2021年現在、新型コロナウイルスの感染拡大がいまだに止まらない中、リモートワークを推進している企業もあるでしょう。

リモートワークを効率的に実施するためには、ICTの活用が欠かせません。そこで重要になってくるのが、セキュリティ対策です。

本記事では、情報システム担当者であれば理解しておくのが好ましいリモートワークとセキュリティの基礎知識について解説します。

リモートワークとセキュリティの関係

リモートワークは、自宅やコワーキングスペースなどの会社から距離的に離れた環境で仕事をする働き方です。リモートワークには、次のようなメリットがあり、多くの企業が導入しようとしています。

• 好きな時間に好きな場所で働けるため、多様な働き方を実現できる
• 通勤にかかる時間やコストを削減できる
• オフィススペースを縮小することで、コスト削減ができる
• 育児や介護などの事情を持った人でも、柔軟に働くことができる
• 日本全国または世界中の優秀な人材を、勤務地に関わらず採用することができる
• 自然災害や感染症の拡大などの非常事態であっても、事業継続がしやすい

上記のようなメリットがある一方で、考慮しなければならないのがセキュリティの課題です。リモートワークでは個々の従業員への管理が行き届きにくいため、情報漏えいのリスクやウイルスなどへの感染リスクが高まります。

リモートワークを推進する場合は、セキュリティ対策を強化する必要があるといえるでしょう。

リモートワークでのセキュリティ課題

オフィスで働いていると、情報資産はオフィス内で管理されるため外部の目に触れることは少ないです。また、従業員同士のコミュニケーションについても、対面で行なうか、企業の管理するネットワーク内で行われるため、セキュリティ面でのリスクは比較的低いといえます。

しかし、リモートワークの場合は、情報資産がインターネット上を流れ、個々の従業員の持つパソコンやスマートフォンなどの端末で管理されます。また、従業員同士のコミュニケーションもインターネットを通じて行われるため、情報漏えいや機密情報の消失などが発生する可能性が高い環境にあります。

リモートワークの環境で起こり得るセキュリティ課題については、次のようなものが挙げられます。

• ウイルス対策が不十分な端末を使うことによって、ウイルスの攻撃を受ける
• セキュリティ対策が万全でない従業員宅のネットワークや、カフェなどの外部ネットワークを利用することによって、不正アクセスや盗聴を受ける
• 情報資産の入ったパソコンやスマートフォン、USBメモリなどを紛失する
• 推測されやすいパスワードを使うことにより、不正アクセスを受ける

上記のようなセキュリティ課題への対策を取らなければ、機密情報の漏洩や消失による重大な損害が発生したり、仕事を継続できなくなる可能性があります。

情報システム担当者は、リモートワークの環境で起こり得るセキュリティ課題を洗い出して対策を実施することが必要だといえるでしょう。

リモートワークにおけるセキュリティ対策の基本的な考え方

総務省の「テレワークセキュリティガイドライン」では、企業がリモートワークを実施する場合の情報セキュリティの考え方についてまとめられています。

それによると、リモートワークで求められるのは「ルール」「人」「技術」のバランスがとれたセキュリティ対策であり、もしどれか1つに弱点があれば、ほかの対策をいくら強化しても全体的なセキュリティレベルは向上しないため、総合的な対策を実施する必要があるとしています。

「ルール」「人」「技術」のそれぞれでのセキュリティ対策の考え方を紹介します。

1.ルール

リモートワークを推進する上で、セキュリティの観点から安全なことかどうかをその都度判断して対策することは非効率です。また、ICTに詳しくない従業員の判断に任せていては、適切な対策を実施できない危険性があります。

そのため、「これを守ればセキュリティ対策ができる」というルールを定めておき、従業員にはそのルールを守るように指示するのが効果的です。

ルールの具体例としては、次のようなものが挙げられます。

• 指定したネットワーク以外からのアクセスを制限する
• セキュリティ対策ソフトの入っていない端末の使用を制限する
• メールの添付ファイルにはパスワードを付けるようにする
• 会社が安全性を認めたソフトウエア以外のインストールを制限する

また、ルールは一度定めれば終わりではありません。定期的な見直しを行い、最新の状況に合わせてアップデートし続ける必要があることを覚えておきましょう。

2.人

ルールを定めていても、従業員が守ってくれなければ意味がありません。また、リモートワークの環境では従業員がルールを守ってくれているかを情報システム担当者が確認することが難しいという課題もあります。

ルールを定着させるためには従業員の教育が重要であり、ルールを守る意義やメリットを伝えて理解してもらう必要があります。また、従業員が情報セキュリティに関する基本的な知識を身につけていれば、自らの判断で防御することで、被害を最小限に抑えることができます。

定期的に情報セキュリティに関する研修を行ったり、社内報で通知するなどの地道な活動を行うことで、企業全体のセキュリティレベルが向上するでしょう。

3.技術

技術的な対策は、上述した「ルール」と「人」の対策を補うものです。人が意識せずともルールを守れるようにしたり、セキュリティ対策のレベルを引き上げるために用いられます。

技術的な対策の具体例としては、次のようなものが挙げられます。

• リモートワークで使用する端末にウイルス対策ソフトを導入する
• データの暗号化ツールを利用して、外部の者が見ても分からないようにする
• メールの添付ファイルには自動的にパスワードが付くようにする
• セキュリティ対策の充実したWeb会議ツールを使用する
• VPNに接続して暗号化通信を行えるようにする

また、ルールと同じように、技術的な対策も定期的に見直しをしてアップデートしていく必要があります。サイバー犯罪の手口は常に進化していることを忘れないようにしましょう。

リモートワークに適したセキュリティ対策を行いましょう

2020年の新型コロナウイルスの感染拡大を受けて、リモートワークは急速に普及しました。しかし、リモートワークの普及は一過性のものではなく、働き方改革の一環として今後も定着すると考えられています。

情報システム担当者は、今後も見据えて自社のセキュリティ対策をリモートワークに適したものに変えていくことをおすすめします。

本記事や、総務省が提示している「テレワークセキュリティガイドライン」などを参考にして、自社のセキュリティ対策を見直してみてください。