現在、働き方改革の一環として、職場の外での勤務が可能となる「テレワーク」の普及が求められています。テレワークを実現することで多様な働き方が可能となる一方、社内のみで仕事を行う場合よりも情報漏洩等のリスクが高まることから、適切な情報セキュリティ対策を講じることが必要となります。今回は、テレワークの実現に求められる情報セキュリティ対策について解説します。
目次
テレワークとは
テレワークとは、「パソコンなどの情報通信技術(ICT)を活用した、時間や場所にとらわれない柔軟な働き方」のことをいい、勤務する場所により在宅勤務やサテライトオフィス勤務、モバイルワークといった種類があります。
テレワークを活用することで、仕事と家庭の両立を図ることが可能となったり、労働者の就業機会の拡大につながったりするという効果があり、政府においてもテレワークの推進に積極的に取り組んでいます。
一方、テレワークを活用して職場の外で仕事を行う場合、社内で仕事を行う場合よりも情報漏洩の可能性が高まるなど、一定程度のリスクが存在します。テレワークを実施する場合には、十分な情報セキュリティ対策を講じることが求められているといえます。
関連記事:
・多様で柔軟な働き方、テレワーク導入のすすめ
・テレワークを導入しよう!ルールづくりのチェックポイント
テレワークの3類型
テレワークの方法は、社内システムへのアクセスの有無やテレワーク端末へのデータ保存の有無といった観点から、下記の3種類に分けられます。
テレワークの導入にあたっては、それぞれの類型の特徴について把握したうえで、自社においてどの方法を採用するかを慎重に検討するようにしましょう。
オフライン持ち出し型
テレワークの端末に電子データを保存する方法のうち、テレワーク端末から社内システムにインターネット経由でのアクセスを行わないものを「オフライン持ち出し型」といいます。USBメモリなどにデータを保存して持ち帰り、それを使用して自宅で作業を行う場合や、職場のパソコンにデータを入れて持ち帰る場合が該当します。
オフライン持ち出し型の場合、災害時など社内システムへのアクセスができないような状況でも、テレワーク先において作業をすることが可能です。一方、データを移送するにあたり、紛失防止や盗難防止等の安全確保対策を講じることが必要です。また、端末内でのデータ紛失や破損等にも注意しなければなりません。
オンライン持ち出し型
テレワーク端末からインターネットを経由して社内システムへアクセスすることでデータを手元の端末に保存し、そのデータを用いて作業を行う方法を「オンライン持ち出し型」といいます。
オンライン持ち出し型の場合、データの入ったパソコンやUSBメモリなどを持ち運ぶ必要がないので、物理的な盗難や紛失を避けることができます。
一方、テレワーク端末から社内システムへアクセスする際のネットワークセキュリティを確保することや、テレワーク端末上でのデータの安全を確保することが必要です。
シンクライアント型
シンクライアントという専用のアプリケーションをテレワーク端末にインストールすることで、社内システムにアクセスしながら、データを端末に保存することなく作業を行う方法を「シンクライアント型」といいます。
シンクライアント型の場合、データが端末内に残らないため、データを持ち出す方法と比べ、テレワーク先で必要な安全確保対策が少なく済みます。
一方、インターネットに接続できない環境では作業をすることができません。また、社内システムが停止した場合にも作業ができなくなってしまうため、シンクライアント型でテレワークを行う場合は、社内システムを稼働し続けることが必要です。
関連記事:
・「お試しサテライトオフィス」を活用し、テレワークの実施を検討してみませんか?
テレワーク導入にあたり検討すべき事項
テレワークを導入するにあたっては、情報セキュリティの観点から、下記の事項について検討することが必要です。
端末貸与かBYODか
BYODとは、“Bring Your Own Device”の略で、私物の端末をテレワークに使用するという意味で用いられます。
私物端末の利用を認めることで、テレワークの導入コストを抑えることができる一方、会社が所有する端末を貸与する場合に比べて、セキュリティソフトのインストール状況の確認やOSのバージョン管理などが難しいという課題があります。
端末貸与とBYODのどちらにするかは、導入コストとセキュリティの両面から慎重に検討することが必要です。
クラウドサービスを利用するか
近年、自社サーバーからクラウドサービスに移行する企業が増えてきています。クラウドサービスはテレワークとの親和性が高いうえ、クラウドサービスを活用することで、サーバー管理者の配置が不要になるなどの利点もあります。
一方、クラウドサービスはインターネット接続が前提であることから、外部からの攻撃を受けやすいという点に注意が必要です。また、社内データをクラウドサービス業者に預けることになるため、その相手が十分に信用できるかどうかも確認する必要があります。
テレワーク実現に求められる情報セキュリティ対策
テレワークを導入し、適切に運用していくためには、下記のような情報セキュリティ対策を講じることが必要です。
情報セキュリティポリシーの設定と定期的な見直し
まずは、自社における情報セキュリティに関する方針を定めた「情報セキュリティポリシー」を策定することが必要です。情報セキュリティポリシーは、テレワークの実施を考慮したものにするようにしましょう。
また、情報セキュリティポリシーの内容については定期的に見直しを行い、状況に応じて改定していくことが大切です。
トラブル時の連絡体制の整備
データの破損やUSBメモリの紛失など情報セキュリティ事故が発生した場合には、迅速に対応することが必要です。万が一の際に適切な対策を講じることができるよう、社内の連絡体制を整備するとともに、連絡体制について常に確認できるようにしておきましょう。また、情報セキュリティ事故を想定した訓練を行うことも有効です。
従業員に対する教育の実施
テレワークを実施する従業員に対し、情報リテラシーや情報セキュリティに関する教育を行うことも必須だといえます。テレワークを希望する従業員に研修を義務づけることなどにより、情報セキュリティの重要性を確実に認識させるようにしましょう。
下記では、従業員に対して教育すべき事項の一例を挙げますので、参考にしてください。
ウイルスソフトなどへの対策
- テレワーク用の端末にフィルタリング機能を設定する
- 不審なサイトへのアクセスは避ける
- アプリケーションの新規インストールはその都度申請し、許可を受けた後にインストールする
- ウイルス対策ソフトを必ずインストールする
- テレワーク用端末のOSを常に最新の状態に保つ
端末等の紛失への対策
- データの原本のバックアップを必ず取っておく
- 盗難のリスクを避けるため、データを社内から持ち出す場合は直帰をする
情報の盗聴への対策
- 重要情報を送信する際には暗号化をする
- 作業環境の選定には注意を払う
- 端末を置いて離席する場合にはロックをかける
不正アクセスへの対策
- パスワードは定期的に更新するようにする
- 不審なメールは開かないようにする
まとめ
テレワークを実現するためには、適切な情報セキュリティ対策を講じることが必要です。端末の整備等のハード面、従業員の教育等のソフト面の両面から万全な対策を行うことで、安全にテレワークを行える環境を整えるようにしましょう。