テレワークで必要なセキュリティ対策

お役立ち記事
この記事は約5分で読めます。

テレワークを効率的に行うためには、「情報通信技術(ICT=Information and Communication Technology)」の活用が欠かせません。

自宅や外出先で作成したファイルをインターネットを通じて共有したり、リモートでテレビ会議をすることで、移動することなく、オフィスで仕事をしているのと同じように仕事を進めることができます。

そのために、情報が漏洩しないような安全な対策も必要になります。

テレワークにおける情報セキュリティの考え方

テレワークにおける脅威と脆弱性

ウイルスやワームなどのマルウェア

マルウェアとは、不正かつ有害に動作させる意図で作成された悪意のあるソフトウェアや悪質なコードの総称。「Malicious」(悪意のある) +「Software」(ソフトウェア)を組み合わせて作られた造語です。

ウイルス

他のプログラムに寄生して、そのプログラムの動作を妨げたり、ユーザーが意図しない挙動を行うプログラムです。独自で活動できず宿主のアプリケーションが実行された際に、感染・増殖を引き起こします。

ワーム

ワームはウイルス同様、自身を複製して伝染しますが、ウイルスと違って独自に活動できるため宿主を必要としません。

トロイの木馬

正体を偽ってコンピューターに侵入し、データを盗み出したり、データを消去したりといったような相手を陥れる動作をするプログラムです。

最近、脅威をふるっているEmotet(エモテット)

Emotetの感染経路としては、メールに添付したMicrosoft Word文書ファイルのマクロを利用して端末へ侵入・感染するという手法でが最も多く確認されています。

Emotetに感染すると、

1. 重要な情報を盗み取られる
2.ランサムウェアに感染する
3.社内の他の端末にEmotetが伝染する(潜伏し、頻繁にアップデートします)
4.社外へのEmotetばらまきの踏み台にされる

など、場合によっては、顧客に迷惑がかかるような状況になります。

端末の紛失・盗難

持ち運びに便利なパソコンやスマートフォンを紛失したり、盗難にあったりしたときに、暗号化していなかった情報が漏洩したり、バックアップがなくて、データを紛失したりすることが起こります。

重要情報の盗聴

無線LANの設定不備、偽アクセスポイントへの接続、暗号化せずに送信などにより、重要情報が盗みとられることが発生します。

不正アクセス

ファイアーウォールなし、推測されやすいパスワード、パスワードの使い回し、ログイン方法を書いたメモの放置、アップデートの未実施などにより、アクセスが不正に行われる可能性があります。

「ルール」「人」「技術」のバランスがとれた対策が必要

セキュリティ対策は、「ルール」「人」「技術」の観点で考える必要があり、バランスをとらないと、最も弱いところが、全体のセキュリティレベルになります。

ルールによるセキュリティ対策

「こうやって仕事をすれば安全を確保できる」という仕事のやり方をルールとして定めておけば、従業員は、毎回専門家に確認することなく、ルールを守ることだけを意識することで、安全に仕事を進めることができます。

人によるセキュリティ対策

ルールを定めても、実際にテレワーク勤務者やシステム管理者がそれを守らなければ、ルールによる効果が発揮されることはありません。
ルールを定着させるには、関係者への教育や自己啓発を通じてルールの趣旨を自ら理解し、ルールを遵守することが自分にとってメリットになることを自覚してもらうことが重要です。

技術によるセキュリティ対策

技術的対策は種々の脅威に対して「認証」、「検知」、「制御」、「防御」を自動的に実施するものであり、テレワーク先の環境の多様性を考慮して、それぞれの環境での情報セキュリティ維持のために適切に対策を講じておく必要があります。

テレワークセキュリティ対策のポイント

経営者がとるべき対策

情報セキュリティ対策を行う上で、最も基本となるルールが自社の「情報セキュリティポリシー」です。これは、自社における「情報セキュリティに関する方針や行動指針」をまとめた文書であり、これを作ることで組織として統一のとれた情報セキュリティレベルを確保することができます。

また、こうした情報セキュリティポリシーは一度策定すればよいというものではありません。「PDCAサイクル」と呼ばれる4つの段階を通じて、ルールを最新の状況に見直すと共に、情報セキュリティ対策のレベルを向上させていくことが重要です

システム管理者がとるべき対策

システム管理者はシステム全体を管理する重要な立場であることから、情報セキ ュリティポリシーに従ってテレワークのセキュリティ維持に関する技術的対策を講じ、定期的にその実施状況を監査する必要があります。
また、経営者がルールを決める際に必要な情報を提供します。

テレワーク勤務者がとるべき対策

実際にテレワークを行う勤務者にとって、気をつけなければならないことは多くあります。不審なメールが届いたとき、オフィスであれば、「このメールはおかしくないですか?」と近くの人に相談することが簡単にできますが、テレワーク勤務者の場合は相談しづらい場合もあります。また、テレワーク端末は、オフィス内の端末と比べると、 システム管理者が自ら管理のための操作を行うことが難しいことから、テレワーク勤務者が自身で管理することの重要性を自覚した上で、実施すべき対策を理解することが望まれます。

この記事は、総務省「テレワークセキュリティガイドライン 第4版」の記事を参考にまとめています。

タイトルとURLをコピーしました