テレワークとセキュリティの関係

まず最初に、テレワークとセキュリティの関係性について解説します。 

セキュリティリスクとは「情報漏えいやデータの不正使用などで損害や影響が発生する危険性」のこと

「テレワークする際のセキュリティが心配」という声もよく聞きますが、そもそもセキュリティリスクとは何なのでしょうか。リスクというからには何かしらの危険があることは想像できますが、セキュリティリスクがあると一体どのような点に問題が生じるのでしょうか。

セキュリティリスクを一言で表現すると、「情報漏えいやデータの不正使用などで損害や影響が発生する危険性」です。情報が漏えいして謝罪会見を開いた企業もありますし、データの不正使用で金銭的損害を被った企業もニュースなどで耳にする機会があるでしょう。 

情報漏えいにもデータの不正使用にも企業に対する賠償責任が生じますが、加えて社会的信用の失墜といったペナルティも見逃せません。セキュリティリスクをゼロにすることはできませんが、可能な限り対策を行い、リスクそのものを減少させることが求められています。 

オンラインで情報共有を行うと基本的にセキュリティリスクは高まる

テレワークを行う際には、オンライン上でさまざまな情報やデータをやり取りする必要があります。情報をオンラインでやり取りする場合、離れた位置にある端末からインターネット回線を通じて会社のサーバー等にアクセスすることになるため、原則的にセキュリティリスクが増します。 

アクセスIDやパスワードを第三者が取得すればサーバーにアクセスできてしまうため、中にあるファイルの閲覧が可能になるでしょう。また、セキュリティが確保されてない回線を使って通信している場合、第三者によって通信内容を盗み見されてしまう恐れもあります。

オフラインだからといってセキュリティリスクが皆無なわけではない

では、オフラインで情報をやり取りすればセキュリティリスクは皆無になるでしょうか。残念ながらそういうわけではなく、オンラインにおけるセキュリティリスクはなくなるものの、オフラインに存在するセキュリティリスクを無視することはできません。 

情報やデータは、インターネット回線を通じてのみ漏えいするわけではありません。USBメモリなどの小型ストレージを使えばどこにでも持ち運べますし、従業員が貸与されているスマホを紛失してしまうといったケースも考えられるでしょう。

セキュリティリスクの一例

それでは、次に具体的なセキュリティリスクの一例をご紹介します。機密情報が漏えいする経路は多岐に渡るため限定的な例ではありますが、イメージを掴んで頂けると幸いです。 

オンラインにまつわるセキュリティリスク例

オンラインにまつわるセキュリティリスクには、下記のようなものがあります。

メールに添付された不明なファイルを開いてしまった

不振なメールに添付されているファイルを開いてしまうことで、攻撃対象になってしまう可能性があります。この手法の厄介なところは企業や組織内にいる誰かがファイルを開いただけで、ネットワーク全体から情報を盗み出すことが可能な点です。 

メールの発信元をしっかりと確認したり、不用意にファイルを開いたりリンクをクリックしないようにしましょう。 

暗号化されてない回線を使ってテレワークをしてしまった 

暗号化されていない回線を使いテレワークを行うことで、セキュリティリスクが増大します。自宅や会社では基本的に暗号化された通信が行われていますが、たとえば無料WiFiスポットなどからインターネットに接続する場合は暗号化されていないこともあります。 

暗号化されていないまま情報のやり取りを行ってしまうと、第三者により盗み見られ情報漏えいに繋がる恐れがあります。

オフラインでのセキュリティリスク例 

では、次にオフラインでのセキュリティリスクの例をご紹介します。セキュリティリスクはオンラインだけでなくオフラインにも生じるため、広範囲な対策が必要です。 

関係者が持ち帰った書類やストレージから流出

テレワークを行う場合、会社から自宅に書類やストレージを持ち帰ることもあるかもしれません。持ち帰った書類やストレージの管理を怠り、第三者が見てしまうことで情報漏えいの恐れが生じます。 

テレワークにおけるデータや書類の扱いについては、事前にしっかりとルールを設けておきましょう。

関係者間の会話を盗み聞きされてしまった

公共交通機関や喫茶店など、関係者同士で仕事の話をするケースもあるかと思います。公の場所で話した会話を第三者が耳にすることで、情報が漏れてしまう恐れもあるでしょう。 

外でまったく仕事の話をしないというのは難しいため、TPOを弁えて会話の内容を考えましょう。

セキュリティにまつわる悩みを解決するには？

では、次にセキュリティに関する悩みをどのように解決するべきかを解説します。セキュリティは常にいたちごっこが続いているためリスクを完全になくすことはできませんが、適切な対策を講じることで減少させることは可能です。 

セキュリティについて学ぶ

セキュリティリスクを減らすためにも、セキュリティについて学んでおきましょう。上述したような「なぜオンラインになるとセキュリティリスクが上がるのか」や「具体的なセキュリティリスクとは何か」といった基礎を学ぶことで、自社に合ったセキュリティ施策が思い浮かぶかもしれません。 

また、攻撃者の立場になって考えることも有効です。攻撃者は、基本的にセキュリティの弱いところを狙って多重に攻撃を仕掛けてくることが予想されるでしょう。 

「どの部分のセキュリティが甘いのか」を判断し潰すことで、セキュリティレベルの向上が見込めます。 

合わせて、社内にセキュリティリスクの啓蒙を行うきっかけにもなります。 

プロに相談する

セキュリティを学ぶことでリスクを減少させることができますが、ITセキュリティ分野は専門的な理論も多く、本格的に学ぶ場合は相応のリソースがかかるのが難点です。その場合は、ITセキュリティに詳しいプロに相談することで、時間や労力を大きく節約できるでしょう。 

自社に合ってない施策や間違った施策をしてしまうと、逆にリスクを上げてしまうことにもなりかねません。自分達で学ぶことも大事ですが、それのみに依存せず他人（プロ）に意見を仰ぐ柔軟性も大事です。 

業務システムを導入する

業務システムを導入することで、下記のようなメリットが得られます。

業務効率化に繋がる

業務システムを導入すれば、既存業務の効率化に繋がるでしょう。「業務効率化」は今や必須課題とも言える項目ですが、システムの導入なしでは成り立たない部分があります。

業務システムは主に

• 既存業務の自動化
• 定量的な判断基準の提示
• 業務の可視化
• コミュニケーションの気軽さ

といった点で効率化を図ってくれます。

業務を自動化することで、生産性の向上に加え人手を他に回すことが可能です。また、ITシステムは常にデータを数字として保持するため、判断が自ずと定量的になり客観的根拠や再現性を担保できます。

他にも業務が可視化され分かりやすくなったり、気軽なコミュニケーション促進にも繋がるでしょう。

定量的な判断ができる

業務システムを導入することで、今までは個人の勘や経験に頼っていたファクターを定量的に判断できるようになります。システムを導入すると、さまざまなものを数値として記録・分析できるようになるからです。

定量的な判断ができるメリットとしては、下記のようなものが挙げられるでしょう。

• 客観的根拠があり、再現性が高い
• 暗黙知を形式知化できる
• 業務の可視化が促せる

定量化することで、判断に客観的根拠をもたせることができます。数値というデータを元にした判断には説得力があり再現性も高まるため、誰かに判断の有用性を理解してもらうのにも役立ちます。

また、暗黙知を形式知化し伝達を容易にしたり、業務の可視化を促して効率化を図ることもできるでしょう。

業務知識やノウハウを集約できる

業務システムを活用することで、業務知識やノウハウを社内に集約させることができます。従来は業務に関する知識やノウハウが個人に集約されていたことも多く、特定の担当者がいないと業務が回らないような事態もあったかもしれません。

情報を個人ではなく組織に集約させることで、共有知として扱うことができます。直接の担当者でなくともシステムを確認することである程度の業務をこなすことができ、対応の平準化が見込めるでしょう。

また、情報を社内に集約させ活用することで、業務遂行の経験値が目に見える形で蓄積します。集約した膨大な情報は、さまざまな形で業務に役立つことが期待できます。

テレワークに役立つシステム・ツール

では次に、テレワークに役立つシステムやツールをいくつかご紹介します。

チャットツール

チャットツールを導入すれば、遠く離れた人同士でリアルタイムにコミュニケーションを行うことができます。文章によるやり取りはもちろん、音声通話や映像通話、そしてファイルの送受信といった機能が搭載されているものもあるでしょう。

リモート間でのコミュニケーションは、当然ながら文字や音声といったデータをやり取りしながら行うことになります。すなわち、データ量が少なければ少ないほどリアルタイム性が高まり、多ければ多いほど遅延が発生しやすくなるわけです。

その辺りを鑑み、自社にとってベターなコミュニケート手段を模索することが求められます。

デバイス管理ツール

デバイス管理ツールを活用すれば、業務に活用するさまざまな端末を適切に管理することができます。従来業務に使用する端末といえばPCが主流でしたが、今はデスクトップPCがに加えてラップトップやスマホ、タブレットといった形で、多種多様なものが存在します。

また、テレワーク下では、それぞれの端末がインターネット回線を通じて社内システムにアクセスすることが想定されるでしょう。アクセスを試みる全ての端末をスルーすれば業務の利便性は高まりますが、セキュリティが大きく低下します。

業務に活用する端末を登録し管理することで、適切なアクセス制限を加えデータや情報の保護に繋がるわけです。

進捗管理システム

進捗管理システムを導入すれば、各プロジェクトの進捗を分かりやすく管理し共有することができます。テレワークを成功させる要件の一つに「情報共有のスムーズさ」が挙げられますが、各種ITシステムを活用することで達成が可能です。

進捗管理システムを適切に扱えば、遠く離れた場所で仕事をしている各メンバーが今何をやっているか、これから何をやるかを容易に確認できます。それにより、距離を問わずさまざまなコラボレートが可能になるでしょう。

テレワークを実施する際の大まかな注意点

続いて、テレワークを実施する際の大まかな注意点をご紹介します。やり方次第でセキュリティレベルを上げることも下げることもあるため、自社に合った運用を模索するころが重要です。

使用するツールはなるべく統一する

テレワークを行う場合、使用するツールをなるべく統一しておくことをおすすめします。各人や部署がバラバラのツールを使っていてはデータの一元管理を行うのが難しく、マージする必要が生じた際などに余計な手間をとられてしまいます。 

また、使用ツールをあらかじめ定めておかないと、シャドーITのような問題も生じます。シャドーITとは、主にコンシューマー向けのWebサービスを社内の了解なく個人や部署が業務で使用することを意味する言葉ですが、シャドーITを許容することによりセキュリティリスクが上がります。 

コンシューマー向けのサービスは、一般的に業務向けのサービスほどセキュリティ対策が講じられているわけではありません。そのため、シャドーITを行っている利用者の不注意によって機密情報が外部に漏れてしまったり、第三者による内部へのアクセスを許してしまうなどの恐れがあります。 

運用のルールを定める

テレワークを行う際には、事前にしっかりと運用ルールを定めておきましょう。たとえば、下記のような例が考えられます。 

• 無料WiFiなど暗号化されてない通信手段から社内のサーバーにアクセスしない
• 管理システムの起動は業務時間内のみに限定する
• チャットツールでのDM送信は禁止。公開されている場でのみコミュニケーションを行う 

この辺りは企業や部署によって異なるため、場合に応じて適切なものを策定しましょう。なるべくセキュリティリスクを生じさせず生産性を落とさず、かつコンプライアンスに反しないルールを設けるのが肝要です。

テレワークにおけるセキュリティを高めるために必要な具体的施策

では、最後にテレワーク下におけるセキュリティ確保の具体的施策をいくつかご紹介します。

システムへのアクセスはなるべく業務時間内のみに定める

基幹システムへのアクセスをなるべく業務時間内のみに定めることで、セキュリティを強められます。システムを稼働させる時間を限定すれば、それ以外の時間は攻撃者からのアプローチをある程度シャットアウトできるからです。 

業務との兼ね合いもあるかとは思いますが、システムの稼働は必要最低限に絞りましょう。また、時間外業務を行う場合はシステムを使わない工夫をすることなども有効です。 

情報はなるべくサーバー上に集め、閲覧や複製に制限をかける

業務に関する情報はなるべくサーバー上に集め、閲覧や複製、ダウンロードなどに制限をかけておきましょう。サーバー上にまとめておけば管理も容易ですし、役職や部署による最低限のアクセス権のみを付与しておけば、リスクを最小限に抑えることができます。 

アクセスの間口を狭めることが、セキュリティ対策の基本です。

チャットや音声通話、ビデオ通話を適切に使い分ける

テレワークにおけるコミュニケーション方法にはさまざまなものがあり、企業や部署によって何をメインにするかは異なってきます。文字情報のみのチャットや音声での通話、また音声に映像を加えたテレビ電話などがよく使われています。 

大切なのは、これらを正しく使い分けることです。それぞれの方法にはメリットとデメリットがあるため、状況や利便性、セキュリティリスクに応じて適切に選択しましょう。 

場合によっては、テレワークに囚われず電話や直接会って話をするなども選択肢に入ります。もちろんテレワークを行っている趣旨を無視するのは本末転倒ですが、そうでない場合は柔軟に判断することも大切です。 

可能であればVPNを使用する

外から社内のサーバーにアクセスする場合、VPNを使うことでセキュリティリスクを下げることができます。VPNとはVirtual Private Networkの略であり、専用線を仮想的に構築する技術のことです。 

VPNは、無料WiFiなどからアクセスする時に効果を発揮します。公衆的な無料WiFiは確かに便利なのですが、通信が暗号化されていないケースも多く、その場合は内容を第三者に盗み見られてしまう恐れがあります。 

VPNを使えば、アクセスポイントによる通信が暗号化されていなくとも、トンネリングや暗号化によりセキュリティを確保することができます。

デバイスを適切に管理しシャドーITを防ぐ

業務に利用するデバイスを適切に管理することで、テレワークのセキュリティ向上に繋がります。各デバイスを管理することで、下記のようなメリットがあるでしょう。

• 適切なアクセスポリシーを設定できる
• シャドーITを防げる
• アプリやOSのバージョン管理ができる

業務用デバイスを管理すれば、社内ネットワークシステムに適切なアクセスポリシーを設け、セキュリティを高められます。アクセスを試みる端末を全て通せば業務の利便性は向上しますが、セキュリティのレベルは大幅に低下するでしょう。

かといって、強固やポリシーを設定しすぎると、今度は利便性が低下してしまいます。デバイス管理を適切に行うことで、バランスの良いポリシー運用が可能になるわけです。

また、シャドーITを防いだりOS・アプリのバージョン管理を行うことで、デバイス側のセキュリティも保護できます。信頼できるデバイスから信頼性の高い通信を使ってアクセスを試みているもののみをスルーすれば、セキュリティリスクの増大を防げます。

セキュリティ保護のためのシステムやツールを導入する

セキュリティ対策システムを導入すれば、機密情報の保護に役立ちます。有名なところでは「ウイルス対策ソフト」が挙げられ、既に業務活用している企業も多いのではないでしょうか。

ウイルス対策ソフトも千差万別ですが、中には「ウイルスへの感染のみを防ぐ」というものもあるかもしれません。ウイルス感染を防ぐのは大事なことですが、セキュリティは包括的に保護する必要があるため、それだけでは足りないケースも考えられます。

セキュリティ対策システムを導入することで、情報やデータを包括的に保護してくれることが期待できるでしょう。

まとめ

テレワークを行う際はインターネット通信を利用するため、セキュリティリスクは上昇します。リスクをゼロにすることはできませんが、適切な選択判断を行うことで最小限にとどめることもできるでしょう。