テレワークにおいてセキュリティ対策は必須!
オフィス以外の場所で働くテレワーク。インターネット回線とパソコンがあれば、場所を選ばずに働くことができるため、業務効率の向上やコストの削減、ワークライフバランスの実現などに役立ちます。
しかし、テレワークは、きちんとしたセキュリティ対策を講じていないと、情報漏洩といったセキュリティ事故につながるリスクをはらんでいます。ここではテレワーク中に起こった事故事例や、総務省のガイドラインに記載のセキュリティ対策についてご紹介します。
総務省「テレワーク セキュリティ ガイドライン」とは
ICTの進歩によってテレワークが可能となり、政府でもテレワークを推進する動きが見られる状況です。しかし一方、テレワークでは、たとえ会社貸与のパソコンやスマートフォンを利用していたとしても、利用の仕方次第では、サイバー攻撃等の脅威に対してセキュリティ対策が十分とは言い切れません。そこで、テレワークを取り巻く環境やセキュリティ動向の変化に対応するため、総務省は2018年4月に「テレワークセキュリティ ガイドライン」を公表。さらに2021年5月、これを全面的に改定した「テレワークセキュリティ ガイドライン 第5版」が公開されました。
▼参考:総務省「テレワークセキュリティ ガイドライン 第5版」
https://www.soumu.go.jp/main_content/000752925.pdf
テレワークにおけるセキュリティ関連の事故事例
テレワーク中に想定されるセキュリティ事故には、さまざまなタイプがあります。ここでは、2020年にテレワーク中に起こった事故事例を3つご紹介します。
会社から貸与されたパソコンがウイルスに感染した事例
従業員がテレワーク時、自宅から社内ネットワークを経由せずに外部ネットワークへ接続してSNSを利用。その際、第三者からウイルスを含むファイルが送付され、これをダウンロードしたところ、社有PCがウイルスに感染しました。その後、出社して同じパソコンから社内ネットワークに接続した結果、この感染被害が他従業員のPCにも拡大。これによって、同社グループのネットワークを利用する従業員等の個人情報(氏名、メールアドレス)、サーバのログ、通信パケット、サーバ設定情報等のIT関連情報が流出した事例です。
参照:日本情報漏えい年鑑2021 NO.A336
VPN装置のセキュリティ脆弱性により情報が抜き取られた事例
テレワークでVPNの負荷が増大したことを受け、旧VPN装置を稼働させて負荷を分散させました。すると旧VPN装置にセキュリティに脆弱性があり、VPN装置管理用の「ユーザーID」及び「パスワード」を抜き取られていたことが判明。VPN装置を利用していた複数の従業員、およびVPN装置管理用の約900社における他社の同情報が、インターネット上でダウンロードできるようになっていました。
参照:日本情報漏えい年鑑2021 NO.A353
私用アドレス利用によるメール誤送信で個人情報が流出した事例
テレワークに伴い、特例的に私用アドレスの利用を許可。すると、職員間のメールに誤送信があったため個人情報等が流出。意図した送信相手にメールが届かなかったため、アドレスを確認したところ誤りが発覚。数十通のメールが誤ったアドレス宛に送られていました。これに伴い、数十名分におよぶ外部の連絡先(メールアドレス、電話番号・住所)、さらに複数の行政文書が漏洩した事例です。
参照:日本情報漏えい年鑑2021 NO.A274
テレワークにおけるセキュリティ対策のポイント3つ
総務省「テレワークセキュリティガイドライン第5版」では、テレワークを行う際のセキュリティ対策は、「ルール」「人」「技術」の3つの軸でバランス良く行う必要があるとされています。これは、もっとも弱い部分が、全体のセキュリティレベルになるためです。つまり1つでも弱点があれば、いくら他の対策を強化しても全体的なセキュリティレベルの向上は望めません。そのため、以下のようなポイントを押さえて、バランス良くセキュリティ対策を講じることが大切です。
①「ルール」:セキュリティを確保するためのルールを定める
テレワークを行う場合は、新たなルールを設ける必要があります。例えば社外から会社の情報にアクセスするなど、「していいこと」と「してはいけないこと」の線引きを明確にしましょう。ルールがなければ、新たに事象が発生するたびに個別の確認が求められ、業務に支障をきたします。また、人によって判断が違ってしまえば、企業全体のセキュリティ対策にばらつきが出てしまうでしょう。具体的には、以下のような内容を取り決めておきます。
- テレワークを行う場所の指定
- 会社貸与パソコンの利用制限
- 社外からアクセス可能な情報範囲の制限
- アプリケーションのインストール可否条件の制定 など
②「人」:従業員のセキュリティ意識を高める
どんなルールを定めても、それを実行するのは一人ひとりの従業員です。そのため、従業員のセキュリティ意識を高め、ルールを守らないことによって起こり得るリスクについて教育する必要があります。具体的には、以下のような対策が望ましいでしょう。
- セキュリティ研修の実施
- 定期的な通知等の啓発活動 など
③「技術」:セキュリティ維持のための技術的対策を行う
強固なセキュリティを維持するためには、技術的な対策をとる必要があります。具体的には以下のような対策によって、テレワークの安全性が高められるでしょう。
- VPNの利用及び定期的な脆弱性のチェック
- ウイルス対策ソフトの利用及び定期的なアップデート
- 多要素認証の利用 など
3つのポイントを意識したセキュリティ対策が大切
テレワークを安全に行うためには、「セキュリティに関するルールの制定」と「従業員教育」「技術的な対策」の3つを意識する必要があります。
技術的な対策については、自社内のセキュリティ対策をしっかり行うとともに、適切なセキュリティ対策がきちんととられているツールを選定することが大切です。安心して利用できるツールを活用し、テレワークにおける業務効率と安全性を高めましょう。
メールワイズは適切なセキュリティ対策を講じた安心のツール
サイボウズが提供する、メール共有・管理システム「メールワイズ」は、セキュリティ対策を講じたクラウドツールです。
ログイン画面に許可されていない第三者がアクセスできないようにするため、独自サブドメイン、IPアドレス制限、Basic認証、セキュアアクセス(クライアント証明書の発行)、認証アプリによる2要素認証の対策を用意しています。複数の対策を併用することにより、会社のセキュリティポリシーに合わせた適切なセキュリティ環境を実現できるので、安心して利用できます。
さらに、仮に第三者によってログイン画面にアクセスできたとしても、不正ログインのリスクを最小限にとどめるために、パスワードルールの設定機能やアカウントロック機能、監査ログの保存・通知といった機能を用意しています。詳しくは「メールワイズのセキュリティ対策」をご覧ください。
さまざまなセキュリティに関する機能を提供しています。
月額500円〜で、チームの
メール対応を効率化!※
「メールワイズ」なら一般のメーラーではできないメールごとの処理状況や担当者の設定ができ、メールの二重対応や対応漏れを防げます。また、アドレス帳(対応履歴)、テンプレート、コメント機能など、チームでのメール対応を効率化できる機能が揃っています。
全機能をお試しいただける、メールワイズの「30日間無料お試し」もご検討ください。
導入企業13,000社突破
