【管理職必読】テレワークの情報セキュリティ対策 | 検討すべきポイントや対策の種類を紹介

Covid-19の流行に伴い、テレワークは急速に普及しました。オフィスではなく、自宅やサテライトオフィス等、社外から仕事をするテレワークでは、どのようなセキュリティの問題があるのでしょうか。
今回は、テレワークを行うにあたってセキュリティ対策が求められる背景や、経営者、システム・セキュリティ管理者、テレワーク勤務者それぞれが意識すべきこと、必要なセキュリティ対策およびツールについて紹介します。

テレワークとは

テレワークとは、「Tele（遠隔）」と「Work（ 働く）」を組み合わせた造語であり、情報通信技術を活用して、働く場所や時間を柔軟に決定できる働き方のことです。「リモートワーク」という言葉も同じ意味で使われています。

日本テレワーク協会

 

3 users

2 pockets

日本テレワーク協会

https://japan-telework.or.jp/tw_about/

日本テレワーク協会は、テレワークを通じ、調和のとれた日本社会の持続的な発展に寄与して参ります。テレワークによる情報通信技術を活用した場所や時間にとらわれない柔軟な働き方が、社員の働きやすい環境整備を実現すると共に、企業革新・企業成長を可能とさせることが出来ます。

テレワークが普及した経緯

日本におけるテレワーク普及の歴史は、1980年代に遡ります。当時アメリカで普及していたテレワークの勤務形態を参考にして、出産や育児に励む女性社員の通勤負担を軽減するため、NECがサテライトオフィスを設置したのがはじまりです。
ちなみにサテライトオフィスとは、企業の本拠地から離れた場所に設けられた小規模なオフィスです。

その後1990年代後半になると、パソコンやインターネットが普及し、テレワークが再び注目を浴びました。バブル崩壊以降、生産性の向上が強く求められるようになったこともテレワーク普及の追い風となりました。

そして2006年には、政府が2010年までにテレワーク人口を倍増する目標を掲げました。結果として、2005年には10.4%であったテレワーク比率が、2008年には15.2%まで増進しました。
そして2020年、Covid-19の流行と緊急事態宣言の発令を契機に、テレワークの普及率は急速に高まり、東京都の調査によると2021年5月時点の都内企業（従業員30人以上）のテレワーク実施率は64.8％となっています。

画像出典元：東京都「テレワーク実施率調査結果」より

これは、第一回の緊急事態宣言が発令された2020年3月の24.0％と比較して、2.7倍の水準です。

TUNAG - エンゲージメント経営プラットフォーム

 

1 pocket

日本のテレワークの歴史とは？年代ごとの取り組みをご紹介します

https://tunag.jp/ja/contents/hr-column/13517/

テレワークとは、情報通信技術(ICT = Information and Communication Technology)を活用した、場所や時間にとらわれない柔軟な働き方のことです。リモートワークという言葉もほぼ同義として扱われています。

www.metro.tokyo.lg.jp

 

1 user

1 pocket

テレワーク実施率調査結果｜東京都

https://www.metro.tokyo.lg.jp/tosei/hodohappyo/press/2021/06/03/03.html

東京都は、5月の都内企業のテレワーク実施状況について、調査を行いましたので結果をお知らせします。

www.soumu.go.jp

 

4 users

7 pockets

https://www.soumu.go.jp/johotsusintokei/linkdata/h22_06_houkoku.pdf

https://www.soumu.go.jp/johotsusintokei/linkdata/h22_06_houkoku.pdf

テレワークの形態

テレワークには複数の形態があり、業務を行う場所に応じて、在宅勤務、サテライトオフィス勤務、モバイル勤務に大別することができます。

• 在宅勤務
  自宅で業務を行う形態です。通勤にかかっていた移動時間を有効活用することができます。また、子どもを見ながら、介護をしながら、など労働時間を柔軟に運用できるため、仕事と家庭生活の両立がしやすい働き方です。

• サテライトオフィス勤務
  通常のオフィスよりも自宅に近い場所に設けられたサテライトオフィスで業務を行う形態です。メリットとして通勤時間を短縮できる点、ネットワークが安定していたり、会議用のスペースが設けられていたり、オフィスに近い環境で仕事できる点が挙げられます。

• モバイル勤務
  ノートPCやスマートフォン等を活用し、自由に働く場所を選択する形態です。外出先の喫茶店や新幹線の社内など、働く場所を柔軟に決定することで、効率化を図ることができます。
  
  

  www.soumu.go.jp

   

  51 users

  23 pockets

  

  https://www.soumu.go.jp/main_content/000752925.pdf

  https://www.soumu.go.jp/main_content/000752925.pdf

テレワークを行うにあたりセキュリティ対策が求められる背景

テレワークを行うにあたり、セキュリティ対策が求められる背景には、以下のようにテレワーク特有のセキュリティ上のリスクがあります。

1. 機密情報の入った端末が紛失・盗難に遭うおそれ
2. 悪意を持った第三者ののぞき見、音声の盗聴

例えば、テレワークで使用するパソコンやスマートフォンには、企業の機密情報が保存されていることがあるため、紛失や盗難を未然に防ぐ必要があります。データが端末に保存される場合には、暗号化しなければなりません。テレワーク端末にデータを保存しないシンクライアントPCにする等の対策も必要です。
また、セキュリティを維持するため、各従業員が各自の端末のソフトウェアアップデートを定期的に行うよう指示する必要もあります。
それ以外にも、オフィス外で社外秘の情報を扱う場合には、悪意を持った第三者によるのぞき見や、音声の盗聴の対策も必要です。

セキュリティを守るために検討すべきポイント

続いて、テレワークを行う企業が、セキュリティを守るために検討すべきポイントを、総務省のテレワークセキュリティガイドラインを参考にして説明します。

www.soumu.go.jp

 

51 users

23 pockets

https://www.soumu.go.jp/main_content/000752925.pdf

https://www.soumu.go.jp/main_content/000752925.pdf

ルール・人・技術のバランス

効果的なセキュリティ対策を実現するには、「ルール」、「人」、「技術」のバランスの取れた対策を実施し、全体のセキュリティ水準を引き上げる必要があります。

オフィスで勤務する場合と比べ、テレワークでは、インターネットを介するやりとりが増えたり、従業員以外の第三者が立ち入る可能性が高くなったり、コミュニケーション手段や物理的な空間などの環境が異なることから、それに応じた対策が必要になります。

セキュリティ対策を検討する際には、まずはじめに保護すべき情報資産を洗い出し、脅威や脆弱性を事前に把握することが必要不可欠です。そして重要度をつけ、体系的に対策を講じるのです。

ちなみに企業のセキュリティ対策の水準は、全体のうち最もセキュリティ水準の弱い部分で判断されるといわれています。すなわち、どこか一か所でも弱点があれば、どんなに他の対策を講じても全体のセキュリティレベルは向上しないということです。

• ルール
  業務を進めるうえで、その都度、セキュリティ上の安全性を判断していたのでは、非効率ですし、適切ではない判断を下してしまうリスクがあります。ルールを事前に定めておき、各従業員にはルールを守ることを意識してもらう。
  そうすることで安全に仕事を進めることができるでしょう。

• 人
  ルールを定めても、従業員がそれを守らなければ、効果はありません。従業員にルールを徹底させる必要があります。
  特にテレワークでは従業員が管理者の目が届かない場所で勤務することになるため、ルールが徹底されているかどうか、確認が難しいもの。
  研修等の実施を通じて、ルールの趣旨を十分に理解させ、ルールを守ることが従業員自らのメリットになると実感させることが重要です。

• 技術
  技術的な対策は、ルールや人が対応できない部分を補完します。
  一つ注意が必要なのは、技術的な対策を講じる際には、利便性とセキュリティ強度のバランスのとれたものを選定するということ。技術的な対策によりセキュリティを強化した結果、ユーザーの利便性が不必要に損なわれたのでは本末転倒です。

組織内の役割分担

テレワークの実施に際しては、経営者、システム・セキュリティ管理者、テレワーク勤務者が各々の立場で役割を担い、セキュリティの意識を持つことが重要です。

経営者の役割

経営者の役割は、事業の健全な発展とセキュリティリスクへの対応の両側面から、組織のあるべき姿を検討して、方針を示し、システム・セキュリティ管理者に作業指示を行うことです。具体的には、以下のような事項があります。

• セキュリティ上の脅威と事業リスクの認識
• テレワークに対応したセキュリティポリシーの策定
• セキュリティ管理体制の構築
• 予算・人員の確保
• セキュリティリスクへの対応方針・計画策定
• セキュリティ対策の体制構築
• 規定や対策の継続的な見直し
• セキュリティ研修の実施と受講徹底化
• セキュリティ事故に備えた計画策定や体制整備

システムセキュリティ管理者の役割

システム・セキュリティ管理者の役割は、経営者が示した方針や支持を具体化することです。例えば、情報セキュリティに関するルールを策定し、従業員に周知・徹底させるなどの役割を担います。具体的には、以下のような役割があります。

• 情報セキュリティ関連規定の策定・見直し
• ハードウェア・ソフトウェアの適切な管理
• セキュリティ研修の実施
• 情報セキュリティ事故発生に備えた準備と発生時の対応
• 情報セキュリティ事故の連絡受付
• セキュリティ脅威情報・最新動向の把握と対策

テレワーク勤務者の役割

テレワーク勤務者の役割は、システム・セキュリティ管理者が策定したルールを理解し、遵守することです。具体的には、以下のような役割を担います。

• 情報セキュリティ規定の遵守
• テレワーク利用端末の適切な管理
• 認証情報（ID・パスワード等）の適切な設定・管理
• 安全なテレワーク環境の確保
• セキュリティ研修への参加
• 情報セキュリティ事故に備えた連絡方法の確認
• 情報セキュリティ事故発生時の遅滞ない報告

クラウドサービスの活用

クラウドサービスとは、ネットワークを介してコンピューター資源（計算能力、記録装置等）を必要な分だけ利用できるサービスです。
従来のオンプレミス環境（ハードウェアを自ら保有し、システムを構築・運用する環境）とは異なり、組織でサーバー等を保有する必要がありません。

テレワークは、クラウドサービスとの相性がよいと言えます。通常、企業のシステムは自社向けにサービスを提供することを想定して構築しているため、インターネット環境を前提としたテレワークを行うには大規模な改修が必要になることも。

一方、もともとインターネットを介してサービスを提供する前提で設計されているSaaS（Software as a Service：メールやカレンダー、文書作成などソフトウェアを提供するサービス）などのクラウドサービスでは、上記のような大規模な改修は必要ありません。そのため、比較的容易に、短期間で導入することができます。

ゼロトラストセキュリティの導入

サイバー攻撃の高度化等の環境変化に伴い、「ゼロトラストセキュリティ」という考え方が注目されています。

ゼロトラストセキュリティとは、外部のみならず、内部ネットワークにも脅威が存在するという前提で、データや機器など、より細かい単位でセキュリティを強化すべきという考え方です。

ゼロトラストセキュリティと対照的な考え方として、従来の境界型セキュリティがあります。これは、内部と外部に境界を設けて、外部からの攻撃を防御するという考え方です。逆に言えば、内部にあるものは、信頼できるものと判断されます。ゼロトラストセキュリティでは、内部にあるものも疑ってかかるという、性悪説に基づいたセキュリティの考え方です。

テレワークでは、インターネットを介して、自宅等の社外から企業の情報資産にアクセスすることになります。近年の高度化したサイバー攻撃に対抗するには、内部に侵入されることも念頭に置いた対策が重要となります。

テレワークの方式の選定

続いて、テレワーク方式の選定について説明します。テレワークの方式には以下のような種類があります。

• VPN方式
  テレワーク端末から、VPN（Virtual Private Network：仮想プライベートネットワーク）接続を行い、社内のサーバー等にアクセスする方式です。会社のPC持ち帰り方式とも呼ばれます。

• リモートデスクトップ方式
  テレワーク端末から、オフィスの物理端末に接続し、遠隔操作を行う方式です。

• 仮想デスクトップ方式
  テレワーク端末から、仮想デスクトップ基板上のデスクトップ端末に接続を行い、仮想デスクトップ端末を遠隔操作する方式です。

• セキュアコンテナ方式
  テレワーク端末に、ローカル環境とは独立したセキュアコンテナという仮想的な端末を作成し、セキュアコンテナ内でアプリケーションを動作させる方式です。アプリケーションラッピング方式とも呼ばれます。

• セキュアブラウザ方式
  テレワーク端末から、セキュアブラウザというセキュリティを強化した特殊なブラウザを介して、オフィスのシステム等にアクセスする方式です。

• クラウドサービス方式
  VPNには接続せず、テレワーク端末からインターネット上のクラウドサービスに接続して業務を行う方式です。

• スタンドアロン方式
  VPNには接続せず、予めテレワーク端末や外部記録媒体に必要なデータを保存し、業務を行う方式です。VPN方式とは、VPNに接続しない点が異なりますが、会社のPC持ち帰り方式である点は共通しています。

総務省の情報セキュリティガイドラインでは、以下のようなフローチャートで整理されています。自社に最適なテレワーク方式の選定に参考にしてください。

出典：総務省「テレワークセキュリティガイドライン第5版」より

テレワークのセキュリティ対策の種類と対策ツール

テレワークのセキュリティ対策は、以下のような種類ががあります。

• ガバナンス・リスク対策
  情報セキュリティ規定の策定により、組織の情報セキュリティに関する統一的なルールを設け、セキュリティレベルを一定以上に確保します。
  また、クラウドサービスの利用に関するルールの設定も必要になります。

• 資産・構成管理
  資産台帳の整備により、組織内で使用されるハードウェア・ソフトウェアの所在や利用者、バージョン、パッチの適用状況などを明らかにします。これがないと、どのデバイス・ソフトウェアに対して、どのような対策が必要なのかがわかりません。
  許可されていないハードウェア・ソフトウェア、クラウドサービスが無断で使用されると、セキュリティ上の統制ができなくなり、情報セキュリティ事故の危険性が高まります。そのため、許可されていないソフトウェアのインストールができないように制御し、把握していないクラウドサービスの利用禁止を周知徹底する必要があります。

• 脆弱性管理
  セキュリティアップデートの実施による脆弱性への対策を定期的に行います。リリースされて一定以上の期間が経過した製品やサービスはサポートが終了し、セキュリティ対策が行われていないものがありますので、利用を控えるようにしましょう。

• 特権管理
  管理者権限は、一般のユーザーの権限と比較して、システム上でより多くの操作を行うことができるため、管理者権限が不正に利用されると、甚大な被害を受けることになります。管理者権限を付与する対象は最低限に留め、IPアドレス制限等により、限られた環境からしか利用できないように制御することが重要です。
  例えば、Windows環境では、管理者権限を付与されたユーザーは、テレワーク端末へのアプリケーションのインストールやファイアウォールの設定することができます。このような設定変更を自由にできる環境は、セキュリティ上のリスクとなります。したがって、テレワーク端末を利用するユーザーには、管理者権限を与えず、ユーザー権限を設定して、利用を制限しましょう。

• データ保護
  データを効率的に確実に保護するには、保護すべき情報の分類を明確にする必要があります。例えば、「機密情報」「業務情報」「公開情報」という3つの区分を設けることで、各情報の管理レベルや取り扱い方法を適切に区別することができます。
  また、記録媒体の暗号化や廃棄を適切に行う必要があります。テレワークでは、情報資産をオフィス外に持ち出す必要があるため、取り扱いには十分に注意しましょう。
  情報の持ち出しに際しては端末管理ツールを導入するのも有効です。テレワーク端末やUSBメモリ等の記録媒体の自動暗号化を行う、文書管理システムや暗号化ソリューションを用いてファイルを強制的に暗号化することもできます。テレワーク勤務者が意図的に暗号化セキュリティ設定を変更できない仕組みをつくる必要があるでしょう。
  また端末の紛失や故障によって、データが消失してしまうことがあります。このような事態に備えて、社内ネットワーク上の共有フォルダ等にバックアップを保管する必要があります。

  そこで有効なのがMDM（Mobile Device Management：モバイルデバイス管理システム）の導入です。遠隔から端末の位置情報を把握し、テレワーク端末上のデータを消去することができます。これにより、悪意のある第三者に紛失端末を拾われて、情報漏洩する危険性が軽減できます。

• マルウェア対策
  セキュリティ（ウィルス対策）ソフトを導入することで、マルウェア（コンピューターウイルス等）の脅威に対抗することができます。
  また、EDR（Endpoint Detection and Response：脅威検知と対応支援製品）の導入も有効な対応策の一つです。EDRは、従来のセキュリティソフトのように、既知のマルウェアの特徴をパターンファイルとして保持して、一致した場合に検知するのではなく、OSやアプリケーションの挙動を監視し、マルウェアに類似する挙動を検知します。そのため、未知のマルウェアにも有効です。
  ちなみに従業員のうち、誰か一人でもソフトウェアの更新を怠るとマルウェアに感染するリスクが生じるため、テレワーク端末を一元管理して定義ファイルの更新漏れを回避することも重要です。

• 通信の保護・暗号化
  インターネット経由でデータの送受信を行う際には、第三者に通信を傍受されるリスクを想定する必要があります。通信を暗号化することで、万が一傍受された場合でもデータを保護することができます。
  無線LANについても、Wi-Fiの暗号化のためのパスワードや管理者用のパスワードは、第三者に推測されにくいものを設定するよう周知しましょう。
  また多数のテレワーク勤務者がVPNに同時接続する場合、帯域が圧迫されてアクセス速度が低下することがありますので、システム管理者は十分な帯域を確保する等、セキュリティとともに、可用性にも配慮する必要があります。

• アカウント・認証管理
  テレワーク勤務者が社内ネットワーク内のシステムやクラウドサービスにアクセスする際には、多要素認証（ID・パスワードに加えてワンタイムパスワードなど追加の認証を行う認証方式）や電子証明書（信頼できる第三者が本人であることを電子的に証明する）などの技術的な対策が有効です。
  また、パスワードポリシー（一定以上の長さ、文字種別の組み合わせ、使いまわしの禁止等）に準拠した運用を行うことが重要です。パスワードは、第三者が推測しにくいものを設定する必要があります。

• アクセス制御・認可
  不正アクセスの未然防止には、ファイアウォールによるアクセス制御、IPアドレス制限、不要なポートを閉じるなど、ネットワークのセキュリティ対策を講じることが有効です。また、トラフィック（転送されたデータ）を監視することで外部からの侵入者を早期に発見できることがあります。
  オンライン会議システムの利用にあたっては、パスワード設定やロビー（仮想的な待合室）での参加者確認、参加者の事前登録など、第三者が不正に侵入することを未然に防止する措置が有効です。

• 情報セキュリティ事故対応・ログ管理
  情報セキュリティ事故が発生した際に適切に対処するためには、事前に事故発生時の各種対応計画や手順を準備しておく必要があります。
  情報セキュリティ事故が発生した後の原因分析に、ログは必要不可欠です。アクセスログ、認証ログ、操作ログなどの各種記録を取得・保存しておくようにしましょう。

• 物理的セキュリティ
  テレワークでは、自宅以外の場所で行われることも考えられます。とくに不特定多数の人々が出入りする場所でテレワークを実施する場合には、のぞき見等による情報漏洩が起きないように配慮しましょう。
  オンライン会議では、機密性のある情報を取り扱う場合、自分および相手が発する音声が周囲の第三者に聞こえないようにする必要があります。また、画面共有機能を使用する場合には、見せてはいけない情報を誤って共有しないように注意して操作することが重要です。

• 脅威動向や脆弱性情報の調査
  脅威動向や脆弱性情報は変化し続けているため、定期的な情報収集が必要です。IPA（独立行政法人情報処理推進機構）、NISC（内閣官房内閣サイバーセキュリティセンター）等の機関が定期的に情報発信をしています。

• 教育
  テレワーク勤務者のセキュリティへの理解を深めるためには、研修等のセキュリティ教育が必要不可欠です。また一過性の教育ではなく、継続して注意喚起を行わなければなりません。加えて定期的にセキュリティ対策状況の個別確認を行うことも有用です。

まとめ

テレワークのセキュリティ対策が求められる背景には、テレワーク特有のセキュリティ上のリスクがあります。

オフィスで勤務する場合と比べ、テレワークでは、インターネットを介するやりとりが増える、従業員以外の第三者が立ち入る可能性が高くなるなど、環境が異なります。

セキュリティ対策は、テレワークの方式や会社組織の特性を踏まえる必要があります。この記事を参考にして、貴社のテレワークのセキュリティ対策に役立てていただければ幸いです。