こんにちは。人事・経営に役立つメディア「タレントマネジメントラボ」を運営する「タレントパレット」事業部編集チームです。
リモートワークは、端末の紛失やWi-Fiの通信傍受など、オフィス勤務時とは異なるセキュリティリスクを伴うため、適切な対策が必要です。本記事では、リモートワークのリスクの種類と、具体的なセキュリティ対策について解説します。
リモートワークの形態
リモートワークはテレワークとも呼ばれ、仕事を行う場所に応じて以下三つの勤務形態に分類されます。
在宅勤務
在宅勤務とは、従業員が自宅で働くことです。リモートワークの中でも一般的な働き方といえます。オフィスへ通勤する必要がないため、プライベートの時間が増え、家庭や趣味と両立しやすくなることが従業員にとって大きなメリットです。
在宅勤務を取り入れることで短時間勤務者が勤務時間を伸ばしたり、けがや病気で通勤が難しい人も働けたりと、企業側にも多くのメリットがあります。
また、リモートワークの環境についてなど下記記事で説明していますので、ご一読ください。
「リモートワーク環境」については、こちらの記事をご確認ください。
サテライトオフィス勤務
サテライトオフィス勤務とは、従業員の自宅に近い本社以外のオフィスや、コワーキングスペース、シェアオフィスなどの外部オフィスで働くことです。通勤時間を短縮できることに加え、在宅勤務に比べるとデスクやネットワークなど働く環境が整っていることが大きなメリットといえます。
自宅に小さい子供がいる従業員などは在宅勤務が難しい場合もありますが、サテライトオフィス勤務であれば、オフィスに近い環境でストレスなく働くことができるでしょう。
モバイル勤務
モバイル勤務とは、出張時や外回り時にモバイルPCを持ち運び、新幹線やカフェなどで臨機応変に選択した場所で働くことです。隙間時間を有効に活用できるため、業務時間の短縮や効率化を図ることができます。出張や外回りの多い営業担当者などにとって、メリットの大きい働き方といえるでしょう。
リモートワークにおけるリスク
リモートワークでは、従業員がさまざまな環境で業務を行うため、セキュリティのリスクが高まります。ここでは、リモートワークにおける主なリスクを紹介します。
端末の紛失・盗難
一つ目のリスクは、リモートワークを行う端末の持ち運び頻度が増えることで、パソコンやUSBなどの紛失・盗難の可能性が高まることです。NPO日本ネットワークセキュリティ協会の「2018年 情報セキュリティインシデントに関する調査報告書」によると、情報漏えいの原因のトップは「紛失・置き忘れ」という結果になっています。
端末の紛失などによる情報漏えいは、企業の信用度を下げることはもちろん、多額の損害賠償の支払いにつながる可能性もあるでしょう。
重要情報の窃取
二つ目のリスクは、脆弱性のあるWi-Fi利用による通信傍受や、パソコン画面の盗み見などが原因で、重要情報を窃取される危険性です。従業員が使用するネットワーク下では、企業が管理しきれないこともあります。そのため、設定に不備のある自宅Wi-Fiや外出先で偽のフリーWi-Fiを利用した場合、通信を傍受されるリスクがあります。
また、カフェや新幹線でパソコンを長時間放置したり、悪意のある第三者に画面をのぞき見されたりするリスクに注意が必要です。重要情報を盗み取られると、さらなる情報漏えいや不正アクセスなどの被害につながる可能性もあります。
不正アクセス
三つ目のリスクは、ファイアウォール設定不備やパスワードの使い回し、アップデート未実施による不正アクセス被害です。不正アクセスが行われると、情報漏えいはもちろん、情報の改ざんやデータ破壊、金銭の不正使用などの被害が発生する恐れもあります。
また、不正アクセスを受けたパソコンから他のパソコンを攻撃されるなど、知らないうちに加害者になってしまうリスクにも警戒すべき点です。
マルウェア感染
四つ目のリスクは、偽サイトへのアクセスやなりすましメールが原因による、マルウェアの感染です。リモートワークでは、上司の目が行き届きにくいため、従業員が業務上必要ないサイトにアクセスしてしまう機会が増えるかもしれません。
また、従業員同士の直接的な交流が減ることで、知らないアドレスからのメールを開いてしまうリスクもあります。
偽サイトやなりすましメールからマルウェアに感染すると、情報漏えいや不正アクセスなどのさまざまな被害が発生しかねません。近年では、ランサムウェアというマルウェアの一種に感染し、端末内の情報を暗号化・制御不能にされた上で、身代金を要求される被害も報告されています。
「ルール」によるセキュリティ対策・3選
リモートワークにおけるセキュリティリスクを回避するためには、「ルール・人・技術」のバランスの取れたセキュリティ対策が重要です。まず、「ルール」によるセキュリティ対策について解説します。
セキュリティポリシーの策定・見直し
一つ目のルールによる対策は、セキュリティポリシーの策定・見直しです。セキュリティポリシーとは、各企業のセキュリティに関する理念や方針を定めた規定のことです。すでにセキュリティポリシーを策定している場合も、リモートワーク特有のセキュリティリスクに対応できているかどうか、見直しを行う必要があります。
利用ルールの策定・見直し
二つ目のルールによる対策は、セキュリティポリシーなどの上位規定にもとづき、具体的な実施事項や利用ルールをまとめた規定の策定・見直しです。具体的には、端末管理・情報管理・在宅勤務時のルールを新たに策定したり、見直したりします。
利用ルールは、セキュリティ対策に理解が深くない従業員でも、わかりやすい内容にすることが重要です。記載事項に従って行動すればリスクを回避できるように、漏れなく理解しやすい内容にしましょう。
インシデント発生時の対応計画の策定・見直し
三つ目のルールによる対策は、リモートワーク下でのインシデント発生時における対応方法の策定・見直しです。たとえば、従業員のパソコンでセキュリティ上に問題が発生した場合、オフィスであれば近くの上司や同僚に助けを求められるため、セキュリティ担当部署に社内電話で連絡できます。
しかしリモートワーク下では、従業員が所持するパソコンの故障によって連絡手段を失ったり、セキュリティ担当者がリモートワーク中で連絡がつきにくかったりと、オフィス勤務時とは異なる状況が考えられます。
そのため、リモートワークにおけるインシデント発生時の対応方法・連絡先・連絡手段・社内の対応体制について、改めて整理することが重要です。
「人」によるセキュリティ対策・2選
次に「人」によるセキュリティ対策について解説します。
セキュリティ教育や啓発活動
一つ目の人による対策は、従業員へのセキュリティ教育や啓発活動です。まずは関連規定や利用ルールを周知するとともに、ルールを守らない場合にどのようなリスクがあるか理解してもらい、従業員にセキュリティ意識を高めてもらいましょう。
具体的には、セキュリティに関する研修やeラーニングの提供、社内サイトなどを通じた啓発活動の対策があげられます。セキュリティ意識を定着させ、常に新しいリスクに備えられるように、教育や啓発活動は一度実施して終わりではなく、継続的に行うことが重要です。
セキュリティ訓練
二つ目の人による対策は、セキュリティ訓練の実施です。たとえば、インシデント発生時のシミュレーションや、システム部門が偽の不正メールを送付し、開封率をチェックする訓練も有効でしょう。
セキュリティ教育による情報のインプットも重要ですが、訓練を通じて従業員に実際に体験してもらうと、セキュリティ意識のさらなる向上・定着が期待できます。
労務管理だけで終わらない、あらゆる人事データを統合して分析
時代は人材情報「管理」から人材情報「活用」へ!
タレントマネジメントシステム『タレントパレット』で、様々な労務課題と向き合えます。
・ペーパーレス化で労務管理、手続きを効率化
・入社手続きや身上届などスマートフォンでも申請可能
・自動チェックで入力漏れ確認も不要
・データをタレントマネジメントに活用
⇒タレントパレットの資料を見てみたい
「技術」によるセキュリティ対策・7選
次に、「技術」によるセキュリティ対策を紹介します。
多要素認証によるアクセス許可
一つ目の技術による対策は、多要素認証です。多要素認証とは、二つ以上の認証方法でパソコンのログインや情報へのアクセスを許可することです。具体的には、ID・パスワード認証・生体認証・SMS認証・秘密の質問などを組み合わせます。
多要素認証を利用すると、IDとパスワードが万が一漏えいしても簡単にログインできないため、不正アクセスにつながりにくくなります。
セキュリティ対策ソフトの導入
二つ目の技術による対策は、最新のセキュリティソフトの導入です。不正メールによるマルウェア感染や不正サイトへの接続をブロックできます。
代表的なセキュリティ対策ソフトとしては、30年以上の安心実績があるMcAfeeや、世界中で多くの人に利用されているNortonなどがあげられます。セキュリティソフトを選ぶ際は、価格や機能はもちろん、新種のマルウェアに対応可能かどうかや、端末動作への影響も考慮して選びましょう。
適切な権限付与
三つ目の技術による対策は、必要な情報に応じてアクセス権限を従業員に付与することです。アクセス制限により、不正アクセスを受けた場合の情報漏えい被害を最小限に抑えられます。具体的には、管理者側のシステムでアクセス権限を設定する方法や、必要な人にパスワードを提供しておくといった方法があげられます。
定期的なアップデート・パッチ適用
四つ目の技術による対策は、アップデートやパッチ適用を定期的に行うことです。ソフトウェア・アプリケーション・VPN機器・Wi-Fiルーターのファームウェアなどを常に最新の状態にしておくことで、脆弱性を排除し、安全な状態を保てます。
特にリモートワーク下では、従業員が自宅で利用しているPCや通信機器は、企業の管理者側では対応しきれないことも多いため、漏れなく情報周知や対応依頼を行いましょう。
通信の保護・暗号化
五つ目の技術による対策は、通信の保護・暗号化です。インターネット経由で情報のやり取りを行う際には、情報を傍受されるリスクがあるため、通信経路が暗号化された方法(VPN、TLSなど)を利用しましょう。Wi-Fiの場合、WPA2・WPA3方式の利用が、総務省のテレワークセキュリティガイドラインで推奨されています。
また、インターネットを介して情報のやり取りができるクラウドサービスは、リモートワーク下では非常に便利なツールですが、サービスの選定時にはセキュリティ対策についても確認が必要です。一つの基準として、ISMAPやISMSなどの第三者機関による登録・認証を取得しているサービスを選択するのもよいでしょう。
データ保護
六つ目の技術による対策は、重要な情報を複数の環境に保存すること、つまりバックアップです。具体的な保存場所として、オフィスネットワーク内・クラウド上・記録媒体内などがあげられます。これらの複数の場所に、定期的にバックアップデータを保存する仕組みをつくっておきましょう。
ただし、ネットワーク内に情報を直接保存すると、データを紛失する可能性があるため、ハードディスクなど端末に記録媒体を暗号化することがおすすめです。
アクセス監視・ログ取得
七つ目の技術による対策は、アクセス監視とログ取得です。さまざまなセキュリティ対策を行っても、それらをかいくぐって不正なアクセスが起こる可能性はあります。不正アクセスの早期発見のためには、オフィスネットワークとインターネットの通信を監視することが重要です。
また、インシデントが起こった際に原因を調査できるように、ログを取得・保存しておくことも有効なセキュリティ対策になります。過去に遡って調査する可能性もあるため、取得したログは1年以上保存しておくとよいでしょう。
まとめ
リモートワークは多くのセキュリティリスクを伴うため、リスクをきちんと理解しておくことが大切です。セキュリティ対策としてのルール・人・技術の対策をバランスよく取っておきましょう。
2,000社を超える企業への導入実績を持つタレントパレットは、セキュリティに関する国際標準規格であるISMS認証を取得しており、各企業様の人事情報を安全に管理しています。安心して使えるタレントマネジメントシステムをお探しの方は、ぜひタレントパレットをご検討ください。
タレントパレットのHPはこちら