社員の行動を
適切に管理するには
情報セキュリティとは、サイバー攻撃、ウイルス対策、といった外的要因をイメージされることが多いが、悪意ある組織内関係者による被害も起こっています。特に、情報漏えいについては、内部関係者の不正行為によるものが多く、企業の不祥事として甚大になる傾向があります。
内部関係者からの不正行為を防ぐには、どのような対策が必要かを説明していきます。
ICT環境とセキュリティ(考え方)
- ・テレワーク時の情報セキュリティ対策の基本
- ・テレワークにおける主なリスク事例
テレワーク時の情報セキュリティ対策の基本
テレワーク時の情報セキュリティ対策を考える際、基本となるのは、現状のオフィス内で働く際に行っているセキュリティ対策です。
たとえば、「パソコンにはウィルス対策ツールを入れる」「OSや各種ツールのアップデートは必ず実施する」「メールに添付されている不審なファイルは開かない」など、普段から行っている基本的な対策はテレワーク時でも一緒です。
ただし、テレワーク時には「他人からのぞき見される」「パソコンを網棚に置き忘れる」といった、オフィス内では起こらないリスクも発生します。従ってそのようなリスクに対する対策を、既存の規程に追加することで、テレワークに適した規程が整います。
テレワークにおける主なリスク事例
では、テレワークならではのリスクの具体例とそれに対する考え方を挙げてみましょう。
-
パソコンやスマートフォンの紛失・盗難
特にモバイル勤務やサテライトオフィス勤務の際に発生する可能性があります。実際にテレワーク制度がない企業でも、持ち出した機器の紛失、置忘れはかなり頻繁に起きています。何らかの事情で手元から離れたパソコンなどからの情報漏洩を防ぐためには、まずはその機器本体に情報を保存しておかないことです。それにより、ハードディスクなどから情報を抜き取られることが避けられます。そのほかには、万が一情報が保存されていたとしても、抜き取られにくくするために、ハードディスクを暗号化したり、遠隔からパソコンを操作して、保存されている情報を消去できるようにしておくなどの対策が有効です。
-
なりすまし
第三者が従業員のIDを使って従業員に成りすまし、社外から社内環境等に不正アクセスを行う可能性があります。IDやパスワードが他人に漏れないようにしたり、推測されにくいものにすることがまず大前提です。そのほかにはID,パスワードに加えて、他の確認手段を追加することで、認証の強度を上げることができます。
-
のぞき見、盗聴
周囲に人がいる状況でパソコンを使用することで画面をのぞき見されたり、公衆無線Wi-Fiを利用することで、通信内容を傍受されたりするという情報漏洩のリスクがあります。パソコンの画面を横から見えにくくするほか、周囲に人が居る状況ではパソコンを開かないなどのルール作りも有効です。また、Wi-Fiに関しては、安全性の確認できるもののみを使用するようにします。
-
内部不正
社内でも悪意のある従業員の不正は起こり得ますが、周囲に監視の目がないテレワーク時にはさらにそのリスクが高まるとも考えられます。パソコンの操作ログや、従業員のふるまいを記録し、見える化できるようなツールをパソコンに入れておくことなどが有効な対策になります。
ICT環境とセキュリティ(ツール)
- ・セキュリティを確保するためのツール
- ・組み合わせて使おう
セキュリティを確保するためのツール
テレワーク時の情報セキュリティを確保するために、役立つツールには、主に以下のようなものがあります。別途ご紹介する物理的な対策、運用ルールや教育の対策と組み合わせることで、その効果を発揮します。
-
パソコンを遠隔から管理、操作するためのツール
MDM(Mobile Device Management)とよばれる、端末を遠隔から管理できるツールをテレワーカーの使用する機器に入れておくことで、ユーザーがどんなアプリケーションをダウンロードしたのかを監視したり、いざという時には端末内の情報を遠隔から消去したりすることも可能です。
-
パソコンに情報を残さないためのツール
手元のパソコンで、オフィスの中に置いてあるパソコンを遠隔操作する「リモートデスクトップツール」や、仮想デスクトップといったツールを使うことで、手元のパソコンに情報をダウンロードできない形で安全に作業ができます。
クラウドサービスを使って、ブラウザ上で業務をすることが多い人は、セキュアブラウザの利用も有効です。
-
パソコンに情報を残さないためのツール
手元のパソコンで、オフィスの中に置いてあるパソコンを遠隔操作する「リモートデスクトップツール」や、仮想デスクトップといったツールを使うことで、手元のパソコンに情報をダウンロードできない形で安全に作業ができます。
クラウドサービスを使って、ブラウザ上で業務をすることが多い人は、セキュアブラウザの利用も有効です。
-
パソコンの状況を監視するツール
EDR(Endpoint Detection and Response)と呼ばれるツールはユーザーの端末を常時監視し、ウィルスなどの不審な動きを見つけると、管理者に通知します。ウィルス対策ツールの検疫を潜り抜けた悪意のあるプログラムが端末に入ってしまったとしても、あとから対策がとれることが特徴です。
-
パソコンへの不正なログインを防ぐためのツール
MFA(Multi-Factor Authentication)とよばれる多要素認証のツールを取り入れることで、ID・パスワードにそのほかの要素を追加することが可能です。
指紋認証等の生体認証、有効期限の短いワンタイムパスワード、スマートフォンへのメッセージと組み合わせて使うSMS認証などを組みあわせることで、ユーザーの認証を強化できます。
組み合わせて使おう
どのツールも「これ一つあれば大丈夫」というものではありません。組み合わせて使うことで攻撃に対する多層防御が可能になり、セキュリティ対策も手厚くなります。テレワークでの業務内容や予算等に合わせて導入を検討しましょう。
ICT環境とセキュリティ(運用ルールや教育)
- ・情報セキュリティポリシーの準備
- ・ガイドラインや手引き
情報セキュリティポリシーの準備
テレワーク時の情報セキュリティを確保するために、運用ルールや教育研修体制を整備することも重要です。別途ご紹介するツール面の対策、物理的な環境や機器面の対策と組み合わせることで、その効果を発揮します。
テレワーク時の情報セキュリティルールを考える際には、出社時を含む全体のセキュリティ対策の基本方針となる「情報セキュリティポリシー」をまず定めましょう。
ガイドラインや手引き
基本方針の策定にあたって参考になるのはIPA(独立行政法人情報処理推進機構)が発行している「中小企業のセキュリティ対策ガイドライン(第3版)」です。
この冊子では情報セキュリティ確保のために取り組むべきことを順序だてて示しているだけではなく、ひな型として使える各種規程のサンプルなども提供されています。
また、総務省は中小企業の担当者向けに「テレワークセキュリティの手引き(チェックリスト)」(初版)を2020年9月に公開しています。テレワークを実施する際に最低限のセキュリティを確実に確保してもらうための手引き(チェックリスト)ですので、こちらも是非参考にしてください。
