テレワークで重要なセキュリティ対策の基本について紹介!

投稿日:2019 - 12 - 1

テレワークは場所や時間に縛られないことから、就労が難しい境遇の人でも働きやすいのがメリットです。しかし、その一方でデバイスの紛失や盗難、なりすましによるデータ流出などセキュリティ面が心配されています。
そこで、セキュリティにはどのような種類があるのか、利用するうえでの注意点や対策、ポイントについて解説していきます。

テレワークの種類には何がある?

テレワークとは離れた場所を表す「tele」と働くを意味する「work」を合わせた造語です。
テレワークと呼ばれているものには、自宅を勤務先とする在宅勤務、公共交通機関や客先など移動時間を利用して業務を行うモバイル勤務、簡易的なオフィスを設置して勤務するサテライトオフィス勤務などがあります。

場所や時間にとらわれない働き方であり、本社から離れた場所に住む人も就労のチャンスを得やすいのがメリットです。
そんなテレワークは、次の3つの類型に分けられます。
1つはオフラインで業務を行う「オフライン持ち出し型」です。

例えばUSBメモリやスマホ、タブレット、パソコンなどの端末にデータを入れ、職場以外の場所で仕事をすることを指します。
この方法は、仕事をする場所によっては盗難や破損に注意する必要があります。オフラインで行う作業は不正アクセスなどの心配はありませんが、作業した場所にUSBメモリやスマホなどを置き忘れてしまうことも多いので、適切なセキュリティ対策が必要です。

2つ目は「オンライン持ち出し型」です。会社とオンラインで繋ぎながら業務を行う方法で、データをUSBメモリなどに入れて持ち出す必要がないため紛失などのリスクは低くなります。ただし、不正アクセスなどの対策が必要です。

3つ目は「シンクライアント型」です。
シンクライアントと呼ばれる専用のアプリをダウンロードし、社内システムにアクセスして業務を行う方法です。
これはクラウドのようなもので端末にデータが残らないため、仮に盗難や紛失にあってもセキュリティ面での安全性は高いと言えます。

テレワークの実態・効果

そもそも、テレワークという新しい働き方が注目を集めはじめたのは、政府が主導する「働き方改革」が影響しています。労働者のワークライフバランスを実現し、生産性の向上や人材の確保などを目指すうえで、多様な働き方が可能になるテレワークが大きな役割を果たすと期待されているのです。これにともない、政府は2020年までに「テレワーク導入企業を2012年度比で3倍にする」という普及目標を掲げ、さまざまな推進策を打ち出しています。
ただ、実際にテレワークを導入している企業はまだ多いとはいえません。総務省が行った2017年の「通信利用動向調査」によると、テレワークの導入率は13.9%にとどまっています。

テレワークを導入すると、社員はオフィスに出社する必要がありません。このため、企業は交通費を支給したり、広いオフィスを借りたりする必要がなくなり、コスト削減効果が期待できます。また、各社員がそれぞれの自宅などで業務を行えるため、自然災害などでオフィスが被害を受けたときに業務が完全にストップする心配も低いです。また、社員にとっても通勤時間を削減できる、介護や育児をしながら働ける、自分の業務に集中しやすいなどのメリットがあります。

このように多くの効果が期待できるにもかかわらず、なぜテレワークの導入率がなかなか増えないのでしょうか。それは、テレワークが抱える課題を不安視する企業が多いためです。自宅や外出先で業務を行う場合、どうしても情報セキュリティの面でリスクが高まってしまいます。端末を紛失して情報が漏れたり、ウイルス感染した自宅のパソコンで社内システムにアクセスし、ネットワーク全体が攻撃を受けたりするおそれもあるでしょう。

また、いつでも業務を行える環境になることで仕事とプライベートを区別しにくく、上司の目も行き届かないため労務管理や人事評価が難しいという課題もあります。業務の進捗管理や社員間のコミュニケーションなどもどう行えば良いのかわからないという企業も少なくありません。テレワークを導入する場合、こういった課題にどう対応していくか、事前にしっかり検討しておくことが大切です。

テレワーク導入の際の社内システムへのアクセス・データ保存方法

実際にテレワークを導入した場合、一般的には6種類の方法で外部から社内システムへアクセスしたり、データを保存したりします。1つ目は「リモートデスクトップ方式」で、ネットワークを経由し、企業にあるパソコンの画面を遠隔操作するという方法です。テレワークで使用する端末には画面が転送されるだけなので、データをオフィス外の端末に保存する必要がありません。

2つ目は、特定のサーバ上に仮のデスクトップを作る「仮想デスクトップ方式」です。ネットワーク経由でどこからでも同じデスクトップにアクセスでき、企業がデスクトップを集中管理することもできます。3つ目は「クラウド型アプリ方式」というもので、クラウドサーバ上にあるアプリにアクセスして操作するのが特徴です。仮想デスクトップ方式が自社で運用するのに対し、こちらはクラウドサービス事業者が提供しています。

4つ目は、クラウド型アプリ方式の安全性を高めた「セキュアブラウザ方式」です。データのダウンロードなどを制限し、外部の端末にデータを保存せずに業務が行えます。5つ目は、テレワークで使用する端末内に独立した環境を作り、そこで専用アプリを稼働させて業務を行う「アプリケーションラッピング方式」です。専用アプリから端末へはアクセスできないため、データを端末内に保存することがありません。6つ目は、「企業PCの持ち帰り方式」で、その名の通り普段オフィスで使っている端末をテレワークでも使用するというものです。オフィスにいるときとほぼ同じ環境で作業できるので快適ですが、データが保存された端末を持ち歩くので、慎重な取り扱いが求められます。

テレワーク導入のリスク

コスト削減や人材の確保、事情に合わせた柔軟な働き方ができるなどメリットも多いテレワークですが、導入にあたってはリスクも存在します。メリットにのみ注目して導入すると、思わぬトラブルに見舞われるおそれもあるため注意しなければなりません。具体的には、以下のようなリスクが考えられるので、テレワーク導入前に把握しておきましょう。

・テレワーク先に持ち出した書類の盗難・紛失
・オープンスペースで業務に関する電話をした際の盗み聞きや盗聴
・業務データを保存した端末やUSBメモリなどの盗難・紛失
・セキュリティが脆弱な端末を使ったことによるサイバー攻撃
・社員になりすました第三者による不正アクセス

ここで挙げたものはリスクの一部であり、ほかにもさまざまな危険が考えられます。万が一の事態に備え、導入時には徹底したセキュリティ対策を行うことが大切です。

テレワークのセキュリティ対策で注意すべき点

テレワークには様々な形がありますが、オフラインでもオンラインでも、端末の取り扱い方次第では企業全体を危険にさらしてしまうこともあります。
顧客データや機密情報といった重要な情報が漏洩することは企業にとって大きなリスクにつながり、顧客の大切な個人情報流出は企業の信頼が揺らぐ原因です。
顧客情報の流出は社外持ち出しをしたことで起こりやすいことの1つであり、実際に問題になることも少なくはありません。データ流出以外にも懸念されることはあります。
例えば、オンラインで作業中にウイルスに感染する心配も出てくるでしょう。知らずにデータのやり取りを行ったりUSBメモリを使い回したりすることで、他の端末にも感染のリスクが高まります。

行動・環境別のセキュリティ対策の注意点

行動に対するセキュリティ対策の注意点

また、テレワークでクラウドサービスを活用する場合も注意しなければなりません。クラウドサービスを利用すれば、どの端末からもデータにアクセスできるだけでなく、大容量のデータを保存することも可能です。利便性が高いため、社員がプライベートで使用しているクラウドサービスを、テレワークで業務用に利用してしまうケースもあるでしょう。
しかし、企業がクラウドサービス型のテレワークシステムを導入していないのに、自分の判断で勝手にクラウドサービスを利用するのは非常に危険です。社員の端末が無事でも、クラウドサービス自体がサイバー攻撃を受ければ、サービス内で保存していたデータが消えたり流出したりするリスクもあるのです。
許可されていないサービスを利用してこのような問題が起きた場合、企業に大きなダメージが及ぶのはもちろん、社員個人が責任を問われる事態にもなりかねません。便利だからといって自分の判断だけでクラウドサービスを利用することのないよう、社員には徹底した指導が必要です。

さらに、社員が個人的に所有するパソコンやスマートフォンを使って業務を行う場合も注意しましょう。セキュリティがしっかりした社給端末とは違い、プライベート用の端末はアップデートを後回しにするなど、セキュリティが脆弱であることも珍しくありません。個人端末で社内システムにアクセスした結果、ウイルスの感染を広げたり、端末にデータを保存して流出させてしまったりする危険もあるのです。社員が安易に個人端末を業務に利用しないよう、リスクの周知徹底やBYODの導入などを検討しましょう。

環境に対するセキュリティ対策の注意点

また、社員自身の行動とは別に、テレワークで働く際の環境に対する注意点もあります。

テレワークで心配されることの1つがモバイル勤務などに多い公共Wi-Fiの使用です。
特にパスワードなしで誰もが利用できるフリーWi-Fiは不正侵入がしやすいと言われ、リスクが高いとされています。

フリーWi-Fiは安全なように見えますが、決してそんなことはありません。誰でも無料で利用できるからこそ、セキュリティがしっかり整備されていないケースも多いのです。また、悪意をもつ者が偽のWi-Fiスポットを設置し、接続した端末からデータを抜き取ったり、詐欺サイトなどへ誘導したりすることもあるので注意しなければなりません。

他にも、不特定多数の人が出入りする場所で心配されるのは、作業画面の覗き込みです。離席するときは端末を必ず持って移動するなどの注意が必要になります。もちろん、作業中は周囲に内容を把握されないような配慮も大切です。

カフェや図書館などで働くテレワーカーもいますが、公共の場所ではどこにどのような目的・事情を抱えた人がいるかわかりません。油断していると、大切な機密情報や社内システムにアクセスするパスワードなどを盗み見られ、思わぬ被害が生じてしまうおそれもあるため注意が必要です。

さらに、自宅で家庭内ネットワークを活用して働く場合は、安定した通信環境を準備することも忘れてはいけません。たとえば、ネットワークとインターネットを接続するルーターにセキュリティの不備があると、外部からの不正アクセスやウイルス感染の危険性が高まります。家庭内ネットワークを足掛かりに社内システムに侵入されることのないよう、家庭内といえどもセキュリティには十分気を配っておきましょう。

これらのことを踏まえ、さまざまなシチュエーションに対応できるセキュリティに関するポリシーを、あらかじめ明確にしておく必要があります。
どのようなことが想定され、何が起こったらどう対応していくかなど、一連の流れを決めておくことが大切なのです。
テレワークを導入する前には必ずセキュリティポリシーを決めておきましょう。

テレワークにおけるセキュリティ対策の考え方

テレワークを実行するにあたっては、いくつかの問題点があげられます。
勤怠管理やコミュニケーション、労働法などもその中の1つですが、これらの優先順位は実際にはあまり高くはありません。
多くの企業がもっとも課題としてあげているのはセキュリティ対策です。セキュリティをどのように考えて対策を練っていくかは、企業が業務をどこまでテレワークで行うかにもよります。
さらに、端末は完全に支給したものだけにするのか、私物も可能とするBYODにするのかでも大きく違ってきます。
クラウドの利用もセキュリティ対策が心配される課題です。また、意外と情報漏洩しやすいのが紙媒体の資料で、完全なペーパーレスにするかどうかでもセキュリティ対策を考えていかなければなりません。
セキュリティというと外部に目を向けがちですが、内部不正についても注意を怠らないことが大切です。「相互牽制」を行うなど、権限者による不正を防ぐことも求められます。
このように、テレワークを導入すると言っても業務の幅や端末の問題、外部からの侵入や内部不正の心配など、さまざまな要素が絡んできます。
まずはテレワーク導入の基本的な部分を決めていかなければ、その先のセキュリティも決めることは難しいと考えた方がいいでしょう。
テレワークの導入を検討するなら初めに範囲や規定などをまとめていき、そこから企業が目指すセキュリティのレベルに応じた対策を取ることが適切です。セキュリティのベースラインを決めるには、目的に応じたセキュリティフレームワークを使うことがポイントと言えます。

立場別テレワークのセキュリティ対策のポイント

経営者によるセキュリティ対策

実際に端末を使用して働くのはテレワーカーとはいえ、セキュリティ対策まですべて本人任せにするのは現実的ではありません。本当にしっかりとしたセキュリティ対策を行えるのかどうか、社員のモラルや知識に左右されてしまうからです。これではデータ流出などのリスクが高まり、結果的に企業がダメージを受けることにもなりかねません。

このような事態を避けるためにも、テレワークを導入するうえで経営者によるセキュリティ対策は欠かせないポイントです。具体的には、テレワークで使用する端末の盗難・紛失に対する対策をまず行いましょう。端末に業務データが保存されている場合は、忘れずに暗号化しておくことが大切です。
また、端末によっては本体に最初から紛失対策機能が搭載されているものもありますし、セキュリティソフトやアプリなどでカバーすることもできます。それらの使用方法を確認したうえで、いざというときはスムーズに対策を実行できるよう、環境整備も進めておきましょう。

このほか、やむなくテレワークで使用する端末にデータを保存する場合は、セキュリティ機能付きのUSBメモリを活用すると安心です。なお、不要になったデータはそのままにしておくのではなく、迅速に削除させることも周知徹底しましょう。

システム管理者によるセキュリティ対策

テレワークのシステムを管理する担当者も、セキュリティ対策でできることが多くありません。たとえば、モバイルデータ通信に対応した端末を支給したり、セキュリティ対策が施された家庭内ネットワークを導入したりするなど、より安全なネットワークを選ぶと効果的です。
また、情報流出のリスクは外部からの攻撃だけではなく、内部不正によって発生することもあります。特に、上司や同僚など周囲の目がないテレワークの現場では、悪意のある社員により情報が不正に抜き取られるリスクも高まってしまいます。これを防ぐためにも、テレワーク中の操作ログを監視し、その事実を社員に伝えて不正を牽制するなどの対策も必要です。

テレワーク従業員によるセキュリティ対策

実際に端末を操作して業務を行うテレワーカーは、特にセキュリティ対策に慎重にならなければなりません。公共の場所など、第三者が近くにいても不思議ではないシーンでは、安易に機密情報を口にしないようにしたり、画面ののぞき見に注意したりすることが大切です。画面ののぞき見を防止するグッズなども市販されているので、活用してみると良いでしょう。

また、社内システムに安全にアクセスできるように努めることも義務といえます。テレワークでの作業中は、情報の取り扱いにおける責任はすべて自分にあります。自分の行動ひとつで、企業全体を巻き込む大きなトラブルを招くかもしれません。その自覚を持ち、社内システムにアクセスするときは必ず企業が指定した方法を守り、自分の判断でクラウドサービスなどを利用しないようにしましょう。

テレワークのセキュリティ対策1:環境面

ウイルスや不正アクセスに対処するために必要になってくるのが、セキュリティソフトです。
インターネット上ではサイトにアクセスするだけでウイルスに感染する場合もあります。一見問題のないサイトに見えても、悪質なポップ広告などは仕込まれている場合があり、その後の対処によってはウイルスに感染するかもしれません。
セキュリティソフトをインストールしておけばアクセスと同時にブロックしてくれるため、感染を防ぐことが可能です。
ウイルスや不正アクセスの方法は次々と新しいものが作り出されています。セキュリティを万全にするには、テレワークの業務に使用する端末は常にセキュリティソフトを最新の状態に更新しておくことを心がけましょう。
もちろん、業務中は安全なサイトだけにアクセスすることも重要です。
どのような業務を行うかでも違ってきますが、労働者が業務に使う端末でプライベートなサイトにアクセスしないなど注意しなければなりません。
また、データの容量によってはストレージ不足が起こる場合もあり、一時的な保存場所としてクラウドを利用するという方法もあります。
個人的なデータの保存でクラウドを利用するなら特に問題はありませんが、業務用として支給された端末を使い、仕事のデータの保存場所として勝手な判断でクラウドサービスを利用するのはリスクをともなうことも出てきます。
万が一データが流出するようなことがないよう、勝手な判断をしないことが賢明です。職場から貸与されている端末は特に注意が必要ですが、私物を活用する場合でも、業務にともなう作業やデータを扱うときは職場の指示に従うことを最優先にしましょう。

テレワークのセキュリティ対策2:家庭のネットワーク

在宅勤務の場合は、それまでインターネットを使ってきたかどうかでも違います。
テレワーク導入にともなってインターネット環境を整えるなら設置に関しては企業が全面的に負担することになるため、セキュリティ面に配慮しやすい環境を選定しやすいでしょう。
しかし、多くの場合は労働者が個人的に整えたインターネット環境をそのまま利用することになります。つまり、一般家庭のネットワークをそのまま業務で使うことで、セキュリティ面にあまり配慮されていないことがあるのです。
この場合の対策としては、ホームルータや周辺機器といったネットワークの安全性に配慮しなければなりません。
まずはIDやパスワードを初期設定から変更しておきましょう。設置しただけで普段あまり使っていない場合にはIDやパスワードはそのままという人もいます。できるだけ解読されにくいパスワードにし、定期的に変えることも重要です。セキュリティプログラムの更新も忘れずに行い、常に最新の状態にしておくことが大切です。
しかし、手動設定の場合はついつい忘れてしまうこともあるため、セキュリティを常に最新の状態にしておくには必ずプログラムの自動更新を設定しておくといいでしょう。
設定方法はプログラムによって異なりますが、自動更新のタイミングを夜間や早朝など業務を行わない時間帯に設定しておけば、業務に支障を出すことなく更新することが可能です。

テレワークのセキュリティ対策3:クラウドサービスの利用

テレワークではデータをスムーズに共有できることも課題になってきます。
その点、USBメモリだけを使うというのは難しいかもしれません。業務に関わる誰もが迅速でスムーズにデータを共有するには、クラウドサービスの利用は不可欠と言えるでしょう。
ただし、クラウドであればいいということではなく、適切なものを選ぶことが重要です。どこまでセキュリティを担保してくれるのか、自社で行う作業はどこまでなのか、など、いくつかのサービスと比較しながら信頼できるサービスであるかどうかを確認しましょう。
企業のポリシーに沿っているかどうかも十分考え、適切なクラウドサービスの利用が求められます。
そして、クラウドサービスを利用した後は、いつまでもデータを残さないことです。
必要がなくなったらすぐに削除しておきましょう。安全なクラウドサービスを選ぶことは大前提ですが、油断は禁物です。これはUSBメモリも同様のことが言えます。データはバックアップを取ることは必要ですが、簡単にコピーができるデジタルデータはできるだけ必要なものだけ残すようにするのもセキュリティの1つと言えます。
テレワークを目的として安全に利用するためには、労働者が使っている他のサービスと同じIDやパスワードを使いまわししないことも大きなポイントです。
使う側にとっては、普段設定しているパスワードやIDに近いものなら覚えやすいかもしれません。しかし、万が一他で使っているパスワードやIDを盗まれた場合には、業務で使うデータも不正アクセスが心配され、不安が高まることになります。パスワードやIDを盗まれ、アクセスされてからでは間に合いません。
面倒と感じても、プライベートと仕事ではきちんと変えるようにしましょう。忘れそうな場合には、自分だけがわかるような方法でメモをとっておく方法もあります。

セキュリティ対策のポイントは?

テレワークのセキュリティ対策は、まず情報セキュリティ担当者がセキュリティポリシーを制定するところから始めましょう。テレワークを適用するメンバーへの教育もおろそかにしてはいけません。
次に大切なのは、万が一トラブルが発生した場合の訓練を行うことです。ただセキュリティ対策を決めただけでは、実際にトラブルが発生したときにスムーズに対応できないことは容易に想定できます。
セキュリティ対策を適切に施したら、ツールを運用できる費用の確保や適切な人材も必要です。セキュリティに関しては、システム管理者が情報の重要度に見合った適切な対策を行う必要があります。
また、実際にテレワークを行う労働者が自らセキュリティポリシーに沿った対策を行うことも大切です。
利用者が直接管理責任を自覚し、そのうえで定期的に点検を行うことが求められます。具体的には、メールの送受信などもその1つです。添付ファイルの確認や暗号化の徹底なども怠ってはいけません。
作業中は画面の覗き見などにも配慮が必要です。覗き見が防止できるフィルタの使用などを心がけましょう。
このように、テレワークの導入にはさまざまなセキュリティ対策の策定と実施が大切です。

テレワークはセキュリティへの配慮が欠かせない!

テレワークには「オンライン型」の他に「オフライン持ち出し型」や「シンクライアント型」があります。オフラインでもオンラインでも情報漏洩の心配はあり、適切なセキュリティ対策が必要です。
まずはどこまでテレワークを導入するかなど範囲や規定などを決め、企業に合ったレベルのセキュリティ対策を行いましょう。

前の記事:導入することでコスト削減につながるのか?テレワークにかかる費用
次の記事:テレワークにはデメリットもある?課題解決のポイントを押さえよう!