テレワーク時のセキュリティリスクにおける課題や問題点と軽減するためにすべきこと
- INDEX
-
新しい働き方のひとつとしてテレワークが推奨され、テレワークの導入が普及し始めています。
しかし、テレワーク時のセキュリティリスクの課題や問題点を解決しないまま導入してしまうと、サイバー攻撃の標的となった場合に被害を受けやすくなってしまいます。
今回は、テレワーク時のセキュリティリスクにおける課題や問題点と、軽減するためにすべきことをご紹介します。
テレワークにおけるセキュリティリスクとは何か
はじめにテレワークにおけるセキュリティリスクについて簡単に説明します。
セキュリティホール(脆弱性)が増える可能性がある
テレワークは、社内や組織内で仕事をするよりもセキュリティホールが増える可能性があります。例えば、雇用する側も従業員側も特に気にせずプライベートなパソコンやネットワークでテレワークをする場合が特に危険です。セキュリティソフトやウイルス対策ソフト、OSやソフトウエアの更新、安全なネットワーク設定かどうかなど、ITやセキュリティに関する知識に疎ければ疎いほど、セキュリティホールが増大してしまいます。
もちろん、デバイスもネットワークも会社側から貸与され、従業員が好き勝手に設定を変更できない、もしくは別のネットワークには繋げられないのであれば、話は別です。ただしその場合においても、遠隔での監視や管理ができる環境が整っていないと、知らず知らずのうちにセキュリティホールが増えてしまう可能性は否めません。
そもそも、どのようなセキュリティホールがあるのか把握しにくい
従業員によって環境が異なっている場合、そもそも、どんなセキュリティホールがあるのか把握しにくいのもセキュリティリスクと言えます。前述したデバイスやOS、ネットワーク以外にも第三者の目や介入が起こる可能性があるからです。
例えば、悪意はなくても子供が勝手に触ってしまった、ちょっと作業するつもりで自宅のパソコンにデータを移動、もしくは手入力で転記してしまったなど、社内や組織内であればあり得ないようなことも考えられるでしょう。その他にも、セキュリティ性をまったく気にせず公衆のWiFiに接続してしまったり、カフェやワーキングスペースでの作業中に盗み見られたりなど、思いも寄らないようなセキュリティリスクも存在します。
単にテレワークを導入しただけでセキュリティ性が確保されていない
社内や組織内と環境が違うことをテレワークする側も雇用する側も理解しておらず、単にテレワークを導入しただけでセキュリティ性が確保されていないのもセキュリティリスクと言えるでしょう。安易に外部から社内システムや基幹システムにログインしたり、社内だけでなく、取引先や顧客とも当たり前のようにメールでやりとりしてしまえば何が起こるかわかりません。
また、自社だけでなく、取引先や顧客がテレワークを導入し、セキュリティ性が確保されていないことで、なりすましや乗っ取られたデバイスやメールアカウントからサイバー攻撃を受けてしまうこともあるでしょう。サイバー攻撃は必ずしもセキュリティソフトで検出できるとは限らず、人間の心理を悪用して騙すケースもあるからです。
サイバー攻撃を受けても検知できない可能性も
セキュリティ性が確保されておらず、セキュリティホールも把握できないような状況ですと、サイバー攻撃を受けても検知できず、被害が拡大する恐れがあります。デバイスやネットワークを貸与しないようなケースであれば、マルウエアに感染したことに気が付かず、職場内にマルウエアが広まる可能性もあります、なりすましや乗っ取りによって取引先や顧客にマルウエアをバラ撒いてしまう可能性も考えられます。
そもそも、サイバー攻撃は被害を受けてしまっては意味がありません。マルウエアに感染、または悪質なスクリプトをインストールなど、何かあってからでは遅いのです。また、すぐに検知できれば被害を最小限にできるかもしれないのに、検知できないまま放置されれば被害がさらに拡大してしまいます。
テレワーク時のセキュリティリスクを軽減するためにすべきこと
次に、テレワーク時のセキュリティリスクを軽減するためにすべきことをご紹介します。
テレワーク時の業務体制や作業手順を明確にする
まずはテレワーク時にどのような業務体制にするのか、作業手順はどうするのかなどを明確にすることから始めましょう。誰が何をするのか、どのデータを必要とするのか、次の処理や作業は誰が行うのかなど、社内や組織内で仕事をするのと同じように、仕事の割り振りや分担、範囲を明確にするということです。
そして、それらに合わせてデータへのアクセス権限の割り振り、または基幹システムや社内システムへのアクセスやログイン権限などを設定します。不要な人はデータにもシステムにもアクセスできない、またはデータやシステムにアクセスできる人を絞り込むことで、責任区分を明確にできるようになります。
管理する側が遠隔でデバイスやOS、作業状況を把握できるようにする
テレワーク時は遠隔操作によってセキュリティを管理することも大切です。遠隔でOSやソフトウエアのアップデート、またはセキュリティソフトやウイルス対策ソフトの起動状況の確認、もしくは怪しいプロセスがないか把握することでセキュリティホールが少なくなります。
その他にもパソコンの操作ログの取得や監視ができれば、内部不正なのか、それともうっかりミスやヒューマンエラーなのか判断しやすくなります。その他にもなりすましによる操作なのか、乗っ取られて勝手に何かされていないかなども把握できます。また、遠隔による監視や管理をしていることが周知されることで、内部不正の抑止力にもなりますし、良い意味でも職務怠慢やデバイスの私用を防ぐことにもつながります。
セキュリティ性を確保した作業環境を用意する
セキュリティ性を確保した作業環境はデバイスとネットワークの両方を用意するのが理想です。もし難しければ、安全に社内ネットワークやデバイスにアクセスしてリモートで作業できる仕組みでも良いでしょう。
基本的にはテレワークする側、もしくは出社する側という区別無く、それぞれがセキュリティを意識せずとも安全に作業できる環境を整えることが大切です。前述したようにOSやソフトウエアのアップデート、セキュリティ対策も含めて遠隔に管理するだけでも、従業員側のセキュリティに関する負担は軽減されます。その上で業務や作業の中で情報漏洩になりにくい権限の割り振りがされていれば、うっかりミスやヒューマンエラーによるインシデントを防ぐことができます。
役職や雇用関係に関わらず「サイバー攻撃の標的である」という意識を持とう
セキュリティ意識を向上させるためにも「誰もがサイバー攻撃の標的になりうる」ことを理解するのが重要です。管理する側やシステム的にセキュリティ性を高めるだけではなく、利用する側もセキュリティ意識を向上しなければ誰もが被害を受けるということです。
特に昨今では、なりすましや乗っ取りによりまるで取引先や同僚であるかのようなメール、メッセージが送られてきて、それを開いてしまうことでマルウエアに感染してしまうケースが散見されます。自分自身に権限がなくても、マルウエアを社内に蔓延させてしまえば、いずれは権限のある人に感染し、情報漏洩につながることもあります。自分は機密情報を扱わないから大丈夫と油断することなく、誰もがサイバー攻撃の足がかりにならないよう注意することが大切です。
まとめ:セキュリティ意識とシステムによる防御を両立させることが大事
今回はテレワーク時のセキュリティリスクにおける課題や問題点と軽減するためにすべきことをご紹介しました。
管理や監視の体制とともにセキュリティ対策を常日頃から意識して実践しているような職場環境であれば、テレワークを導入するのは簡単です。しかし、セキュリティ対策が不十分な場合は、セキュリティホールとセキュリティリスクが大幅に増大することを理解しましょう。
もし、セキュリティ対策が不十分かもしれないとお悩みであれば、当社の提供する「AssetView」の利用をおすすめします。テレワークのリスクを軽減させる機能が備わっている他、セキュリティ対策、内部不正対策、PC操作ログの取得や監視、デバイスの遠隔操作など管理しやすい仕組みになっておりますので、ぜひともこの機会にご相談、お問い合わせください。
最後までお読みいただきありがとうございました。
この記事がテレワーク時のセキュリティリスクについて知りたかった方のお役に立てれば幸いです。