テレワークはセキュリティ対策が重要!便利なツールを紹介
総務省の「テレワークセキュリティガイドライン」によれば、セキュリティ対策には「ルール」「人」「技術」のバランスを取ることが必要とのこと。今回は、各リスクに対するシステム管理者およびテレワーク利用者の対策について、実例を挙げて説明します。
- 目次
テレワーク導入・利用時のセキュリティガイドライン
2020年4月、総務省は「テレワークセキュリティガイドライン(第4版)」を公表しました。
この中で、テレワークにおけるセキュリティ対策には「ルール」「人」「技術」のバランスを取ることが必要とし、「最も弱いところが全体のセキュリティレベルになる」と警鐘を鳴らしています。
では、3つのポイントはそれぞれどのようなことを指しているのでしょうか。
ルールを整備することによるセキュリティ対策
まずはテレワークに対し組織としてのルールを定めることが必要です。経営者を中心として実施すべき対策を定め、その導入・運用に必要な費用を確保します。
例えばテレワーク利用者が社内ネットワークやクラウドサービスに安全に接続する環境を整え、使用に関するルールを定めるなどがこれに当てはまります。
人によるセキュリティ対策
ルールを整備しても、実際にテレワーク利用者がそれを守らなくては意味がありません。
例えば在宅勤務ではシステム管理者の目が届きにくいため、使用する端末の管理業務の一部はテレワーク利用者が負担する必要も出てくるでしょう。
例えばセキュリティ対策ソフトが常に最新の状態にあるかは、テレワーク利用者自身が確認する必要があります。
ちなみに、ガイドラインではこの「人によるセキュリティ対策」が3つのうち最も実施が難しいとしています。
技術によるセキュリティ対策
そしてルールや人では対応できない部分を補完するものが「技術によるセキュリティ対策」です。
例えばワンタイムパスワードや多要素認証などで従来よりもセキュリティ性能を高めたVPN接続環境や、端末紛失時などに遠隔操作により利用を制限する機能など、テレワーク環境に対応するさまざまな技術が開発されています。
テレワークによるセキュリティ問題点と具体的な対策方法
ガイドラインでは、テレワーク実施時に想定されるセキュリティ上の問題点についても触れられています。以下にいくつかの問題点を取り上げ、具体的な対策方法について「システム管理者側の対策」「テレワーク利用者側の対策」に分けて簡単に記載します。より詳しい内容については、「テレワークセキュリティガイドライン(第4版)」をご覧ください。
問題点1:海外サイトの閲覧、利用許可の出ていないアプリケーションのインストールによるマルウェア感染
マルウェアの感染を防ぐためにはシステム管理者側、テレワーク利用者側を問わずウィルス対策ソフトのインストールが不可欠です。さらにそれら対策ソフト、OSおよびブラウザのアップデートといった基本的な対策も必要です。
その他にも、テレワークに特化した以下のような対策が考えられます。
対策方法
| 【システム管理者側の対策】 |
|
|---|---|
| 【テレワーク利用者側の対策】 |
|
問題点2:外出先、移動中などにおける社外でのパソコン紛失・盗難
端末の紛失・盗難は情報の漏洩に繋がるばかりではなく、業務の進捗にも影響します。テレワークを実施する際には端末を社外に持ち出したり、移動したりする機会が増えるため、以下のような対策が必要です。
対策方法
| 【システム管理者側の対策】 |
|
|---|---|
| 【テレワーク利用者側の対策】 |
|
問題点3:画面の覗き見などによる重要情報の漏洩
画面をのぞき見される可能性のある公共の場所では端末の管理方法に留意する、外出先でWi-Fiを利用する際には安全性を確認する、などの基本対策に加え、テレワークに特化した以下のような対策が必要です。
対策方法
| 【システム管理者側の対策】 |
|
|---|---|
| 【テレワーク利用者側の対策】 |
|
問題点4:外部から社内ネットワークへの不正アクセス
社内ネットワークへの不正アクセスを防ぐためにはアクセスIDおよびパスワードの適切な管理が必要となることはもちろんですが、主に技術面において次のような対策も必要となるでしょう。
対策方法
| 【システム管理者側の対策】 |
|
|---|---|
| 【テレワーク利用者側の対策】 |
|
問題点5:SNSなど外部サービスの利用による情報漏洩
オフィス勤務に比べてコミュニケーションが取りにくいリモートワークにおいて、SNSや電子会議ツールを利用するケースも増えています。
組織としての利用ルールを策定しそれを遵守することが第一ですが、次のような点にも留意が必要です。
対策方法
| 【システム管理者側の対策】 |
|
|---|---|
| 【テレワーク利用者側の対策】 |
|
リモートアクセスの導入ならセキュリティ対策が万全な
セキュアリモートアクセスがおすすめ
前項で挙げた問題点の多くは、遠隔地から社内ネットワークに接続する、すなわち「リモートアクセス」に起因するものでした。そうしたリモートアクセスに伴う数々の問題へのソリューションとして、NTTPCの「Master's ONEモバイル セキュアリモートアクセス」がオススメです。
テレワーク利用者は、自宅や外出先などインターネット接続ができる環境からVPNを用いて社内ネットワークへセキュアにアクセスすることができます。第三者によるパスワードの盗難や不正アクセスなどのなりすましを防ぐため、マトリックス型のワンタイムパスワード機能を標準で備えており、万一のパスワード漏洩の際にも安心です。
また、システム管理者は「カスタマーコントロール機能」によりログ集積、アカウント管理、パスワード管理などを遠隔で一元管理することができます。
「Master's ONEモバイル セキュアリモートアクセス」は、中堅・中小企業のテレワーク導入を応援します。
テレワークのセキュリティ事故の事例
ガイドラインには、テレワーク環境で実際に発生したセキュリティ事故の事例も紹介されています。そのうちいくつかを紹介します。
事例1:海外サイトでランサムウェアに感染
情報収集のため海外サイトにアクセスしたところ、ランサムウェアに感染し画面がロック。作業が遅延し、納期に間に合わない事態となりました。
事例2:フィッシングサイトによりカードが不正利用された
リンク先に不用意にクレジットカード情報を入力し、後日不正使用されてしまいました。オフィスであれば同僚などに相談し、事なきを得ていたかもしれません。
事例3:機密情報がSNSに流出した
出張中、新幹線の車内で資料を作成したところ、第三者に盗み見されSNSに書き込まれてしまいました。短時間の離席でもログアウト、電源オフなどの対策を取りましょう。
まとめ
テレワークの普及に伴い、システム管理者側、テレワーク利用者側ともに以前には存在しなかったセキュリティ対策が求められるようになりました。
安全で快適なテレワーク環境の構築に向けて、セキュリティに関する意識を高めるとともに、適切なソリューションを導入するなどの対策が必要となる時代が到来したようです。
※ICT Digital Columnに記載された情報は、リリース時点のものです。
商品・サービスの内容、お問い合わせ先などの情報は予告なしに変更されることがありますので、あらかじめご了承ください。
