多様な働き方に注目が集まる昨今では、テレワークの導入を進める企業が増えています。現在、導入を検討している企業も少なくないでしょうが、「セキュリティが気になる」という企業経営者の方も多いのではないでしょうか。本記事では、テレワークにおけるセキュリティ対策の重要性や、セキュリティを高める具体的な方法を解説します。
中小企業においてテレワークセキュリティは大きな課題
テレワークでは従業員の自宅やカフェ、図書館、サテライトオフィスなど、オフィス以外の場所で業務に取り組みます。従来のオフィス勤務とは働き方が大きく異なるため、テレワークに即したセキュリティ対策が必要です。
東京商工会議所が実施した「中小企業のテレワーク実施状況に関する調査」によると、2021年5月の緊急事態宣言下において、東京23区内の中小企業によるテレワーク実施率は38.4%とのことでした。
この結果を見て、「意外と少ない」と感じる方も多いのではないでしょうか。テレワークがいまいち広がりを見せない理由としては、情報セキュリティに関する不安があるからだと考えられます。事実、同調査ではテレワーク実施上の課題として、情報セキュリティを挙げている企業が全体の56.7%にものぼっています。
セキュリティ対策を行わないとどうなる?
セキュリティ対策を行わずとも、テレワークへの移行は可能です。しかし、適切な対策を講じていないと、さまざまなリスクに見舞われるおそれがあります。以下では、テレワーク環境下におけるセキュリティ対策の不備が、どのようなリスクをもたらすのかを見ていきましょう。
マルウェア感染
「マルウェア」とは、コンピューターに害をもたらす悪意あるプログラムやウイルスのことです。ワームやトロイの木馬、キーロガー、スパイウェアなどが代表的です。メールの添付ファイルやWebサイトの閲覧など、さまざまな経路で感染するおそれがあります。
マルウェアによる被害は多々挙げられます。コンピューターの誤作動やデータロス、身に覚えのないメールの送信など、さまざまな影響を及ぼします。重要なデータが破壊されたり、消失したりすると、業務を停止しなくてはならないかもしれません。また、顧客情報や機密情報が漏えいすると、企業としての信頼を失うおそれもあります。
不正アクセス
アクセス権限をもたない、外部からの不正なアクセスを指します。アクセス権をもつユーザーになりすまし、IDやパスワードを使って勝手にサービスを利用したり、社内システムに侵入したりするなどの手口もよくあります。
不正アクセスを許してしまうと、社内で管理している情報が外部に漏れるおそれがあります。それが重要な情報だった場合、取引先や顧客から賠償責任を追及されたり、企業としての信頼を失い、事業を継続できなくなったりするリスクもあるのです。
端末の紛失
テレワーク従事者が端末を紛失してしまうケースも考えられます。テレワークは、オフィス以外のさまざまな場所で業務に取り組むため、常にパソコンやタブレット端末などを紛失してしまうリスクがつきまといます。
端末の紛失・盗難などに遭った場合、情報が外部に流出してしまうかもしれません。端末の中身を見られてしまい、重要なデータを奪われた挙げ句、悪用される危険性もあります。このようなケースでも、取引先からの賠償責任や企業の信頼失墜、事業停止といった状況に陥る可能性があります。
情報の盗聴
パソコンやタブレット端末の画面を覗かれたり、ネットワークを介してやり取りしている情報を搾取されたりするなどの被害です。特にカフェや図書館、他社も利用しているレンタルオフィスなどで作業していると、このような被害に遭う可能性が高まります。
業務に集中していると、周りが見えなくなることは珍しくありません。後ろからこっそり覗かれる、写真に撮られるといったことも考えられるでしょう。また、ネットワークセキュリティが甘いと、やり取りしている重要な情報を奪われてしまうかもしれません。
このようなケースでも、情報漏えいによる賠償責任の発生や、取引先や顧客からの信頼失墜など、企業が受けるダメージは決して小さくないでしょう。
フィッシング詐欺
「フィッシング詐欺」とは、あらかじめ用意していたサイトに誘導し、IDやパスワードなどを不正に搾取する行為です。取引先の担当者や自社の幹部、上司などになりすましたメールを送り、添付URLをクリックさせて偽サイトに誘導する手口がよく知られています。
情報漏えいのリスクはもちろん、マルウェアを仕込まれるおそれもあるため注意が必要です。また、金融機関から勝手にお金を引き出されるなどの被害も少なくありません。
中小企業でセキュリティ対策を行うには
総務省では、中小企業等担当者向けのテレワークセキュリティの手引きやチェックリスト、ガイドラインを作成しています。ガイドラインを利用すれば、セキュリティ上の不安を払拭し、安心して導入を検討できるでしょう。以下、ガイドラインのポイントを解説します。
まずは4つの方式を確認する
テレワークの主な方式としては、「VPN」「クラウドサービス」「セキュアブラウザ」「リモートデスクトップ」の4つが挙げられます。それぞれ違った特徴があり、できることやできないことがあるため、まずはこれら4方式の特徴を把握することから始めましょう。
リモートデスクトップ方式がおすすめ
リモートデスクトップとは、離れた場所にある端末を手元で操作できる方式です。リモートデスクトップなら、個人所有の端末からでもオフィスにある自分専用のパソコンにアクセスし、操作できます。
リモートデスクトップは、遠隔でホスト側の端末を操作するシステムであり、ダイレクトに社内ネットワークへアクセスしません。また、オフィスのパソコンから情報を持ち出さずとも業務を遂行できるため、情報漏えいを回避できるのです。
さらに、導入が比較的簡単なのも、中小企業に適している理由です。複雑なシステムの構築が不要で、ほかの方法と比べて簡単に導入できます。
立場ごとのセキュリティ対策を行う
テレワーク環境におけるセキュリティ対策では、人それぞれの立場によってやるべきことが変わってきます。以下では、経営者・システム管理者・テレワーク勤務者それぞれが実施すべき対策を解説します。
経営者が実施すべきテレワークセキュリティ対策
経営者がやるべきことは、テレワークセキュリティ対策の必要性を正しく認識し、ガバナンスやリスク管理を行うことです。また、情報漏えいした際の事業に与える影響を考え、情報の取り扱いに関する重要度も定め、周知させなくてはなりません。
インシデント対応の策定やログ管理、社員教育なども経営者のやるべきことです。セキュリティを高めるには、社員の意識向上が欠かせず、必要に応じて研修会や勉強会も実施しなくてはなりません。
システム・セキュリティ管理者が実施すべきテレワークセキュリティ対策
システム・セキュリティ管理者は、テレワークに使用する端末を適切に管理しなくてはなりません。各端末が最新の状態で利用されているか、脆弱性が発生していないかなどのチェックも、管理者の役割です。
また、ユーザー権限の付与やアクセス経路の限定なども、管理者が行います。テレワークで使用するデータの保存場所を把握したり、外部メディアの利用に関するルールを策定したりといった対策も担います。
テレワーク勤務者が実施すべきテレワークセキュリティ対策
テレワーク勤務者は、「不審なメールを開かない」「セキュリティ対策ソフトをインストールする」など、マルウェアへの対策が欠かせません。また、データの送受信を行う際は、暗号化方式を用いることも大切です。
第三者による不正利用などを回避するため、アカウントは適切に管理しましょう。同じパスワードを使いまわさず、定期的に見直すことも必要です。画面の自動ロック設定をしたり、周囲の人に注意したりするなども、情報漏えいを防ぐために重要なポイントです。
まとめ
テレワークのセキュリティ対策を怠ると、マルウェアの感染や不正アクセス、フィッシング詐欺など、さまざまなリスクが発生します。賠償責任の発生や企業としての信頼失墜など、甚大なダメージを受けるおそれがあるため、適切なセキュリティ対策が求められます。今回お伝えしたように、総務省ではテレワーク下におけるセキュリティの手引きやガイドラインなどが公開されているので、それらを参考にしつつ対策を進めてみましょう。
