テレワーク・在宅勤務で注意すべき情報漏洩リスクと効果的なセキュリティ対策
全国14拠点!安心の全国対応
記事目次
新型コロナウイルス感染拡大防止のため、政府から、テレワーク・在宅勤務が推奨される中、テレワークを実施する企業が急増しています。テレワークは、ICT(情報通信技術)を利用した場所や時間にとらわれない柔軟な働き方のことです。
もっとも、情報漏洩防止のためのセキュリティ対策やルール策定等の十分な準備ができないまま、テレワークの実施に踏み切った企業も多いようです。
テレワークの実施にあたり、情報漏洩等のトラブルが懸念されるものの、具体的にどのようなセキュリティ対策を講じればよいかわからないという方もいらっしゃるのではないでしょうか?
今回は、テレワーク・在宅勤務に潜む情報漏洩リスク、典型的な情報漏洩トラブル、経営者・システム管理者・テレワーク実施者のそれぞれが実施すべきセキュリティ対策、テレワークツールの選び方などについて解説します。
テレワーク・在宅勤務に潜む情報漏洩リスク
テレワークや在宅勤務を実施した際、どのような情報漏洩リスクが起こる可能性があるのでしょうか?
実際に起こり得る情報漏洩リスクについて具体的に説明します。
1.自宅以外の場所でリモートワークする場合のリスク
自宅には小さな子供がいるため、テレワークでの仕事に集中できない等の理由で、自宅ではなく、カフェやコワーキングスペース等の公共の場で仕事をする従業員もいるはずです。
公共の場所では、インターネットに接続するために無線LAN(Wi-Fi)が提供されている場合が多く、リモートワークを行う際には頻繁に利用されています。しかし、無線LANの中には致命的な脆弱性が発見されている種類もあるため、注意が必要です。脆弱な無線LANを利用してメールの送受信を行うと、送信元や受信先のメールアドレスやメールの内容が外部に漏れてしまう危険性もあります。
また、カフェやコワーキングスペース等で、通路に背を向けたまま席に座って作業をすると、背後を通る人からパソコンの画面に表示されている情報を覗き見されるリスクがあります。覗き見程度であれば、重要な社内情報を盗まれる危険性は低いかもしれませんが、会社名や、他社と共同で企画中のプロジェクトの概要等が表示されている画面を、競合他社や取引先の社員に見られた場合、「あの会社の社員は情報セキュリティに対する意識が低すぎる」、「情報漏洩のリスクがあるから仕事を任せるのは危険だ」などいう噂が業界内に広まり、会社の信用問題に関わるトラブルに発展する危険性もあります。
2.私物のパソコンを利用する場合の情報漏洩リスク
テレワークや在宅勤務を実施する際、従業員全員に対して、セキュリティ対策が施された会社のノートパソコンを支給するのが理想的です。しかし、予算等の関係で難しい場合もあるかと思います。その場合、従業員は、各自、私物のパソコンを使用して仕事をすることになります。もっとも、私物のパソコンに最新のウイルスソフトがインストールされていないと、パソコンにウイルスが侵入して、会社の重要な機密情報が外部に流出する危険性があります。ウイルスに感染した私物のパソコンを、社内のネットワークに接続した場合、社内にウイルスをばら撒くことにもなりかねず、社内の情報が外部に流出するリスクが高くなります。
3.VPN経由で社内ネットワークにアクセスする場合のリスク
テレワークや在宅勤務で、社外から安全に社内ネットワークにアクセスするためにVPNを導入している企業も多いです。VPN(Virtual Private Network)は、離れた拠点間を仮想的な専用線で接続して安全なデータ通信を実現する仕組みですが、VPN製品の脆弱性を悪用されてサイバー攻撃を受ける事例が度々報告されています。2020年8月には、ロシア語圏のハッカーが集まるフォーラムサイトにVPN装置のIDやパスワードなどの認証情報が多数掲載されたことから、全世界で900社以上の企業のVPN情報の流出が明らかになりました。内閣サイバーセキュリティセンター(NISC)が流出データを調査したところ、日本企業38社のVPN情報が含まれていることが判明したそうです。VPNの認証情報が流出すると、社内ネットワークに保存されている営業秘密、研究記録、顧客情報などの重要な情報が盗まれる等の深刻な被害に遭うおそれがあります。
典型的な情報漏洩トラブル事例
テレワークや在宅勤務に伴い、実際に起きたトラブルや情報漏洩リスクの高いトラブルの事例をご紹介します。
1.Zoomを利用したオンライン会議中の情報漏洩
テレワーク中に、社内外の関係者間で打合せや会議が必要な際、インターネット上で利用できるWEB会議システムが広く用いられています。WEB会議システムの中でも知名度が高いのが、直感的に操作できる利便性が高く評価されているZoom(ズーム)です。Zoomは新型コロナウイルス拡大に伴い、世界中で利用者が急激に増加し、2020年2月には、1日の利用者数が2千万人以下でしたが、同年3月には、2億人まで増えたそうです。しかし、Zoomを利用したオンライン会議に外部の人間が侵入して会議の内容が外部に漏れることや、社員のIDが盗まれること等の情報漏洩トラブルが相次いで報告されました。
Zoomを安全に使用するためには、以下の点を徹底することが大切です。
- 待機室機能をオンにして、ミーティング主催者が参加者を確認した上で参加を許可すること
- 会議には必ずパスワードを設定すること
- 会議のIDやURLは、参加者以外の者に知られないよう厳重に管理すること
- 会議開始後は途中で不正ユーザーが参加しないよう、必ず会議をロックすること
Zoomの公式サイトには、「Zoom ミーティングを安全に実施するための10の方法」という文書も公開されているので、Zoomを利用する際は事前に確認するとよいでしょう。
また、2020年4月27日には、セキュリティを強化した最新版のZoom 5.0もリリースされました。今後もセキュリティを強化するためのバージョンアップが行われる可能性があるので、Zoomを利用する際は、最新版を利用することを、社内ルールとして徹底することをおすすめします。
2.パソコンの紛失や盗難事故
テレワークを実施すると、社外でパソコンを使用する機会が多くなるため、必然的にパソコンの紛失や盗難事故が発生するリスクが高くなります。以下は、典型的なトラブル事例です。
- 会社から支給されたノートパソコンを自宅に持ち帰る途中で、電車やタクシーの中に置き忘れてしまった
- カフェで仕事中に離席した際、使用していたノートパソコンが盗まれた
パソコンの紛失や盗難が発生した場合、パソコンに保存していた重要な社内の情報が盗まれるリスクがあります。「うちの会社には、パソコンを放置したまま離席したり、外出時に置き忘れてしまったりするような不注意な従業員はいない」と思われるかもしれませんが、個人情報漏洩等のトラブルの半数以上は従業員のうっかりミスなどのヒューマンエラーが原因だというデータもあります
3.クラウドサービス利用による情報漏洩
テレワークの実施に伴い、インターネット経由で利用できるクラウドサービスを導入する企業も増えたようです。SFA(営業支援)やCRM(顧客管理)等のクラウドサービスを利用することにより、離れた場所から業務に必要な情報を共有できるため非常に便利ですが、権限の設定ミスが想定外のトラブルにつながる可能性もあるため注意が必要です。例えば、クラウド型CRMの閲覧権限を誤って設定し、第三者がCRMに保存されている顧客情報を閲覧できる状態にしていたことにより顧客情報が流出する等のトラブルが発生する可能性があります。また、クラウドサービスに第三者から不正アクセスがあり、取引先の名称や口座番号等の重要な情報が大量に流出したという事件が報道されたこともあります。
セキュリティ対策策定時の基本的な留意点
テレワークに伴うトラブルについて説明しましたが、これらのトラブルを防ぐためにはどのようなセキュリティ対策を講じればよいのでしょうか。
総務省がテレワークの導入を検討中の企業に対して、参考資料として公開している『テレワークセキュリティガイドライン』には、テレワークにおける情報セキュリティ対策のポイントとして、以下のような記載があります。
情報資産を守るためには、「ルール」・「人」・「技術」の三位一体のバランスがとれた対策を実施し、全体のレベルを落とさないようにすることがポイントとなります
引用元:テレワークセキュリティガイドライン(総務省公式サイト)
「ルール」・「人」・「技術」に関する対策というのは以下のような内容となります。
- ルール:セキュリティ確保のためのルール策定
- 人:従業員の間にルールを定着させるための教育や啓発
- 技術:セキュリティに対する脅威の自動的な検知や防御
「ルール」・「人」・「技術」のバランスがとれた対策を実施するためには、具体的にどのようなことを実施すればよいのでしょうか?経営者、システム管理部門、従業員それぞれが行うべき対策について説明します。
経営者が実施すべきセキュリティ対策
1.ルール策定
経営者・経営陣が最初に行うべきことは、「ルール」の策定です。社内の情報セキュリティに関するルールや、セキュリティポリシーを策定する際は、業務の内容や形態、保有する情報資産、社内のネットワークやシステム構成等も考慮する必要があります。システム管理部門や関連部門のキーパーソンと連携しながら、自社に適したルールを策定しましょう。社内にシステム部門が存在しない場合、外部のコンサルタントに相談してもよいでしょう。
「ルール」を策定する際は、実際に起こり得るトラブルを洗い出し、それを予防できるような規則を設けることが大切です。「情報漏洩が起こらないように十分注意しましょう」などという抽象的な表現ではなく、できる限り具体的なルールを明示しましょう。前述したとおり、カフェ等の公共の場では、覗き見や盗難のリスクがあるので、カフェ等の公共の場でノートパソコンを使用する際のルールとして、以下のような規定を設けるとよいでしょう。
- 背後が通路になっている席には座らないこと
- 画面にプライバシーフィルターを貼ること
- 離席する際にパソコンを放置しないこと
また、「ルール」は「人」によって守られなければ意味がないので、「人」(従業員)が「ルール」を遵守するための仕組みも必要です。テレワークは管理の目が届きにくい環境で行われるため、「ルール」の内容を全従業員に通知するだけでは不十分です。定期的な研修や啓発活動により、従業員の情報セキュリティに対する意識を高めることが大切です。
研修や啓発活動のテーマや内容について具体的にイメージできない場合は、情報処理推進機構が企業向けに公開しているテレワークのセキュリティの特集ページを参考にするとよいでしょう。
2.秘密保持に関する規定や誓約書等の整備
秘密保持に関する罰則規定を設ける、誓約書や同意書の提出を求める等のやや厳しい対策も、うっかりミスによる情報漏洩の抑止効果につながります。テレワーク時の情報漏洩リスクを踏まえた秘密保持に関する誓約書を用意して、内容について十分に説明した上で提出を求めることにより、従業員の情報セキュリティに対する意識を高める効果も期待できます。秘密保持に関する罰則付きの規定や誓約書等を整備しても悪意のある従業員による不正行為を完全に防ぐことはできませんが、万一、従業員の不正行為により損害を被った場合に重要な役割を果たします。
また、パソコンの紛失や盗難、情報セキュリティに関するトラブル等の事故が発生した場合の報告義務、報告の際のレポートライン、システム部門や関係者が行うべき対応の内容も明確に決めて、ガイドライン等の文書にまとめて社内で共有しておきましょう。
システム管理部門が実施すべきセキュリティ対策
1.システムやツールの選定
システム管理部門の役割は、「技術」の面から、自社の情報セキュリティの基盤を構築することです。テレワークを安全に実施するために、現状のシステムでは不十分だと判断した場合は、積極的に新しいシステムの導入を提案しましょう。システムのスペシャリストとしては、最先端の技術を搭載したシステムを提案したいと思われるかもしれませんが、必ずしも最先端のシステムが自社に適しているとは限りません。セキュリティ対策のためのシステムを提案する際は、自社の業務内容や形態、予算や費用対効果などを考慮することが大切です。
例えば、テレワークを実施する際に、EPPやEDRなどのエンドポイントセキュリティを設定したノートパソコンを従業員全員に配布することがセキュリティ対策の観点から望ましいとしても、現実的には、すぐに予算を確保して全員に配布するのが難しい場合もあります。その場合、比較的安価かつ迅速に導入できるクラウドサービスの利用を提案してもよいでしょう。
また、パソコン紛失時に、遠隔からロックするリモートロックやパソコン内のデータを消去するリモートワイプも導入しておきたいところですが、予算に余裕がない場合は、他の方法を検討してもよいでしょう。例えば、セキュアブラウザやシンクライアントなどを導入してパソコン内に重要なデータを残さないことにより紛失時の情報漏洩を防止するという方法もあります。
このように、柔軟な考え方で情報セキュリティの安全面と従業員の利便性のバランスをとりながら、自社に適したセキュリティ対策を提案することが大切です。
2.十分なスキルを持つ人材が存在しない場合
テレワークを安全に行うためには情報セキュリティに関する専門知識と、トラブル発生時に適切な対応を取れるスキルを備えた人材が必要ですが、社内のシステム管理部門にそのような人材が存在しない場合もあるかと思います。その場合、外部の専門業者に委託することを検討してもよいでしょう。委託先の高度な専門知識と経験を持つ人材に自社に常駐してもらい、社内の担当者を育成するという方法もあります。
テレワーク実施者が行うべきセキュリティ対策
1.セキュリティに対する意識を高める
テレワークは職場内の環境と異なり、様々な情報セキュリティ関連のリスクにさらされやすい状況にあります。一人ひとりが情報漏洩のリスクを認識し、意識を高く持つことが非常に重要です。一人ひとりが社内のルールをしっかり理解して守れるよう、明確なルールを示すとともに定期的に啓蒙活動を行うことが望ましいでしょう。
2.助け合いの精神も大切
また、テレワークでは、お互いの顔が見えない環境で仕事をすることになるので、テレワークツールの操作方法やセキュリティ設定の方法がわからない時に、身近にいる従業員に質問をすることができません。同じ部署内にITツールに苦手意識を持つ同僚や部下がいる場合は、「わからないことがあったらいつでも電話して」などと率先して声をかけ合うなど、お互いを助け合える環境作りも大切です。
テレワークツールの選び方
テレワークを実施するためにツールを導入する場合、どのような基準で選べばよいかわからないという方もいらっしゃるかと思いますので、自社に合うテレワークツールの選び方について説明します。
1.最優先事項は情報漏洩リスクを最小限に抑えること
テレワークツールを選ぶ際に最も優先すべきことは、情報漏洩等のリスクを最小限に抑えるために、必要なセキュリティ対策が施されているかという点です。システム導入後に問題なく使用するためには保守体制も大切なので、サポート体制についても必ず確認しましょう。製造元が信頼できる企業であるかという点を確認することも大切です。
日本テレワーク協会が公開している『中堅・中小企業におすすめのテレワーク製品一覧』には、中小企業が安全にテレワークを実現するために推奨される製品が紹介されています。各製品の特徴や価格が比較表にまとめられているので、比較検討の際の参考になるかと思います。
2.使いやすさや費用対効果も大切
テレワークツールを選ぶ際は、使いやすさも考慮する必要があります。ITリテラシーには個人差があるので、ITリテラシーが低い従業員でも問題なく使えるツールを選ぶことは非常に重要です。
例えば、最近はアカウント認証時の安全性を高めるために、ログイン時に指紋などの生体認証やワンタイムパスワード等を用いた多要素認証を採用する企業が増えていますが、多要素認証には以下のような問題点もあります。
- システムにログインするのに手間がかかりすぎる
- パスワードを忘れる人が多く、管理者への問い合わせが多い
このような従業員の負担を考慮すると、多要素認証ではなく、一つのIDとパスワードを入力して、複数のシステムにログインできるシングルサインオンなどの代替案を提案してもよいでしょう。
セキュリティと利便性は相反する場合も多いので、従業員に対して余計な負担を強いないためにも、使いやすさを十分に考慮することも忘れないようにしましょう。
テレワーク・在宅勤務のセキュリティ対策の最新動向
最後に、在宅勤務やテレワークを安全に行うために十分なセキュリティを確保するためのソリューションとして最近注目されているゼロトラストという概念とゼロトラストを実現するためのSASEについて説明します。
1.次世代のネットワークセキュリティの概念・ゼロトラスト
ゼロトラスト(Zero Trust)は、人、ネットワーク、デバイス等の全てが信用できないことを前提として、安全な通信を実現させるために必要なセキュリティを確保するというネットワークセキュリティ・モデルです。2010年に米国のフォレスター・リサーチ社(Forrester Research, Inc.)のジョン・キンダーバーグ(John Kindervag)氏により提唱され、次世代のネットワークセキュリティの概念として注目されています。
2.利便性を確保しながらゼロトラストを実現するSASE
ゼロトラストを実現するには、ユーザーの利便性の低下、管理負荷の増大などの課題があると指摘されていました。これらの課題を解決しながらゼロトラストを実現するソリューションとして、最近注目を浴びているのがSASE(Secure Access Service Edge)」です。SASEは、2019年8月に米国のガートナー社(Gartner, Inc.)が提唱したフレームワークで、日本では、サシー、サッシーなどと呼ばれています。
SASEは、ネットワークセキュリティと様々なアクセス手段を一つのクラウドプラットフォームに統合したもので、リモートワーク時のユーザーの利便性維持とセキュリティ強化を同時に実現することが期待できます。また、セキュリティレベルを一元管理できるため、システム担当者の管理負荷も軽減されます。
SASEは2019年に提唱されたばかりの新しいフレームワークで、実現する製品はまだ少ないですが、今後は急速な勢いで普及して数年後には主流になる可能性が高いといわれています。情報漏洩リスクを最小限に抑えて安全にテレワークや在宅勤務ができる環境を構築するために、SASEに関する最新情報にアンテナを張っておくことをおすすめします。
まとめ
今回は、テレワーク・在宅勤務に潜む情報漏洩リスク、典型的な情報漏洩トラブル、経営者・システム管理者・テレワーク実施者のそれぞれが実施すべきセキュリティ対策、テレワークツールの選び方などについて解説しました。
テレワークには情報漏洩のリスクが潜んでいるため、トラブルを未然に防ぐために、自社に適した予防策をしっかりと講じることが大切です。
東京スタートアップ法律事務所でもテレワークを導入し、オンライン会議システムやチャットツールなどを用いて日常業務を行っています。我々自身の経験も踏まえつつ、様々な企業の状況やニーズに合わせた情報セキュリティ対策についてアドバイスさせていただいております。
新型コロナウイルス感染防止のため、お電話やZoom等のオンライン会議システムによるご相談も受け付けていますので、お気軽にご相談いただければと思います。
- 得意分野
- ベンチャー・スタートアップ法務、一般民事・刑事事件
- プロフィール
- 京都府出身
同志社大学法学部法律学科 卒業
同大学大学院 修了
北河内総合法律事務所 入所
弁護士法人アディーレ法律事務所 入所
東京スタートアップ法律事務所 開設