新型コロナウイルスの感染拡大と働き方改革の推進も相まって、多くの企業で導入されているのがテレワークです。しかし、個人のパソコンを使用しての業務にはさまざまなセキュリティリスクが懸念されます。
そこで今回は、テレワークにおけるセキュリティリスクと、その対策について解説します。
テレワークにおけるセキュリティリスクの種類
当然のことながら企業にとって「信用」は重視すべきものであり、セキュリティ管理はその信用を維持するために不可欠な要素の一つです。情報漏洩を未然に防ぐためには、まずどのようなリスクが潜んでいるのかを知る必要があります。あらゆるリスクを想定して把握するからこそ、的確な対策の立案につながります。ここでは、テレワークの導入における、さまざまなセキュリティリスクについて見ていきましょう。
PCやデバイスの紛失
情報漏洩インシデントの大きな原因のひとつがパソコンやデバイスの紛失です。セキュリティサービス企業「McAfee」が行った「情報漏えいインシデントの発生原因ワースト10とそれを克服する最適な対策」によると、情報漏洩事故の原因ワースト1位は「管理ミス」、2位が「誤操作」、3位が「不正アクセス」、そして第4位が「紛失・置き忘れ」となっています。この調査によって見えてくるのは、不正アクセスやウイルスといった外部からの脅威よりも、管理ミス、誤操作、紛失といった内部のヒューマンエラーによる情報漏洩が多数を占めているという事実です。
https://www.mcafee.com/enterprise/ja-jp/assets/solution-briefs/sb_06_databreach.pdf
テレワークの普及も情報漏洩リスクを高める要因といえます。カフェやサテライトオフィス、あるいはコワーキングスペースなどで業務を行う場合、オフィス勤務と比較して紛失リスクが大幅に増加します。テレワークは新しい働き方として大きな注目を集めている業務形態です。しかし、パソコンやモバイルデバイスを持ち歩く機会が増えたことで、情報漏洩リスクが高まるのは避けられないでしょう。また、紛失したデバイスが発見されたとしても、内部データが流出していないとは言い切れません。こうした危険性を排除するためには、社員一人ひとりが高い情報管理意識を持つ必要があります。
内部不正
企業内部の人間による不正も情報漏洩の大きな原因です。IPAが行った調査「情報セキュリティ10大脅威2020」によると「内部不正による情報漏洩」が2位に位置しています。社外での作業は社内の人間の目がなくなり、機密情報の持ち出しといった内部不正を行いやすくなるので注意が必要です。新型コロナウイルス感染拡大によるテレワークの導入は適切な措置ではありますが、社員の情報管理を徹底できる環境とは言い難いのが実情です。
https://www.ipa.go.jp/files/000080871.pdf
内部不正による情報漏洩の一例を挙げると、2014年に某大手教育関連企業が約2,800万件以上の顧客情報を流出させた事件がありました。事件の原因は、顧客情報データベースの管理を委託していた関連企業のスタッフによる不正です。企業が培ってきた信用を守るためにも、こうした内部不正を防ぐための対策を確立する必要があります。
https://www.benesse.co.jp/customer/bcinfo/01.html
個人端末利用(BYOD)
BYODとは「Bring Your Own Device」の略称です。社員が私物のパソコンやモバイルデバイスを業務利用することを指します。BYODはテレワークの普及により格段に普及し、会社のみならず教育現場でも導入が進められている施策です。メリットとしては、個人が使い慣れたパソコンやタブレットを利用することで労働生産性が向上すること。また、企業が業務用のデバイスを新しく用意する必要がなく、経費削減につながるのも大きなメリットです。
その反面、デメリットも少なからず存在します。第一に個人端末は、業務用パソコンのような安全性を担保できません。これは最も懸念すべき不安材料といえます。業務のデータと私用のデータが同じ端末に混在することで、パソコンをプライベート利用する際に、他者に企業の機密データを見られてしまう可能性もあるでしょう。また、バスや電車といった公共の場所において、第三者にのぞき見されるリスクも無視できない要素です。社内環境のような高い水準での情報管理を求められないのがBYODの大きなデメリットです。
個人のPCを業務で使うセキュリティリスク
前の項目でご紹介した通り、テレワークの普及により、業務における個人のパソコン利用率は高まる一方です。そして、その流れは今後も加速していくと予測されます。ここでは、個人のパソコンを業務利用する際のセキュリティリスクについて解説します。
私用パソコンでテレワークせざるを得ない現状
多くの企業が、私用パソコンを業務利用する危険性について理解しているでしょう。しかし、全社員にデバイスを配布するとなれば多額の費用が必要になるため、私用パソコンを利用せざるを得ないのが実情です。企業規模が大きいほど、テレワークへの設備投資に対して熱心な傾向にあります。一方、資金力に不安のある中小企業では、コロナ禍の最中にさらなる設備投資というコスト圧迫は避けたいのが本音。テレワーク用に新たに端末を用意することが難しいという場合もあるでしょう。しかし、テレワークの普及は決してコロナ禍による一過性のものではありません。多様な働き方が求められる現代社会において、スタンダードになり得る業務形態です。したがって、セキュリティ管理の徹底と設備投資は避けて通れない課題といえます。
セキュリティ対策が個人の知識やモラルに依存
テレワークを導入している多くの企業において、セキュリティ対策が個人の知識やモラルに依存しているのが実情です。個人のパソコンを業務利用するリスクは紛失や盗難だけではありません。たとえば、パソコンやタブレットがマルウェアに感染しているケースも考えられます。マルウェアとは、ソフトウェアのインストールや悪質なWebサイトの閲覧によって感染する悪意のあるプログラムです。マルウェアに感染したデバイスをそのまま業務利用することで、社内ネットワークにも拡散する恐れがあります。
また、Webサービスやアプリケーションを利用した際、何らかの原因でそのサービス内で情報漏洩やデータの破損などが発生する可能性も否定できません。発生した損害によっては、企業に多大な損失や影響が及ぶ可能性もあります。堅牢なセキュリティ機能を有していない、個人利用のパソコンはこのような危険性と常に隣り合わせです。このような事態を防ぐためにも、組織全体のセキュリティ管理に対する意識改革が求められます。
家庭内のネットワークから感染
家庭内ネットワークに接続する端末が、不正サイトへのフィッシング被害を受けるリスクは少なくありません。在宅勤務のような業務形態では、情報漏洩リスクが家庭内のネットワーク環境に大きく依存します。たとえば、社員が自宅に設置したホームルーターや周辺機器に不備があれば、ウイルスやマルウェアの侵入を許してしまうでしょう。そして、家庭内のネットワークに不正侵入をされてしまうと、結果として社内ネットワークに侵入するための踏み台になります。パソコンだけではなく、家庭内のネットワーク機器のセキュリティ管理も同様に重要であることを忘れてはなりません。
個人のPCでのテレワークで注意点
個人のパソコンを業務利用することで、さまざまな危険性に晒されます。しかし、テレワークの実施において、個人パソコンを利用せざるをえない場合があるのも事実です。そこで、大切なのはリスクマネジメントです。ここでは、個人のパソコンを業務利用する際の注意点について解説します。
会社で許可したデバイス・PCのみを利用する
個人が所有するパソコンであっても、自社で許可した端末のみを使用することでセキュリティ強化につながります。OSやソフトウェアを常に最新バージョンにアップデートするよう徹底することも忘れてはなりません。また、モバイルワーク時にWi-Fi経由で社内システムにアクセスする際は、より安全性の高い接続方法を選択させましょう。たとえば、公衆Wi-Fiを利用しなければいけない環境下では、必ずVPN(Virtual Private Network)ソフトを利用するといった、セキュリティポリシーの策定が必須です。
職場のポリシーの遵守を徹底
ただし、セキュリティポリシーは策定するだけでは意味を成しません。自社で定められたポリシーに則ったデバイス管理の徹底が不可欠です。たとえば、個人所有のパソコンにはセキュリティソフトやアプリのインストールを義務付ける、または個人の判断でクラウドサービスを利用しない、社内情報へのアクセス方法を限定するなど、明確なポリシーを策定し、組織全体に浸透する必要があります。ポリシーに沿ったルールがないと、安全性に対する意識が社員に正確に伝わりません。社員ひとりひとりの情報管理に対する意識改革のためにも、セキュリティポリシーの策定は必須です。また、ポリシー策定後は、社員への周知徹底に十分な時間を割くことも重要といえます。
政府の支援を活用し環境を整備
政府はテレワーク導入におけるさまざまな支援を行っています。新型コロナウイルス拡大以前より、ICT化推進目的で支援は行われていましたが、現在では感染対策の一環として企業向けに導入支援を強化しています。
たとえば、総務省による「テレワークマネージャー相談事業」は、テレワーク導入に関する全般的な相談窓口です。さまざまなノウハウを無料でWeb、および電話相談にて提供してくれます。また、助成金の支援も充実しているため、制度を適切に活用することでテレワーク環境を整備可能です。
https://www.nttdata-strategy.com/r01telework/
厚生労働省による「働き方改革推進支援助成金」では、新たにテレワークを導入した中小企業事業主等に対して、端末の導入などにかかる経費を助成しています。各サイトにてICTやセキュリティマネジメントに関する情報提供や、厚生労働省による就業規則・労務管理等全般のガイドブック等も公開されています。自社に合った支援を活用し、情報管理強化に役立ててください。
まとめ
新型コロナウイルスの世界的流行の煽りを受けて、多くの企業がテレワークを導入しました。また、2019年4月より働き方改革関連法が施行され、労働環境は大きく変わろうとしています。今後、さらに働き方は柔軟かつ多様に変化していくでしょう。そんな時代だからこそ、これまで以上にセキュリティ管理の徹底が不可欠です。情報漏洩は企業がこれまで培ってきた信用や社会的価値の失墜を招きます。だからこそ、組織全体での情報管理意識の改革が求められます。ぜひ、今回の記事を参考にして、テレワーク環境の構築と自社のセキュリティ管理に活用してください。