2022年4月28日
リスク回避!リモート環境における12のセキュリティチェックポイント
「リモートワーク時の業務ルールチェックシート作成に必要な項目があれば知りたい」
「組織としてリモートワーク時に必要なセキュリティ対策は?」
リモートワークを取り仕切る管理者の方は、ざまざまな疑問や悩みをお持ちかと思います。
リモートワークでもっとも気になる点は、セキュリティと従業員の管理ですよね。
この記事では、おろそかにすると重大事故にもつながるリモートワークでのセキュリティをテーマに、組織、従業員へ対する対策を解説しています。
ポイントは、従業員のセキュリティに対する意識の向上です。
リモートワークの管理者の方や、これから管理を任される方は、ぜひこちらの記事を参考にしてください。
会社組織としての対策
まず会社組織として、どのようにリモートワークに対応していくか、5つのチェックポイントに分けて解説していきます。
パソコンなど端末利用の扱い
リモートワークを行う際、機器の持ち出しが必要になります。
真っ先に思いつくのはノートパソコンですが、他にはWi-Fiルーターや携帯電話、パソコン周辺機器など様々です。
持ち出すということは、必ず盗難や紛失の危険性が伴います。
また、移動距離や扱い方によっては破損のリスクも考えなければいけません。
端末利用について、万が一の時の対応策を考えておきましょう。
以下は一例です。
- パスワードの設定方法
パソコンへのユーザー登録およびパスワードの設定は当然行っているかと思いますが、これだけでは不十分です。HDDおよびSSDを取り外し、悪意の第三者が所有するパソコンに設置することで、内部のデータに簡単にアクセスすることが可能です。その対策として、「ATAパスワードロック」も必ず設定しましょう。 - OSやシステムファイルの暗号化
暗号化ソフトウェアは多く出回っているので、ぜひご検討ください。 - 紛失時のGPS設定
GPSで端末の場所を把握できるように、紛失タグなどの製品やソフトウェアを入れておきましょう。
社内でデスクトップのパソコンしか使っていない場合、リモート対応できる機器の用意や、個人で端末を利用する場合の各種セキュリティツールの導入も必要になります。
上記のIPAのサイトを参考に、できるだけの対策をとりましょう。
ネットワーク接続の危機管理
端末には物理的なリスクだけでなく、使用上のリスクが伴うこともあります。
通信は傍受されたり、不正アクセスを狙われたり、ネットワークのリスクは少なからず存在します。
特にカフェなどでの使用は細心の注意が必要です。(本記事下部にて説明)
インターネット接続時は、安全性が担保されていない回線を使わない、知らない差出人からのメールをクリックしないなど社内で共有するためのルールをしっかりと策定しておきましょう。
ファイル管理方法の検討
電子ファイルの管理も気をつけるべきポイントがたくさんあります。
閲覧時のリスクとして挙げられるのは、周囲からの覗き見リスクです。
自宅での作業であればリスク削減できますが、カフェなどでノートパソコンを開く時にこのリスクが顕在化します。
中には覗き見が目的でカフェにいる人もいますので、注意が必要です。覗き見防止フィルムなどを活用しましょう。
ファイル共有時のリスクは、送信間違いです。
全く関係のない社外の人に、機密ファイルを送ってしまうなど大きな事故につながることもあります。
チャットツールやビデオ会議などコミュニケーションツールの穴
リモートワークでは、離れた仕事仲間とのコミュニケーションが重要です。
有料、無料問わず便利なツールがたくさんリリースされていますが、このようなアプリにもセキュリティ上のリスクが存在します。
アプリそのものの安全性はもちろん重要なのですが、ログインパスワードの管理や、設定上のミス、ビデオ会議のURLの設定共有方法のミスにより、不正アクセスが起きることがあります。
日常的に使うツールはつい管理が甘くなってしまいがちなので、パスワードの定期変更や、利用時のルールなど、外で利用するときは注意を怠らずに利用しましょう。
情報システム部門などでガイドラインを策定
ここまで挙げてきた項目を、情報システム部門や総務部にてルールを策定し、社内で共有するようにしましょう。
各部門と連携しつつ、より現実的なルールに落とし込んでいくと実効性の高いルールを作ることができるでしょう。
ガイドラインを策定することで、万が一の時でも被害や損失を少なく抑えることができます。
リモートワーク実施者への対策
会社として行うべきセキュリティ対策を紹介してきましたが、ここからはリモートワークを行う各社員が持つべき意識や、個々の対策を解説していきます。
リモートワーク実施前の研修
リモートワークを開始する前に、会社で行う研修や説明会に参加することを促し、情報セキュリティに対する意識を高めていくことが重要です。
このような研修は、営業部など現場に関わる社員からは「数字に関係ない研修」としてないがしろにされがちです。
実は営業部門こそ社外とのコンタクトが発生したり、社内の連絡・連携が頻繁に発生したりなど、情報を扱う機会が多いため、基本的なセキュリティ意識が必要なのです。
組織全体でセキュリティ意識を共有できるかがポイントとなります。
端末へのセキュリティソフトダウンロード
リモートワークで使うパソコンは、会社で使われているセキュリティソフトをインストールするようにしましょう。
セキュリティソフトがウイルス感染を確実に防いでくれるわけではありませんが、ウイルス感染のリスクの低減や、危険の察知はセキュリティソフトがあるとより確実です。
セキュリティの欠陥を無くすために、パソコンのOSの定期的なアップロードも忘れずに行いましょう。
端末の紛失、盗難時の対策確認
セキュリティ対策ソフトと同じく、機器の紛失・盗難時に、不正利用やデータ流出などの二次被害を避けるための対策を事前に行いましょう。
また、ソフトウェアのインストールをするだけでなく、もし紛失・盗難が起きた場合の情報伝達の仕方なども対策の一つに含まれます。
指定のネットワークへの接続
ネットワークは昨今日々当たり前のように常時接続していますが、知識がないとリスクを意識しにくい特徴があります。
リモートワークでインターネット等に接続するときは、安全性が確保された回線を使わなければいけません。
VPNの設定がなされている場合は、それ以外のネットワークへ接続しないように徹底しましょう。
規定のファイル管理手順の徹底
組織でクラウドを利用する場合は、決められた手順などルールが形骸化しないようにしなければいけません。
各課やチームでの意識統一、共有を日々行うことが重要です。
クラウドサーバーの活用は、物理的破損によるデータ消失や盗難に対して有効で、社外の方とファイル共有する際も、誤送信リスクを無くすことができるため、積極的に活用したいツールです。
セキュリティ事故が起きた時の対応
縁がないと思われがちなセキュリティ事故ですが、身近なものとして捉える意識の高さを共有できるよう務めなければいけません。
セキュリティ事故は起きてしまうと、予想外に大きな損失を被ることになるのです。
万が一起きてしまったときの対処法は、
- 上長連絡
- コトの大きさにより、対策会議
- 再発しないための、始末書や改善書の提出
などを参考に、会社・部署ごとに取り決めを作りましょう。
個人のミスを隠蔽するために報告が遅れてしまうような組織にならないよう、様々な視点からの組織づくりを心がけなければいけません。
機械的なセキュリティ検知ツールの導入も必要でしょう。
カフェなど屋外で作業する際の注意点
カフェなど、自宅や会社外で作業する時は安易に公衆Wi-Fiへ接続するのは控えましょう。
公衆Wi-Fiのイメージは、自宅の窓やドアを開け放したまま日常生活をしているようなもので、フルオープンな状態となっています。
リアルな生活を全開で公開する人はそうそういないでしょう。
公衆Wi-Fiのネットワーク下であれば、知識のある人ならば悪意ある不正アクセスを行うことは可能です。
ネットワーク以外にも、画面の覗き見にも注意しましょう。
画面覗き見対策は、専用のフィルムやツールがありますので、対策を忘れずに行います。
リモートにはセキュリティ意識の向上が必須
リモートワークを実施する前に組織全体でのセキュリティ意識の再確認、共有は必須です。周知徹底ができていない状況で、リモートワークを行ってはいけません。
周知、共有は、組織と個人単位でしっかりと行います。
セキュリティ研修の一般的な方法は研修で共有し、eラーニングのようなテスト形式での知識定着です。
周知、共有は3ヶ月に1回、毎月など定期的に繰り返しおこなうことでより確実にセキュリティ意識を定着することができます。
ルールの策定は情報システム部や総務部で行いますが、策定内容がわからない場合は専門コンサル会社へ依頼するのもよいでしょう。
時代の流れによってリモートワークの実施は避けられない状況ですが、用意だけは忘れずに万全の状態で実施しなければいけません。
関連記事