テレワークするならセキュリティ管理が重要。セキュリティ対策のポイントとは?

2021年11月24日

記事の監修

志賀 岳雄(しが・たけお)

株式会社ビズウインド マーケティング&ソリューション事業部長。
近年、Microsoft 365, Dynamics 365, PowerPlaftormのテクノロジーに着目。
法人営業、エンジニア、マーケターとしてのこれまでの経験を活かし、日本の中小企業の課題を解決するためのサービスを提供している。
趣味はオリジナルスパイスのカレー作り。定年退職後は、カレー屋を営みたいと考えている。

月に3社様限定

無料オンライン相談実施中
マイクロソフトの専門家が対応

詳しくはこちら

テレワークにおけるセキュリティが気になる人も多いのではないでしょうか。実際、インターネット通信を介して情報をやり取りする以上リスクがゼロになることはありません。 

この記事では、テレワークにおけるセキュリティについて。またリスクを減少させる方法について多面的に解説します。 

テレワークとセキュリティの関係

まず最初に、テレワークとセキュリティの関係性について解説します。 

セキュリティリスクとは「情報漏えいやデータの不正使用などで損害や影響が発生する危険性」のこと

「テレワークする際のセキュリティが心配」という声もよく聞きますが、そもそもセキュリティリスクとは何なのでしょうか。リスクというからには何かしらの危険があることは想像できますが、セキュリティリスクがあると一体どのような点に問題が生じるのでしょうか。

セキュリティリスクを一言で表現すると、「情報漏えいやデータの不正使用などで損害や影響が発生する危険性」です。情報が漏えいして謝罪会見を開いた企業もありますし、データの不正使用で金銭的損害を被った企業もニュースなどで耳にする機会があるでしょう。 

情報漏えいにもデータの不正使用にも企業に対する賠償責任が生じますが、加えて社会的信用の失墜といったペナルティも見逃せません。セキュリティリスクをゼロにすることはできませんが、可能な限り対策を行い、リスクそのものを減少させることが求められています。 

オンラインで情報共有を行うと基本的にセキュリティリスクは高まる

テレワークを行う際には、オンライン上でさまざまな情報やデータをやり取りする必要があります。情報をオンラインでやり取りする場合、離れた位置にある端末からインターネット回線を通じて会社のサーバー等にアクセスすることになるため、原則的にセキュリティリスクが増します。 

アクセスIDやパスワードを第三者が取得すればサーバーにアクセスできてしまうため、中にあるファイルの閲覧が可能になるでしょう。また、セキュリティが確保されてない回線を使って通信している場合、第三者によって通信内容を盗み見されてしまう恐れもあります。

オフラインだからといってセキュリティリスクが皆無なわけではない

では、オフラインで情報をやり取りすればセキュリティリスクは皆無になるでしょうか。残念ながらそういうわけではなく、オンラインにおけるセキュリティリスクはなくなるものの、オフラインに存在するセキュリティリスクを無視することはできません。 

情報やデータは、インターネット回線を通じてのみ漏えいするわけではありません。USBメモリなどの小型ストレージを使えばどこにでも持ち運べますし、従業員が貸与されているスマホを紛失してしまうといったケースも考えられるでしょう。

セキュリティリスクの一例

それでは、次に具体的なセキュリティリスクの一例をご紹介します。機密情報が漏えいする経路は多岐に渡るため限定的な例ではありますが、イメージを掴んで頂けると幸いです。 

オンラインにまつわるセキュリティリスク例

オンラインにまつわるセキュリティリスクには、下記のようなものがあります。

メールに添付された不明なファイルを開いてしまった

不振なメールに添付されているファイルを開いてしまうことで、攻撃対象になってしまう可能性があります。この手法の厄介なところは企業や組織内にいる誰かがファイルを開いただけで、ネットワーク全体から情報を盗み出すことが可能な点です。 

メールの発信元をしっかりと確認したり、不用意にファイルを開いたりリンクをクリックしないようにしましょう。 

暗号化されてない回線を使ってテレワークをしてしまった 

暗号化されていない回線を使いテレワークを行うことで、セキュリティリスクが増大します。自宅や会社では基本的に暗号化された通信が行われていますが、たとえば無料WiFiスポットなどからインターネットに接続する場合は暗号化されていないこともあります。 

暗号化されていないまま情報のやり取りを行ってしまうと、第三者により盗み見られ情報漏えいに繋がる恐れがあります。

オフラインでのセキュリティリスク例 

では、次にオフラインでのセキュリティリスクの例をご紹介します。セキュリティリスクはオンラインだけでなくオフラインにも生じるため、広範囲な対策が必要です。 

関係者が持ち帰った書類やストレージから流出

テレワークを行う場合、会社から自宅に書類やストレージを持ち帰ることもあるかもしれません。持ち帰った書類やストレージの管理を怠り、第三者が見てしまうことで情報漏えいの恐れが生じます。 

テレワークにおけるデータや書類の扱いについては、事前にしっかりとルールを設けておきましょう。

関係者間の会話を盗み聞きされてしまった

公共交通機関や喫茶店など、関係者同士で仕事の話をするケースもあるかと思います。公の場所で話した会話を第三者が耳にすることで、情報が漏れてしまう恐れもあるでしょう。 

外でまったく仕事の話をしないというのは難しいため、TPOを弁えて会話の内容を考えましょう。

セキュリティにまつわる悩みを解決するには?

では、次にセキュリティに関する悩みをどのように解決するべきかを解説します。セキュリティは常にいたちごっこが続いているためリスクを完全になくすことはできませんが、適切な対策を講じることで減少させることは可能です。 

セキュリティについて学ぶ

セキュリティリスクを減らすためにも、セキュリティについて学んでおきましょう。上述したような「なぜオンラインになるとセキュリティリスクが上がるのか」や「具体的なセキュリティリスクとは何か」といった基礎を学ぶことで、自社に合ったセキュリティ施策が思い浮かぶかもしれません。 

また、攻撃者の立場になって考えることも有効です。攻撃者は、基本的にセキュリティの弱いところを狙って多重に攻撃を仕掛けてくることが予想されるでしょう。 

「どの部分のセキュリティが甘いのか」を判断し潰すことで、セキュリティレベルの向上が見込めます。 

合わせて、社内にセキュリティリスクの啓蒙を行うきっかけにもなります。 

プロに相談する

セキュリティを学ぶことでリスクを減少させることができますが、ITセキュリティ分野は専門的な理論も多く、本格的に学ぶ場合は相応のリソースがかかるのが難点です。その場合は、ITセキュリティに詳しいプロに相談することで、時間や労力を大きく節約できるでしょう。 

自社に合ってない施策や間違った施策をしてしまうと、逆にリスクを上げてしまうことにもなりかねません。自分達で学ぶことも大事ですが、それのみに依存せず他人(プロ)に意見を仰ぐ柔軟性も大事です。 

業務システムを導入する

業務システムを導入することで、セキュリティリスクの減少に繋がります。業務システムにはさまざまな種類や製品がありますが、セキュリティ回りを考慮して設計されているものが多いため、ユーザー側が漏えいリスクをあまり考えなくてよいという利点があります。 

ただし、業務システムによって考慮されるのはあくまでオンライン(ネットワーク)上のリスクがメインです。オフラインでの物理的なリスクには対応が難しいため、別途ルールなどを設ける必要があるでしょう。

テレワークを実施する際の大まかな注意点

続いて、テレワークを実施する際の大まかな注意点をご紹介します。やり方次第でセキュリティレベルを上げることも下げることもあるため、自社に合った運用を模索するころが重要です。

使用するツールはなるべく統一する

テレワークを行う場合、使用するツールをなるべく統一しておくことをおすすめします。各人や部署がバラバラのツールを使っていてはデータの一元管理を行うのが難しく、マージする必要が生じた際などに余計な手間をとられてしまいます。 

また、使用ツールをあらかじめ定めておかないと、シャドーITのような問題も生じます。シャドーITとは、主にコンシューマー向けのWebサービスを社内の了解なく個人や部署が業務で使用することを意味する言葉ですが、シャドーITを許容することによりセキュリティリスクが上がります。 

コンシューマー向けのサービスは、一般的に業務向けのサービスほどセキュリティ対策が講じられているわけではありません。そのため、シャドーITを行っている利用者の不注意によって機密情報が外部に漏れてしまったり、第三者による内部へのアクセスを許してしまうなどの恐れがあります。 

運用のルールを定める

テレワークを行う際には、事前にしっかりと運用ルールを定めておきましょう。たとえば、下記のような例が考えられます。 

  • 無料WiFiなど暗号化されてない通信手段から社内のサーバーにアクセスしない
  • 管理システムの起動は業務時間内のみに限定する
  • チャットツールでのDM送信は禁止。公開されている場でのみコミュニケーションを行う 

この辺りは企業や部署によって異なるため、場合に応じて適切なものを策定しましょう。なるべくセキュリティリスクを生じさせず生産性を落とさず、かつコンプライアンスに反しないルールを設けるのが肝要です。 

テレワークにおけるセキュリティを高めるために必要な具体的施策

では、最後にテレワーク下におけるセキュリティ確保の具体的施策をいくつかご紹介します。

システムへのアクセスはなるべく業務時間内のみに定める

基幹システムへのアクセスをなるべく業務時間内のみに定めることで、セキュリティを強められます。システムを稼働させる時間を限定すれば、それ以外の時間は攻撃者からのアプローチをある程度シャットアウトできるからです。 

業務との兼ね合いもあるかとは思いますが、システムの稼働は必要最低限に絞りましょう。また、時間外業務を行う場合はシステムを使わない工夫をすることなども有効です。 

情報はなるべくサーバー上に集め、閲覧や複製に制限をかける

業務に関する情報はなるべくサーバー上に集め、閲覧や複製、ダウンロードなどに制限をかけておきましょう。サーバー上にまとめておけば管理も容易ですし、役職や部署による最低限のアクセス権のみを付与しておけば、リスクを最小限に抑えることができます。 

アクセスの間口を狭めることが、セキュリティ対策の基本です。

チャットや音声通話、ビデオ通話を適切に使い分ける

テレワークにおけるコミュニケーション方法にはさまざまなものがあり、企業や部署によって何をメインにするかは異なってきます。文字情報のみのチャットや音声での通話、また音声に映像を加えたテレビ電話などがよく使われています。 

大切なのは、これらを正しく使い分けることです。それぞれの方法にはメリットとデメリットがあるため、状況や利便性、セキュリティリスクに応じて適切に選択しましょう。 

場合によっては、テレワークに囚われず電話や直接会って話をするなども選択肢に入ります。もちろんテレワークを行っている趣旨を無視するのは本末転倒ですが、そうでない場合は柔軟に判断することも大切です。 

可能であればVPNを使用する

外から社内のサーバーにアクセスする場合、VPNを使うことでセキュリティリスクを下げることができます。VPNとはVirtual Private Networkの略であり、専用線を仮想的に構築する技術のことです。 

VPNは、無料WiFiなどからアクセスする時に効果を発揮します。公衆的な無料WiFiは確かに便利なのですが、通信が暗号化されていないケースも多く、その場合は内容を第三者に盗み見られてしまう恐れがあります。 

VPNを使えば、アクセスポイントによる通信が暗号化されていなくとも、トンネリングや暗号化によりセキュリティを確保することができます。

まとめ

テレワークを行う際はインターネット通信を利用するため、セキュリティリスクは上昇します。リスクをゼロにすることはできませんが、適切な選択判断を行うことで最小限にとどめることもできるでしょう。

無料相談実施中(月に3社様限定)

  • 営業をもっと効率化して売上を上げたい・・。
  • 顧客管理、営業、マーケティングを一貫して行いたい・・。
  • CRM/SFAの導入・運用方法がわからない・・。
  • 社内DX化を進めたいけど何から始めていいのかわからない・・。

ビズウインドでは、上記のような様々な課題でお困りのお客様に対して、
無料相談を実施致しております。

社内DX化のコンサルティングや営業支援システム、MAツールなどの多くの導入実績から、
プロの視点で様々な解決策をご提案させて頂きますので、お気軽にご相談下さい。

ご相談はこちらから