あなたの会社は万全ですか？テレワークのセキュリティ対策2020.06.02

新型コロナウイルスの感染拡大防止のためにテレワークを導入し、気付くことのなかった新たなメリットを見出した会社もあると思います。その一方で、テレワークをしている従業員のネットセキュリティ問題に直面した会社も多かったのではないでしょうか？現状や対策について考察してみましょう。

テレワークにおけるデータセキュリティのトラブル例とその対策

「明日からテレワークです」と急に言われても、すぐさま対応するのは簡単ではありません。自宅のWi-Fi環境や仕事環境も、従業員一人ひとり違います。テレワークを推進する上で、何が足りていて、何が不足しているかを見極め、環境を整備していくのは会社側のミッションです。

テレワークが推奨され、従業員がオフィス外で仕事をすることになれば、パソコンやUSBメモリの持ち出しによる機密情報や個人情報の扱いが問題になります。セキュリティが脆弱な公衆Wi-Fiを利用した結果、大切なIDやパスワードが外部に流出するといった不安も生じるでしょう。

テレワークにおけるトラブル例としては、パソコンやUSBメモリの紛失、盗難、カフェなど作業中にパソコン画面や書類をのぞき見される、手元の動きでIDやパスワードを読み取る「ショルダーハッキング」の被害、偽SSID経由での情報漏洩や詐欺サイトへの誘導など、テレワークにはさまざまなリスクがついて回るのです。

「セキュリティに詳しくないから…」と、こうしたリスクを無視していると、重要な情報が外部に流出し、会社に多大な損害が及ぶ可能性があります。最悪の場合、倒産してしまうという可能性もゼロではありません。ダメージを受けた後に、リカバリーできるのか、賠償責任はいくらなのか……とゴタゴタするのは厄介です。事前に万全なセキュリティ対策を講じておくべきでしょう。

対策としては、

仕事に使用するパソコン、USBメモリにはパスワード設定やコピー制御をおこなう
すべてのITデバイスにのぞき見防止フィルターを貼る
デバイスを紛失した時に備えて、遠隔データ消去ができる設定にする
オープンスペースで公衆Wi-Fiは使わず、会社支給のポケットWi-Fiを使う
自宅のWi-Fiパスワードを初期設定から変更して使う
外出先では画面や手元の動きが見られない席に座る
端末や書類を座席に置いたまま席を離れない

などが挙げられます。

会社側は、安全なテレワークを行うための工夫を講じて、従業員の作業環境へと落とし込まなければなりません。データセキュリティのトラブルが起こらないような準備のみならず、従業員のデータセキュリティに対するリテラシー向上を図るための研修カリキュラムを組むなど、多角的な取り組みが必要となります。

ルール作りが会社の情報を守る

テレワークでのデータセキュリティを高めるためには、VPN（インターネット回線上に、仮想的な専用線を設ける通信技術）を活用するのも一手です。公衆Wi-Fi経由でデータが漏洩するリスクが格段に下がります。

機密情報や個人情報は、社外への持出しを禁止し、リモートアクセスできないようにしておくことも考えられるでしょう。会社から提供されたパソコンやUSB以外のデバイスにデータを保存しないといったルール作りも必要です。

仕事上のデータのやり取りにクラウドサービスやフリーメールを使用しないというのもポイントとなります。サービス提供者側のトラブルで、データが消えてしまう可能性や、情報流出の可能性がゼロではないことを考えると、どうするのが賢明なのかが見えてくるはずです。

テレワークを推進する中で、近年はBYODが話題になることも少なくありません。BYODとは「BRING YOUR OWN DEVICE」の略で、個人のパソコンを業務で使用することを差します。従業員が使い慣れたパソコンで作業できる点や、会社側が従業員に端末を支給せずに済むためコスト削減につながる点などがメリットとなる一方で、データセキュリティが問題になっています。

セキュリティの観点から会社がBYODを禁止しても、「仕事がしやすいから」と勝手に自前の端末を使用する従業員に頭を悩ませる会社の中には、ルール整備を徹底したうえで許可を出すところも増えているようです。

前述したクラウドサービスへのデータ保存禁止といったルールの他、OSや使用するソフトを常に最新状態にアップデートをすることもBYODには欠かせません。ベンダーが提供する最新のパッチをあてて、セキュリティホールを埋めるのは、サイバー攻撃を防ぐためのもっとも基本的なセオリーです。また、IDやパスワードを、仕事とプライベートで使い回さない、家族や友人への端末貸し出し禁止なども重要です。

テレワークは、会社側が用意した最新状態のデバイスやVPN回線を使って、安全な通信を確立するのが理想的ですが、至らないポイントがある場合はルールやリテラシーでカバーしていくのが望ましいでしょう。

オンライン会議は本当に安全か？

テレワーカーが多い会社では、オンライン会議も頻繁に行われていることでしょう。なかでも、ビデオミーティングが手軽に行えるZOOMは利用者が急増して話題になりました。その一方で、利用者のデータ流出や、ミーティングIDを悪用した部外者の乱入トラブルなどが問題となったのを目の当たりにした方もいるのではないでしょうか。

ZOOM社は問題発生後に早い段階で、ミーティング主催者の承認なしに会議に参加できないシステムの構築や、ミーティングIDを以前の9桁から11桁に変更するなどの対応を行っており、現在は以前のようなトラブルはなくなっているようです。

ZOOMに限らず、オンライン会議を開くためのサービスを利用する場合には、URL、ID、パスワードなどを管理するルールが必要です。部外者に知られないようにするのは基本中の基本ですし、利用する側もデータセキュリティの意識を日々アップデートしなければなりません。そして、どのサービスを使うのかは、データセキュリティの担当部門や、経営者、上司の判断となっていくでしょう。

オンライン会議には何を使うのか？に限らず、テレワークを推進するには、どんな端末を使うのか？情報の管理方法は？通信回線やWi-Fiは？など、チェックすべきポイントが多々あります。会社側は積極的にインフラや社内ルールを整備し、セキュリティトラブルが起こらないような対策を講じていきましょう。