで、人為的なセキュリティリスクも抑えることができます。たとえば以下のようなルールの設定を検討しましょう。

データへのアクセス・持ち出しの制限

リモートワークでは業務に必要な情報を電子化することが推奨されますが、まだ情報を電子化できている企業ばかりではないのが現状です。止むを得ず紙で情報を持ち出さなくてはならない場面があるかもしれません。

NPO法人日本ネットワークセキュリティ協会「2018年 情報セキュリティインシデントに関する調査報告書」によると、情報漏洩媒体・経路のうち、紙媒体が最も多く29.8%を占めるという結果が出ています。紙書類を減らす方向へ進めつつ、持ち出せる紙書類の範囲や廃棄方法を定めるなどの対策が必要となります。

この他、私用のクラウドサービスの利用やUSBメモリの使用を禁止すること、公共の場でのウェブ会議を禁止することなど、電子データへのアクセスを制限するルールも必要となります。

パスワード管理の厳格化

リモートワーク用の端末や様々な社内ツールにアクセスするためのパスワードについては、強固で他者に推測されにくいパスワードを設定します。ショルダーハック(覗き見)されるリスクも考慮した対応を取りましょう。

ルール違反を防ぐ仕組みの整備

リモートワークによる人為的な情報漏洩リスクを防ぐために、機密情報の取り扱いルールを明確にした上で、従業員には誓約書を提出してもらいましょう。就業規則など社内の規定に、セキュリティルールに違反した場合の罰則規定を設けるといった対策も考えられます。ガイドラインとして従業員に配布し、リモートワーク導入前後での変更点を明確に伝える教育の場を設けることも大切です。


電子印鑑のセキュリティについて詳しく知りたい方はこちら

3. サイバーウイルス対策

技術的なセキュリティ対策として、まずはサイバーウイルスへの対策は欠かせません。適切な準備ができているか今一度確認しましょう。

ウイルス対策ソフトのインストール

リモートワーク環境で利用するパソコンやタブレットなどの端末には、セキュリティ対策ソフトをインストールし、常に最新の状態にしておきましょう。個人所有パソコンからのアクセスを許可する場合には特に注意が必要です。マルウェア、アンチスパム、ウイルス進入防御機能などの対策が備わったソフトを準備します。

端末上のデータや通信の暗号化

端末を紛失した場合を考慮し、ハードディスク内のデータや機密情報は暗号化しておくことが望ましいといえます。また通信手段において、暗号化通信を行うためにVPNなどの導入も検討しましょう。

4. 端末のアクセス制御

技術的なセキュリティ面ではウイルス対策の他、リモートワークで利用する端末そのものやドキュメントへのアクセス制御が有効です。

情報レベルに応じたアクセス制限の設定

機密情報といっても、たとえば従業員の名前とお客様のクレジットカード番号では情報の重みが異なります。情報の重みごとにレベル分けを行い、レベル相応の対策を設け、アクセス・印刷・暗号化などの可否をルールとして定める必要があります。あらゆる情報に厳しい制限を設けると、業務に支障を来すため注意が必要です。

ログイン時の多段階認証

IDとパスワードに加え、指紋やワンタイムパスワードなど、複数の認証を組み合わせることを多段階認証と呼びます。管理する情報の内容によっては、多段階認証でより強固なセキュリティを確立させましょう。

端末紛失時のアカウントロックの設定

端末を紛失した場合や、情報漏洩のリスクが生じた場合の備えとして、システム管理者が端末を使えないように設定できる体制をとっておきましょう。またパソコンから一時的に離れるときには、パスワードを入力しなければアカウントを利用できないスリープモードにすることが望ましいでしょう。

5. 機器管理・リモート環境の整備

最後に、リモートワークを実施する環境整備についてお伝えします。

機器管理台帳の作成

誰にどの端末が利用されているのかを把握するために、従業員個人のIDと端末の機器番号を紐付けておく必要があります。台帳を作成し、責任者を立てて管理しましょう。

事故発生時の対応を含むマニュアルの策定

リモートワークが始まると、これまでのように直接声をかけられない環境に変わり、慣れないうちは戸惑う場面が増えると予想されます。連絡手段として何を使用するか、打ち合わせはどのように行うかなど、通常業務についてもマニュアルにまとめましょう。

特に事故が発生した場合や、ウイルスに感染した疑いがある場合には、迅速な対応が求められます。事前に対応手順をまとめておき、また緊急時の連絡体制も整備し、速やかに行動できるよう備えましょう。

クラウドサービスの導入

近年オフィス内にサーバーを設置するのを止めて、クラウドサービスへ移行する企業が増えてきています。リモートワークを推進する上でも、クラウドサービスを導入するメリットは多くあります。オフィス内のサーバーへリモートワーク先からアクセスをする場合、外部からの攻撃により悪用されるのを防ぐため、アクセス権の設定が必要です。一方クラウドサービスを活用することで、ネットワーク上のセキュリティリスクを最小限に抑えることができます。

また、クラウドサービスを導入すると、社内資料・書類を取り扱う業務の効率が上がり、利便性が向上します。シヤチハタの「パソコン決裁Cloud」は、リモートワーク先から書類の回覧・捺印などが行えるクラウドサービスで、電子印鑑にはなりすまし防止機能もあります。まずは「パソコン決裁Cloud」の無料トライアルをお試ししてから導入を検討されてみてはいかがでしょうか。


電子印鑑について詳しく知りたい方はこちら
電子印鑑のメリット・デメリットについて詳しく知りたい方はこちら