テレワーク導入における企業のセキュリティ対策

多くの企業で採用され、今や当たり前のようになったテレワークですが、テレワークならではのセキュリティリスクは存在することを忘れてはいけません。これからテレワークを導入する企業や、必要に迫られ急いでシステムを導入したという企業は、いま「テレワークにおけるセキュリティ対策」の基本を知っておくと良いでしょう。

企業がテレワーク（リモートアクセス）環境を導入する際、セキュリティ対策を最も重視していることが「企業ネットワーク及び関連システムに関する調査」からも確認できます。 

この記事では、テレワーク導入にともなうセキュリティリスクにはどのようなものがあるか紹介し、それを解決するための基本的な方法について解説します。

テレワーク導入にともなうセキュリティリスク

テレワークはオフィスから離れて仕事をする働き方です端末をオフィス外に持ち出し、外部から社内ネットワークに接続するためセキュリティ対策が欠かせません。

テレワークにおけるセキュリティリスクとしては、次のようなものが挙げられます。

• 端末の紛失、盗難
• 情報漏えい
• 不正アクセス
• マルウェア感染

端末を社外に持ち出すため、データを保存した端末を紛失・盗難されることで情報漏えいにつながるリスクがあります。また、端末上にユーザーID情報などが保存されていれば、社内ネットワークやシステムに不正アクセスされる恐れがあります。

情報漏えいや不正アクセスは端末を紛失・盗難されたときだけ起こるとは限りません。例えば、セキュリティ対策の整っていないインターネット環境下でテレワークを行っていると、通信を盗聴されて情報漏えいに繋がる可能性も考えられます。

同様に、通信内容を盗聴されることで認証情報を盗み見られ、不正アクセスにつながることも考えられるでしょう。さらに、テレワークによって管理すべき端末が増えることで管理の甘い端末が出てくると、セキュリティアップデートなどが行われずにマルウェアに感染する可能性もあります。

安全なテレワークを実現するためには、次に紹介するようなセキュリティ対策が欠かせません。

テレワークのセキュリティ対策

テレワークのセキュリティ対策では「ルール」「人」「技術」のバランスの取れた対策が重要です。ここでは、具体的なセキュリティ対策として7つの対策方法を紹介します。

ルール作り

テレワークを利用する際のルールは、事前に策定しておくことが重要です。業務を進めるなかで、都度セキュリティ面が安全かどうかを判断して必要な対策を講じることは効率的ではありません。

また、従業員にその判断を任せてしまうと、人によってセキュリティの強弱が生まれてしまいます。そうならないためにも、事前に「安全に仕事をするためのルール」を策定し、従業員に周知徹底、そのルールを守ってもらうようにしましょう。

業務を効率的に進められ、人によってセキュリティの強弱が生まれてしまうことを防げます。

社員教育

テレワークのセキュリティ対策の「ルール」「人」「技術」のなかでは、「人」の部分が最も難しいといわれています。ルールを定めても守らなければ意味がありません。

テレワークでは離れて仕事をしているため、ルールが守られているかを確認することは難しいでしょう。ルールを習慣として定着させ、自然と守ってもらうためには繰り返しの社員教育が重要です。

社員教育を通して、ルールを厳守することとあわせてセキュリティ知識を従業員が吸収することで、攻撃型標的メールやフィッシングなどの脅威も防げます。

クラウド利用の管理

テレワークとあわせてクラウドサービスの業務利用も増えました。クラウドサービスはインターネットにつながっていればどのようなネットワークからでもアクセスできますが、それ故にしっかりと管理しなければ情報漏えいなどにつながりかねません。

業務で利用できるクラウドサービスは限定し、従業員に周知徹底することが重要です。また、社内ネットワークからは許可されたクラウドサービスにしかアクセスできないように制限をかけることも有効です。

ログの収集・管理

テレワークでは従業員は離れた場所で仕事をしているため、業務状況を直接確認できません。「誰が」「いつ」「どのような」アクセスをしているのかを把握するためにも、ログの収集・管理を行ないましょう。

ログの管理を行うことで、不正アクセスなどが発生した際は通常とは異なるログが検知でき、早期発見につながります。

データの暗号化

端末を社外に持ち出すことから、社外秘のデータなどを保存した端末の紛失・盗難は情報漏えいにつながります。これらを防ぐためには、端末に保存するデータ自体を暗号化することが有効です。

データが暗号化されていれば、仮に端末を紛失・盗難されたとしても情報漏えいのリスクを軽減できます。また、社外に持ち出す端末はデータを保存できなくし、リモートアクセスのみの端末とする「シンクライアント端末」の利用も有効です。

VPN利用

VPN（Virtual Private Network）は、仮想的な専用線を構築する技術です。通信内容は暗号化され、インターネットを介して社内ネットワークに接続しても盗聴されるリスクを軽減できます。

自宅などから社内のパソコンにリモートデスクトップ接続する際などにも利用でき、安全な通信経路を確保するための手段として利用できます。

セキュリティ製品の導入による環境整備

テレワーク（リモートアクセス）におけるセキュリティ対策には、さまざまな手法が採用されています。

技術的なセキュリティ対策は、専用のセキュリティ製品を導入することをおすすめします。セキュリティ対策は包括的な対策が必須ですが、それぞれを個別に実施すると抜け漏れが発生する可能性が考えられます。

また、高度な知識やスキルを要求されることから、十分なセキュリティ対策が実施できていないケースも考えられるでしょう。不正アクセス対策ひとつとっても、多要素認証の導入やデバイス制限など、対策方法は多岐にわたります。

これらの課題を軽減するために導入するのが各種のセキュリティ製品です。NetAttest EPSは安心・安全・快適なネットワーク環境を構築するためのネットワーク認証サーバーです。

確かな認証によって不正アクセス対策としてパソコンだけでなく、スマートフォンも含めて許可された端末だけが社内ネットワークに接続できる環境を、VPNゲートウェイ機器と連携して構築できます。

テレワークのセキュリティ対策における「ルール」「人」「技術」のうち、技術はセキュリティ製品を導入することで対策するとよいでしょう。

テレワークが普及する昨今、テレワークに関連するセキュリティ事故も増えています。セキュリティ事故は企業活動に大きな影響を及ぼす可能性があるため、セキュリティ対策は十分に行ないましょう。

テレワークのセキュリティ対策では、セキュリティ製品の導入をおすすめします。NetAttest EPSは社内ネットワークにより安全に接続できる環境を実現するための機能が充実しています。

ご参考

【ウェビナー】リモートアクセスの必須要件 ～ガイドラインが求める認証でセキュリティを強化する方法～ | ネットアテスト

netattest.com

関連サービスはこちら

働き方を可視化し、セキュリティ対策・業務改善を支援するレポートサービス