テレワーク導入のセキュリティ対策

最終更新日:2020年12月25日

テレワークは出社せずに自宅やサテライトオフィス、カフェなど、好きな場所で仕事ができるのがメリットです。また、自分のライフスタイルに合わせた働き方ができるので、ワークライフバランスの実現にもつながります。

コロナ禍による在宅でのテレワークや働き方改革によるテレワークなど、今後もテレワークを導入する企業は増えることが予想されます。

しかし、テレワークのデメリットで情報漏洩や重要情報の消失などのリスクがあります。テレワークを行う際は、セキュリティ対策は必須です。ここでは、テレワークのセキュリティ対策について説明します。

テレワークにおける情報セキュリティ対策の考え方

テレワークを行う場合は、勤務者は社外でノートPCを利用します。セキュリティ対策がされたオフィスと違い、セキュリティ対策がされていないネット環境はマルウェアなどのウイルス・ワームの感染リスクがあります。

さらにテレワークで使用するPCやUSBメモリの紛失・盗難のリスクがあります。テレワークにおける代表的な脅威と脆弱性(情報セキュリティ上の欠陥のこと)の例を説明します。

マルウェア(ウイルス・ワーム等)

  • ・ウイルス対策ソフトの未導入、更新不備
  • ・ソフトウェアアップデートの未実施
  • ・偽サイトへのアクセス
  • ・偽メールの添付ファイル開封やリンクのクリック

端末の紛失・盗難

  • ・端末の入ったカバンを失念
  • ・カフェで端末を放置して長時間離席
  • ・暗号化せずに保存
  • ・バックアップ未実施

重要情報の盗聴

  • ・無線LANの設定不備
  • ・偽アクセスポイントへの接続
  • ・暗号化せずに送信
  • ・画面をのぞき見られる
  • ・従業員による内部不正

不正アクセス

  • ・ファイアウォールなし
  • ・推測されやすいパスワードの使用
  • ・パスワードの使い回し
  • ・ログイン情報を書いたメモの放置
  • ・パスワードアップデート未実施

これらによって、情報漏洩、重要情報の消失、作業中断などの事故が発生する可能性があります。かならずセキュリティ対策を行いましょう。

テレワークの方法に応じたセキュリティ対策の考え方

テレワークの方法にはテレワークで行う作業の内容や予算等によって、さまざまな方式が考えられています。ここでは、「テレワーク端末への電子データの保存の有無」「オフィスで利用する端末との関係」と「クラウドサービスを利用するかどうか」をもとに、6種類のパターンを説明します。

リモートデスクトップ方式

オフィスに設置されたPCをテレワーク用PCで遠隔操作や閲覧する方法です。インターネットで接続したオフィス用PCをテレワーク環境で使用することが可能になります。

ファイルやデータを保存する場合もオフィス側PCに保存されるため、テレワーク用PCにデータが残りません。また、テレワーク端末として私用PCを使うことも可能です。

デメリットは、高速インターネット回線を使用しなければ、操作性が低下する可能性があります。

仮想デスクトップ方式

オフィスのサーバー上で提供される仮想デスクトップ基盤(VDI)に、テレワーク用PCから遠隔でログインして利用する方法です。

仮想デスクトップ基盤(VDI)とは、通常はPCにインストールされているOSやアプリケーション、保存するデータをPC内ではなくサーバー側に集約管理するものです。リモートデスクトップ方式と同じようにテレワーク用PCへファイルやデータが残りません。

仮想デスクトップは、アクセスするテレワーク用PCをシステム管理者が一括してセキュリティ対策を実施することができます。

クラウド型アプリ方式

クラウドで提供されるアプリケーションにアクセスして作業を行う方法です。

アプリケーションで作成したデータの保存先は、クラウド上とテレワーク用PCのどちらも選択可能です。しかし、クラウド上とテレワーク用PCとのファイルやデータに差異が発生する可能性があり、データの保存方法に注意が必要です。

クラウド型アプリ方式は、リモートデスクトップ方式や仮想デスクトップ方式に比べてインターネットの速度が作業の操作性に及ぼす影響が少ないのがメリットです。

セキュアブラウザ方式

クラウド型アプリ方式の安全性を高めた方式です。セキュアブラウザとはセキュリティ機能に特化したブラウザです。Webブラウザの基本機能に不正アクセスや情報漏洩を防止するための対策が施されています。

セキュアブラウザからクラウド上のアプリケーションにアクセスすることで、テレワーク用PCにファイルやデータを保存させないことが可能です。

安全性は高まりますが、利用できるアプリケーションがブラウザ経由のみに限られます。テレワークを行う際は、高速インターネット回線の使用をおすすめしています。

アプリケーションラッピング方式

テレワーク用PC内に「コンテナ」と呼ばれる、ローカルの環境とは独立した仮想的な環境を設けて、その中でテレワーク業務用のアプリケーションを動作させる方式です。

コンテナ内で動作するオフィスソフトやインターネットブラウザをラッピングするアプリケーションで使用します。ラッピングされた環境しか動作しないため、ローカル環境へアクセスできず、テレワーク用PCに電子データを残さず利用できます。

コンテナ内で動作させるアプリケーションはPC内にインストールされたものを利用するので、インターネット回線の影響を受けにくいのがメリットです。

会社PCの持ち帰り方式

オフィスで使用しているPCをテレワーク用PCとして持ち出して作業を行う方法です。特別な設定やアプリケーションの追加がなく、すぐにテレワークが可能です。しかし、インターネット経由でオフィスのシステムにアクセスする場合は、情報漏えい対策としてVPNで接続することが必要です。

オフィスと同じPC環境で作業を行うことができるので、インターネット回線が操作性に影響せず、ネット環境が無い場所や通信が安定しない環境でも作業を行うことができます。

デメリットとして、オフィスからPCを持ち帰る移動の間に紛失や破損、盗難のリスクがあります。また、テレワーク用PCにデータを保存するため、この方式を含めた上記6種類のパターンの中で最も厳格な情報セキュリティ対策が必要です。

テレワークセキュリティ対策のポイント

テレワークのセキュリティ対策は、経営者側、システム管理者側、テレワーク勤務者側のそれぞれで実施すべき対策があります。

担当者ごとの重要な事項をいくつかピックアップしました。

経営者側

  • ・テレワークの実施を考慮した情報セキュリティポリシーを定め定期的に監査し、その内容に応じて見直しを行う。
  • ・テレワーク勤務者が情報セキュリティ対策の重要性を理解するため、定期的に教育・啓発活動を実施させる。
  • ・テレワークにおける情報セキュリティ対策に適切な理解を示した上で、必要な人材・資源に必要な予算を割り当てる。

システム管理者側

  • ・テレワークのセキュリティ維持に関する技術的対策を講じるとともに定期的に実施状況を監査する。
  • ・情報のレベル分けに応じて、電子データに対するアクセス制御、暗号化の要否や印刷可否などの設定を行う。
  • ・テレワーク勤務者へ情報セキュリティに関する定期的に教育・啓発活動を実施する。
  • ・フィルタリング等を用いて、テレワーク勤務者が危険なサイトにアクセスしないように設定する。
  • ・テレワーク端末において無線 LAN の脆弱性対策が適切に講じられるようにする。
  • ・社外から社内システムへアクセスするための利用者認証について、技術的基準を明確に定め、適正に管理・運用する。

テレワーク勤務者側

  • ・情報セキュリティポリシーが定める技術的・物理的及び人的対策基準に沿った業務を行い、定期的に実施状況を自己点検する。
  • ・定期的に実施される情報セキュリティに関する教育・啓発活動に積極的に取り組むことで、情報セキュリティに対する認識を高めることに務める。
  • ・情報セキュリティ事故の発生に備えて、直ちに定められた担当者に連絡できるよう連絡体制を確認するとともに、事故時に備えた訓練に参加する。
  • ・作業開始前に、テレワーク端末にウイルス対策ソフトがインストールされ、最新の定義ファイルが適用されていることを確認する。
  • ・社外から社内システムにアクセスするための利用者認証情報(パスワード、ICカード等)を適正に管理する。
参考:総務省:テレワークセキュリティガイドライン第4版 https://www.soumu.go.jp/main_content/000545372.pdf

テレワークのセキュリティ対策は専門家へ

自社にあったテレワークの方法は、情報資産価値、業務内容、システム管理者の有無、予算に応じて検討しなければいけません。安易なテレワーク方法の選択はセキュリティ対策が出来ず、重大な事故や損害を発生させます。

これからテレワークを導入する企業やセキュリティ対策を検討している企業は、専門家に相談することをおすすめします。