〜経営に役立つ情報・事例を発信するサイト〜
powered by 東京商工会議所

テレワークを安心して利用するために~セキュリティ面での注意事項【東商ICTスクエアお役立ちコラム】

f:id:tosho-antenna:20201007145832j:plain


お役立ちコラムの「注目を集めるテレワーク。中小企業はスモールスタートから  」にもある通り、テレワークは実施可能な業務を見定め、できるところから計画的に始めていくことが望ましいです。

しかしながら、2020年4月の緊急事態宣言のもと、事業を継続するため取り急ぎテレワークの導入を進めた企業も多いと思います。
東京商工会議所の実施したテレワークの実施状況に関するアンケート調査(2020年6月17日) では、テレワークを実施している企業の割合は67.3%に達しています。

テレワークが今後とも活用される可能性が高いことを踏まえると、企業及び社員が安心して利用できる環境を整えるため、今の時期にセキュリティ面のチェックを行い、対策を打っておくことが重要です。
とはいえ、市場の落ち込みにより、多くの投資・費用を捻出できない企業も多いでしょう。

ここでは、中小企業においてテレワークを活用する上でのセキュリティ面での基本的な注意事項を示します。

 

在宅環境のセキュリティ対策

在宅環境のセキュリティにおいて、多くのコストをかけずセキュリティ対策を効果的に進めるには、企業の経営者、IT管理者が、テレワーク利用者への教育を図り、取組みの徹底を図ることがポイントです。

1. 端末

  • テレワークに限りませんが、端末のOS・ソフトウェアを最新バージョンにする、ウイルス対策ソフトウェアを導入しエンジン・パターンファイルを最新にするといった基本的なセキュリティ対策を行いましょう。

  • テレワークで使用している端末に、マルウェア等が混入したり情報が流出したりすることのないよう、自宅内の他のパソコン等からの共有を不可としたり、USB等の利用を極力避けましょう

  • 同様な理由で、端末に導入するアプリについては、予め決めたものだけを導入し、テレワーク利用者が、勝手にアプリをインストールさせないようにしましょう。

  • ご家族との同居や他者の出入りがある場合には、誤って端末を操作されたり情報が外部に流出する恐れがありますので、一定時間後に画面のロックができるよう設定したり、覗き見防止フィルタ等を利用しましょう。

2. 端末のパスワード

こちらも基本的な対策ですが、

  • パスワードの設定方法(例:12文字以上の文字数で、英数字や記号を組み合わせ、推測されやすい文字の並びを避ける)

  • パスワードの利用方法(パスワードの使い回しをしない、パスワードを記録したメモを安易に放置しない)。

ことを利用者に徹底しましょう。

3. ネットワーク

  • 無線LANは、テレワークの室外まで電波が届きますので盗聴の危険性が残ります。暗号化されていない、もしくは古い暗号化形式の無線LANは利用させないようにしましょう。

  • インターネットに接続しているルータについては、初期パスワードを変更し、端末のパスワードと同様、解読困難なものとしましょう。

4. BYOD端末(社員個人が所有する端末)の業務利用

  • 端末・ネットワークについての対策を確実に行えるようにするため、基本的にはセキュリティ対策を施した、会社が支給する端末、ネットワーク機器を利用することが望ましいです。
    しかしながらBYODで対応せざるを得ない場合は、上の1~3の対策を所有者が確実に行うよう、利用ルールを作成し徹底させるとともに、利用している端末の機種、導入しているOSやソフトウェアをバージョン含め、自社のIT管理者がリストにしておきましょう。

5. 作業環境

  • 取り扱う情報の機密性が高く、端末の盗難や盗聴等による情報流出が懸念される業務については、自宅作業が困難な場合もあります。
    その際は、社内での業務を中心に考えていくことになりますが、解決策としてサテライトオフィスを活用する方法もあるでしょう。

6. セキュリティ教育、トラブル発生時のサポート

  • 社員が別々の環境で作業を行っていますので、自社のIT管理者が在宅環境を把握し難い状況にあります。また、最近の脅威のトレンドである、標的型メール攻撃、ビジネスメール詐欺は、社員だけでは正規のメールとの判別が難しい場合が多いです。
    したがって業務に無関係のWebサイトを利用しない、怪しいメールが来てもすぐに開かず、IT管理者にすぐ連絡する等、基本ルールを社員に徹底させましょう。

  • テレワークによるIT利用時のトラブル発生時に、離れていても迅速・確実に情報が共有されるよう、サポート窓口や、事故発生時の連絡ルールを決めましょう。

企業全体のセキュリティ対策

在宅環境のセキュリティを守ることは、まず優先して取り組むべきことではありますが、一歩進んで自社のセキュリティ対策全般を再確認しておくことも重要です。

1. 在宅勤務の端末を持ち込む場合

  • 在宅勤務で利用していた端末を社内LANに再接続する場合は、在宅環境で既にマルウェア等に感染している危険性もありますので、異常やその兆候が発生していないかどうか、特に注意を払いましょう。

2. 暗号化通信

  • 在宅環境から社内システムへの接続については、ネットワークを通るまでに通信内容の盗聴・盗難がなされないよう、暗号化通信が使用されることが多くなっています。
    但し、接続されるサーバやネットワーク機器のソフトウェアが古いままだと、脆弱性をつかれて不正アクセスされる危険性が出てきます。
    こちらもサーバやネットワーク機器のソフトウェアのバージョンは最新のものとしておきましょう。

3. 構成情報の整備

  • 社内システムを急遽テレワーク対応としたことにより、思わぬところにセキュリティホールが発生している危険性があります。
    自社のIT管理者の方は、社内のサーバ、ネットワーク機器の設定を再確認するとともに、最新の情報を保管しておきましょう。

クラウドサービス利用時の注意事項

テレワークの開始に合わせ、急遽クラウドサービスを導入した企業も多いでしょう。
クラウドサービスを上手く利用することで、社内の複雑なIT環境をシンプルなものに見直し、システムに潜む脆弱性・セキュリティ上のリスクを減らすことも可能となります。
一方で社外のサービスに起因する事故が、自社の損害につながる危険性もありますので、利用にあたっては慎重な判断も求められます。

  • 社員の自己判断だけでクラウドサービスを利用させず、利用するクラウドサービスの仕様や提供条件等をIT管理者が確認の上、利用するサービスを選定するとよいでしょう。

  • 判断にあたっては、クラウドサービスにログインする際に、二要素認証が利用できるかを、セキュリティ面での判断基準の一つとして考慮してもよいでしょう。

  • 利用しているクラウドサービスについて、判明した脆弱性や対応状況を、サービス提供会社のWebサイト等から確認しましょう。

「注意して怖がらず」にテレワークを活用しましょう

攻撃者の手法は高度化しているため、セキュリティ対策に十分注意を払っている企業でさえ、サイバー攻撃による被害を被る危険性が高まっています。
その意味でセキュリティ対策に完璧はないという意識を持ってください。


「対策を取っているから終わり」ではなく、取組み状況を定期的に評価するとともに、IPA等の信頼ある機関の情報や、最新のセキュリティサービスの内容をこまめにチェックし、セキュリティ対策を定期的に見直しましょう

皆様の企業で、テレワークが、安全性が確保された環境のもと、働き方改革や生産性向上といった前向きな取組みとして利用拡大されることを期待しています。

 

重藤 進二
【執筆者プロフィール】
重藤 進二(しげとう しんじ)

ソフトウェア開発や財務会計等の業務に従事した後、ERP研究推進フォーラム(現在解散)において、バランス・スコアカードを活用したIT投資マネジメントツールの手法開発、普及に従事。

現在は、各種ITサービスの企画・運用設計や業務プロセスの改善に取り組む一方で、ITコーディネータ・中小企業診断士の立場で、東京都内を中心に中小企業のWebサイト構築等を支援。

2013年ITコーディネータ認定(認定番号0103622012C)

<この記事に関連するサイト>
東商ICTスクエアお役立ちコラム
https://www.tokyo-cci-ict.com/column/
東商ICTスクエア
https://www.tokyo-cci-ict.com/