盗み見や盗聴による
情報漏えいを防ぐには
盗み見・盗聴には、パソコン画面を覗いてくる、電話などの話し声を聞かれるといった物理的な行為のほかに、サイバー攻撃と言われるような不正アクセスや通信内容を傍受するといったことも含まれます。
第三者から機密情報に不正アクセスされて盗聴されると、企業にとって大きな被害を及ぼす可能性があるので注意が必要です。
盗聴リスクを軽減するためには、どのような対策が必要かを説明していきます。
ICT環境とセキュリティ(考え方)
- ・テレワーク時の情報セキュリティ対策の基本
- ・テレワークにおける主なリスク事例
テレワーク時の情報セキュリティ対策の基本
テレワーク時の情報セキュリティ対策を考える際、基本となるのは、現状のオフィス内で働く際に行っているセキュリティ対策です。
たとえば、「パソコンにはウィルス対策ツールを入れる」「OSや各種ツールのアップデートは必ず実施する」「メールに添付されている不審なファイルは開かない」など、普段から行っている基本的な対策はテレワーク時でも一緒です。
ただし、テレワーク時には「他人からのぞき見される」「パソコンを網棚に置き忘れる」といった、オフィス内では起こらないリスクも発生します。従ってそのようなリスクに対する対策を、既存の規程に追加することで、テレワークに適した規程が整います。
テレワークにおける主なリスク事例
では、テレワークならではのリスクの具体例とそれに対する考え方を挙げてみましょう。
-
パソコンやスマートフォンの紛失・盗難
特にモバイル勤務やサテライトオフィス勤務の際に発生する可能性があります。実際にテレワーク制度がない企業でも、持ち出した機器の紛失、置忘れはかなり頻繁に起きています。何らかの事情で手元から離れたパソコンなどからの情報漏洩を防ぐためには、まずはその機器本体に情報を保存しておかないことです。それにより、ハードディスクなどから情報を抜き取られることが避けられます。そのほかには、万が一情報が保存されていたとしても、抜き取られにくくするために、ハードディスクを暗号化したり、遠隔からパソコンを操作して、保存されている情報を消去できるようにしておくなどの対策が有効です。
-
なりすまし
第三者が従業員のIDを使って従業員に成りすまし、社外から社内環境等に不正アクセスを行う可能性があります。IDやパスワードが他人に漏れないようにしたり、推測されにくいものにすることがまず大前提です。そのほかにはID,パスワードに加えて、他の確認手段を追加することで、認証の強度を上げることができます。
-
のぞき見、盗聴
周囲に人がいる状況でパソコンを使用することで画面をのぞき見されたり、公衆無線Wi-Fiを利用することで、通信内容を傍受されたりするという情報漏洩のリスクがあります。パソコンの画面を横から見えにくくするほか、周囲に人が居る状況ではパソコンを開かないなどのルール作りも有効です。また、Wi-Fiに関しては、安全性の確認できるもののみを使用するようにします。
-
内部不正
社内でも悪意のある従業員の不正は起こり得ますが、周囲に監視の目がないテレワーク時にはさらにそのリスクが高まるとも考えられます。パソコンの操作ログや、従業員のふるまいを記録し、見える化できるようなツールをパソコンに入れておくことなどが有効な対策になります。
ICT環境とセキュリティ(物理的な環境や機器)
- ・環境や機器を整える
- ・安全な作業環境
環境や機器を整える
テレワーク時の情報セキュリティを確保するために、整えたい物理的な環境や機器には、主に以下のようなものがあります。別途ご紹介するツール面の対策、運用ルールや教育面の対策と組み合わせることで、その効果を発揮します
-
自宅の執務環境
同居する家族にパソコンの画面を見られたり、会話の内容を聞かれたりしないようにしましょう。具体的には壁を背にして座ったり、ヘッドセットなど周囲に音が漏れない機器を使ったりといった対策が有効です。
-
通信環境
従業員の自宅の通信環境を利用する場合は、暗号化されている無線LANか有線LANのみを使うようにします。街中の公衆無線Wi-Fiなどは、業務上での利用を避けたほうが無難です。また、社内LANとテレワーカーの接続はVPN通信のような暗号化されたものを使用しましょう。
-
のぞき見対策
パソコン等の画面にプライバシーフィルター等をつけて横から見えにくくするほか、カフェなどで座席を立つときにはパソコンの画面をロックする、あるいはパソコンそのものを席に放置しないことなどが有効です。
-
社内ネットワーク監視
通信の出入り口を監視するファイアーウォールだけでなく、社内の通信環境を監視できるUTM(Unified Threat Management)(=統合脅威管理)機器の導入によって、社内に入り込んでしまったウィルスの動きを察知し、対策をとることができます。
安全な作業環境
テレワーク時の作業環境のイメージとそこに必要なセキュリティ対策を図にまとめてみました。
在宅勤務者、モバイル勤務者とも社外の環境から通信を使って、社内環境やクラウドサービスにアクセスをしながら仕事をします。
まずはテレワーカーの手元機器や環境を、物理的な面+ツール面でしっかり防御、見える化することが大切です。次に使用する通信を安全なものにすること。さらには、アクセス先の環境に入るための認証を厳格にしたり、ネットワーク内の環境を監視する仕組みで防御したりすることが必要です。