テレワークの情報セキュリティ対策

新型コロナウイルスの影響で、多くの組織・企業はテレワークに注目が集まっています。もちろん以前から東京オリンピック・パラリンピックを見越した時差出勤や出社回数の削減をはじめ働き方改革・子育て支援にも繋がる動きは増えていました。コワーキングスペースやレンタルオフィスの数も急速に拡大しています。

そこに今回、新型コロナウイルス対策としての国からの提言などもあり、今まであまり興味を持たなかった層からもテレワーク検討の声が上がっています。しかしながら、テレワークは同一建物内で仕事をしていませんので、通常の会社内とは違ったセキュリティ対策の視点が求められます。

テレワークと情報セキュリティ

総務省、厚生労働省、経済産業省、国土交通省の 4 省は 2020 年 1 月 29 日、「テレワーク・デイズ 2020 」の実施方針を公表しました。2020 年東京オリンピック・パラリンピック競技大会期間を含む 2020 年 7 月 20 日～ 9 月 6 日の期間で実施します。実施目標として、約 3,000 団体以上の参加を目標に掲げ、東京都内の企業には、従業員の 1 割のテレワーク実施を呼びかけています。

一般的には、"テレワーク＝在宅勤務" のようなイメージがあるかと思いますが、自宅で仕事をすることだけがテレワークではありません。コワーキングスペース、サテライトオフィスでの作業や、営業が外出先で作業することなども含め、通信ネットワークを介し拠点外でも拠点内と同様の仕事をすること、これを全て「テレワーク」と言います。

作業場所を問いませんので、とても便利ですが、拠点外での作業ですから、会社の機密情報を保持するためには、個人の行動や周辺環境からの影響を考慮する必要が出てきます。

通信のセキュリティ

まず注意すべきは、通信上のセキュリティです。自宅、カフェや街中のフリーアクセスポイント等、企業が管理していない通信経路を経由しますので、盗聴や情報漏洩の危険性は高まることになります。

端末と社内 LAN 間の通信経路上の盗聴や情報漏洩を防ぐには VPN という技術を使う事で、通信と情報を暗号化することができます。テレワークを進めて行くのであれば、通信経路の安全を確保するため、VPN は必要なものと認識しておくのが良いでしょう。

また、VPN は二要素認証や電子証明書によるログインなどを用いて、より一層安全にすることができます。電子証明書による VPN ログインついては別の記事で触れていますので、そちらも合わせてご覧ください。

テレワーク環境のセキュリティ

コワーキングオフィス、シェアオフィスなどの環境は、不特定多数の利用者が会議室、プリンター、無線 Wi-Fi／有線 LAN 環境を共有し、利用することが前提となっています。すなわち、セキュリティが設定されていないケースが多くあります。そのような環境で会社の機密情報や個人情報などを扱う際は注意が必要です。背中越しに画面上の機密情報が盗み見られたり、オンライン会議で通話した機密情報の内容がそのまま録音されているというケースなども想定できます。

こうした情報漏洩は技術では防げないので、利用者が常に意識をする必要があります。また極端な例では、テレワーク時には特定の機密情報は扱わない、などの情報管理ルールを設けることで、企業としての統制も計れ、盗聴や情報漏洩を防ぐこともできます。

運用における情報セキュリティ対策

VPN、エンドポイントセキュリティなどの技術的なセキュリティ対策をいくら導入しても、それらが適切に機能し、運用されなければ宝の持ち腐れになってしまいます。
そこで、組織が一定レベルの情報セキュリティに対する管理体制(システム)を確保し、そしてそれを正しく運用できているかを判断するために、情報セキュリティマネジメントの国際規格 ISO/IEC27001（以下 ISMS）があります。

ISMS は、信頼に足る情報セキュリティ対策を構築し運用している企業である、との目安になります。

テレワーク自体は自発的に行えばどの企業でも行うことができますが、取り扱う情報の機密性が高くなるほど、正しく情報セキュリティに対するルールを規定しそれを遵守しているか、という面も問われてきます。テレワーク実施とともに、ISMS 準拠レベルの組織構築や、認証取得を目指すのも、企業の情報セキュリティ対策としては良いかもしれません。

ISMS で規定するテレワークの注意点

ISMS の管理策にはテレワークに関する事項が含まれています。さらに、管理策をより詳しく説明している ISO27002 には、テレワークを始めるに当たって、規則類に盛り込むべき内容として 10 項目を挙げています。

その中で、一般的には認知度が低いと思われるものも幾つかあります。

物理的セキュリティ

機密情報を取り扱う会社であれば多くの場合入退室管理が行われますが、自宅やコワーキングスペースでは家族や不特定多数の人が居ます。ネットワークタップ（有線 LAN の盗聴）、盗聴器、覗き見対策や、作業者が離席する場合の PC 等端末はどうするか、盗難や破壊の可能性にどう対応するか、等をあらかじめ会社として考慮しておく必要があります。

バックアップ及び事業継続のための手順

作業内容のバックアップはどこに取るか、またテレワーク中に地震や火災等に巻き込まれた場合はどう対処するか、等が含まれます。

保険の用意

一般的なサイバーセキュリティ保険はテレワークをカバーしていない場合があります。企業外で情報資産を使用するのがテレワークですから、機密性喪失リスクが高まるからです。そのため、現状でサイバーセキュリティ保険に加入していたとしても、どの程度被害をカバーできるのか、検討しておく必要があります。
最近では、国内でもテレワーク保険の販売が開始されていますので、こちらを利用するのも良いでしょう。

テレワークに対しての社員教育

テレワークを導入するに際し、社員教育は重要な要素です。パスワードをふせんに書いてノート PC に貼り、コワーキング施設でパソコンにログインしたまま昼食に出かけた、というリスクは技術では防げません。

IT セキュリティは技術の進歩や新しい攻撃手法などにより変化していきますので、定期的な情報のアップデートも重要です。定期的な社員教育にこのような内容を盛り込むことや、テレワークに関して実際に起きてしまったセキュリティ事故を共有するなど、リラックスできる環境においても普段の業務環境と同等のセキュリティ対策が求められることを意識づけていくことが大切です。

テレワークは、労働者側にも便利なだけでなく、経営者側にも施設負担の軽減等のメリットがあります。また都内ではテレワークに対する助成金の動きも始まっています。

今回、正しく管理体制を整えたテレワーク体制が構築できれば、今後のビジネスの飛躍にも繋がるかも知れません。

サイバートラストでは、ISMS 資格取得支援や従業員教育なども行っており、経験豊富なコンサルタントが皆様の課題解決のお手伝いをいたします。ぜひご相談ください。