テレワークで押さえたい基本的な情報セキュリティ対策の考え方
テレワーク環境では、さまざまな脅威が存在します。例えば、マルウェア、端末の紛失・盗難、重要情報の盗聴、不正アクセスなどです。これらのセキュリティ対策はどのように行えばよいのでしょうか。その基本的な考え方を紹介します。
今回この記事で参考にしているのは、総務省の2つの資料「テレワークセキュリティガイドライン」と「中小企業等担当者向けテレワークセキュリティの手引き(チェックリスト)」です。
「テレワークセキュリティガイドライン」はセキュリティ対策にある程度予算が確保できる企業向け、「中小企業等担当者向けテレワークセキュリティの手引き(チェックリスト)」は、セキュリティの専任担当がいなかったり、外部委託コストが捻出できない中小企業等向けのものです。
自社のセキュリティ対策の状況に合わせて、本記事とともにこれら資料も参照してください。
目次
情報セキュリティ対策の「ルール」・「人」・「技術」の3つをしっかり抑える
ルールの策定
社員が仕事を進める上で、「この業務は情報セキュリティ的に大丈夫だろうか」と都度判断していては効率的ではありません。
セキュリティ対策を効率的に行うには、セキュリティの安全が確保されたやり方をルールとしてあらかじめ定めておくことです。ルールを定めれば、社員はルールを守ることだけを意識して仕事に取り組めます。
人(社員)の理解
セキュリティのルールを定めたら、社員がルールを守るように普及していきます。ルールを定着させるには、「セキュリティに配慮することが業務上のメリットであること」を教育や自己啓発などを通じて、社員自らが理解するように促します。
テレワークでのセキュリティについては、管理の目が届きにくいため留意が必要です。情報セキュリティ(情報の機密性、完全性、可用性を確保すること)に関する知識を習得すれば、フィッシングや標的型攻撃等の被害を受けにくくなるでしょう。
技術での補完
セキュリティにおける技術的な対策は、さまざまなセキュリティへの脅威に対して「認証」、「検知」、「制御」、「防御」を自動的に実施するもので、ルールや人で対応できない部分を補完します。セキュリティ対策というと、こうした技術を最初に思い浮かべがちですが、まずルールと人があって、その上で技術があると考えた方が良いでしょう。
ルール・人・技術のバランスが悪いと、全体のセキュリティレベルが低下してしまいます。技術がしっかりしていても、ルール策定が甘かったり、教育がされてないとその点が欠陥となり、事業活動の脅威となります。
テレワークの方法6パターンからセキュリティ対策
テレワークのセキュリティ対策として以下のように6つのパターンから考えることができます。
| ①リモートデスクトップ方式 | ②仮想デスクトップ方式 | ③クラウド型アプリ方式 | ④セキュアブラウザ方式 | ⑤アプリケーシ ョンラッピング方式 | ⑥会社PCの 持ち帰り方式 | |
| 概要 | オフィスの端末を遠隔操作 | 仮想端末を遠隔操作 | クラウド上のアプリを利用 | 専用ブラウザを利用 | テレワーク端末内で専用機能を提供 | オフィス端末を持ち帰り利用 |
| テレワーク端末への電子データ保存 | 保存しない | 保存しない | 保存する | 保存する | どちらも可能 | どちらも可能 |
| オフィスの端末と同じ環境 か? | 同じ | テレワーク専用の環境 | クラウド型アプリに関しては 同じ | ブラウザ経由で利用するアプリに関しては同じ | テレワーク 専用の環境 | 同じ |
| クラウドサー ビスを利用す るか? | しない | しない | する | する | する/しない どちらも可 | する/しない どちらも可 |
| 私用端末の 利用(BYOD) との親和性 | 可能 | 可能 | 可能 | 可能 | 可能 | – |
| 高速インターネット回線 | 必須 | 必須 | 望ましい | 望ましい | 望ましい | 不要 |
①から④に挙げた、「リモートデスクトップ方式」「仮想デスクトップ方式」「クラウド型アプリ方式 」「セキュアブラウザ方式」を用いた上で、テレワーク端末上への電子データ保存を行わない方式をシンクライアント方式と言います。
では、これらそれぞれにおけるセキュリティ対策と近年増えているクラウドサービスの利用について見ていきましょう。
リモートデスクトップ方式
オフィスにある端末を遠隔操作する方式です。テレワーク端末に電子データを保持しないので、私用端末を使えるのがメリットです。
オフィスの端末を利用するためテレワークの導入がスムーズにできる一方で、テレワーク環境のインターネット回線の速度が重要となります。
仮想デスクトップ方式
テレワーク用の仮想端末を遠隔操作する方式です。電子データを保持しない点はリモートデスクトップ方式と同様ですが、オフィスに端末が不要な点がメリットとなります。仮想デスクトップ環境はシステム管理者が管理できるので、均質的なセキュリティ対策が可能です。
こちらも、リモートデスクトップ方式と同様にオフィスへ接続するインターネット回線の速度が操作性に影響を与えます。
クラウド型アプリ方式
働く場所やテレワーク環境に左右されず、クラウド上のアプリケーションを社内外から利用する方式です。この方式では、電子データを保持する、保持しないの選択が可能なため、テレワーク端末に保存した場合は、管理上の問題が発生します。
セキュアブラウザ方式
クラウド型アプリ方式の安全性を高めた方式です。特別なブラウザを用いて端末へのデータの保存を制限します。
電子データはテレワーク端末に保持せず、クラウド上の決められた電子データにしかアクセスできません。安全性は高まる反面、アプリケーションはセキュアブラウザ経由で利用できるものに限られます。
アプリケーションラッピング方式
テレワーク端末内への保存を不可とする機能を提供する方式です。「コンテナ」と呼ばれるローカルの環境とは独立した仮想的な環境を設けて、その中でテレワーク業務用アプリケーションを動かします。
このコンテナ内で動作するアプリケーションからローカル環境にアクセスができないため、テレワーク端末に電子データを残さない利用が可能となります。
会社PCの持ち帰り方式
オフィスの端末を持ち帰りテレワーク端末として利用する方式です。セキュアにネットワーク経由でオフィスにアクセスする必要がある場合は、VPN接続などの情報漏えい対策が必須となります。
他のパターンと比べるとテレワーク端末に電子データを保存する前提のため、6パターンの中で電子データ保存に対するセキュリティ対策が必要です。
(※:6パターンの表と各方式の図版の出典:『テレワークセキュリティガイドライン第4版』)
働き方に合わせたテレワーク方式とセキュリティ対策を
以上6パターンを見ていくと、テレワークのセキュリティ対策としては、「私用端末を用いるかどうか」「電子データをテレワーク端末に保存するかどうか」といった部分がポイントとなります。
私用端末を用いるとテレワークの導入コストが下がりますが、管理面が不十分となりセキュリティリスクは高まります。
また電子データをテレワーク端末に保存できる場合も、オフィスワークと変わらず業務ができるので利便性は高いのですが、同じく管理面でセキュリティリスクが高まります。
「私用端末の使用」、「電子データのテレワーク端末への保存」のいずれもセキュリティ対策が必要となるので、セキュリティ面を考慮しつつどの程度の投資ができるか試算しておきます。
次に、これらテレワーク方式と組み合わせることができるクラウドサービスの利用についてみてみましょう。
クラウドサービスのセキュリティにおけるメリット
近年、テレワークでのクラウドサービスの活用が増えています。クラウドサービスでは業務に必要な資源をネットワークを通じて必要な分だけ利用することができるためです。
先に挙げたテレワーク方式の一部をクラウドサービスに移行することで、テレワークに次のメリットをもたらします。
- セキュリティのメリット
- コストのメリット
このようにクラウドサービスの利用により、クラウドサービスが提供するセキュリティの恩恵を受けることができます。また、自社内のセキュリティ対策設備の管理が楽になり、一般的には自社でセキュリティ対策構築するよりも割安になります。
メリットの一方で、クラウドサービスの情報セキュリティ対策には、利用者が自ら行わなければらならないものが含まれます。
例えば、パスワード管理や、多要素認証、アクセス制御などの設定は利用者側で適切に行う必要があるとともに、クラウドサービスにはデータを預けることになりますから、そのクラウドサービス事業者が適切なセキュリティ対策を行なっているか、信頼に足る業者なのかを判断しなければなりません。
DocBaseはISMS認証など世界基準を満たし、強固な情報セキュリティを提供しています。
⇒強固な情報セキュリティ – DocBase
経営者、管理者、勤務者それぞれの立場で情報セキュリティを考える
テレワークにおいて、経営者・管理者・勤務者それぞれの立場でセキュリティをどのように確保するか考える必要があります。
経営者:情報セキュリティポリシーを定め、定期的に監査する
経営者側はセキュリティのルールを作る立場にあり、ルール作りを推進していく必要があります。テレワーク業務を通じて情報セキュリティ上の事故が生じたり、経営に直結する被害が出ることを想定して、セキュリティ対策の必要ルールを定めていきます。
具体的には、実施すべき情報セキュリティ対策を定めた上で、その導入・運用に必要な人材・費用の確保などを行います。
経産省の「サイバーセキュリティ経営ガイドライン」も参考になるでしょう。
システム管理者:システム全体を管理する重要な立場を自覚し、技術的対策を講じる
システム管理者は、管理するシステムに対して必要な情報セキュリティ対策を取る立場になります。
テレワーク端末から社内システムにアクセスが可能になる場合は、社内システムへの不正侵入・不正アクセスの可能性を高めることにつながります。そういった脅威を踏まえて、システム全体にセキュリティ対策を実施する必要があります。
テレワーク勤務者:セキュリティポリシーに沿った対策を行い、自己点検する
テレワーク勤務者は、オフィスワークとは違った視点でセキュリティに配慮しながら自律的な働き方が求められます。
テレワークではオフィス内のシステムとは異なり、管理者が管理できない、もしくはセキュリティ対策がなされていない端末の利用や、情報セキュリティのルール整備が行き届いてないケースも多々あります。
テレワーク勤務者自身がセキュリティに対する重要性を自覚し、テレワーク端末の管理や情報漏えいに配慮することが求められます。
テレワークの情報セキュリティについて情報収集しよう
テレワークが浸透する中で、活用できるツールは常に新しいツールが公開され、働き方が変化していきます。テレワークのセキュリティに関しては、継続的に情報収集を行い、現在の対策が十分か定期的にチェックを行うと良いでしょう。
以下にテレワークの情報セキュリティについてのサイトをご紹介します。
- テレワークにおけるセキュリティ確保 – 参考資料
- 総務省が提供するテレワークにおけるセキュリティ確保についてのサイトです。無料相談窓口、テレワークセキュリティガイドライン、中小企業等担当者向けテレワークセキュリティの手引きなどのほか、Wi-Fiのセキュリティや個人情報漏洩の対策といった参考資料も用意されています。
- テレワークを行う際のセキュリティ上の注意事項
- 情報処理推進機構(IPA)の提供する注意事項です。「テレワーク環境が企業から提供がある場合」、「提供されていない場合」の両方に対してセキュリティ上の注意事項が掲載されています。
- Googleのデジタルワークショップ/セキュリティ講座
- Googleが無料で提供しているデジタルワークショップのコースにセキュリティ講座が設けられています。
まとめ
テレワークの情報セキュリティについての基本的な考え方を見てきました。
1つ目は、テレワークのセキュリティに関して、ルール・人・技術の3つをしっかり抑えること。2つ目は、テレワークの方式によって自社に合った対策を考えること。3つ目は、経営者、システム管理者、テレワーク勤務者などそれぞれの立場によってセキュリティ対策を実施することでした。
以上3つを意識して情報セキュリティ対策の考え方をおさえていただければと思います。
