テレワーク導入におけるセキュリティ対策
各企業において導入が急速に進んでいるテレワークに関して、その現状とセキュリティリスク、および求められる対策について解説します。
各企業において導入が急速に進んでいるテレワークに関して、その現状とセキュリティリスク、および求められる対策について解説します。
テレワーク導入の現状
テレワークの導入は、従前より、多様な働き方を実現する制度の1つとして推奨されてきました。テレワークの導入により、オフィスだけでなく、自宅・サテライトオフィス・外出先からの勤務が可能となり、多様な働き方が実現されます。例えば、子育て中の人や介護をしている人でも離職することなく働き続けることができるようになります。そのため、企業では、社員にとっての働きやすさの提供を目的として、テレワークの導入を検討してきました。
テレワークの概要
※テレワーク:ICT(情報通信技術)を利用し、自宅等において勤務すること
- 在宅勤務
自宅を勤務場所とする働き方。通勤による時間的・身体的な負担が軽減され、時間を有効活用できるため、仕事と家庭の両立に役立つ。 - サテライトオフィス
所属オフィス以外の通勤や業務に便利な場所にオフィスやワーキングスペースを設ける働き方。時間の有効活用に加え、業務に集中できる環境で就労できる。 - モバイルワーク
移動中や顧客先、カフェなどを就業場所とする働き方のこと。働く場所を柔軟に選ぶことができるため、業務効率につながる。
※リモートアクセス環境:職場外から、個人に割り当てられた業務用PCまたは携帯端末により職場の情報にアクセスし、業務遂行が可能となるような通信環境
しかし今、企業は、COVID-19の拡大防止を目的として、テレワークの導入を求められています。オフィスワークや限定的な在宅勤務導入ではなく、全社員が在宅勤務へと勤務形態を移行することが要求されています。そのため、多くの企業が、在宅勤務を実現するためのシステム・労務環境整備を短期間で進めています。
COVID-19対応の3つのステージ
導入された在宅勤務はCOVID-19対策のための暫定的な対処ではなく、COVID-19がピークアウトしても、今後も利用され続けると考えられます。「ニューノーマル」と呼ばれるように、すでに実現された在宅勤務環境をもとにして、事業と組織の再構築が進むことが予想されます。そのため、今後も継続することを前提とした、在宅勤務の実施が必要と思われます。
テレワークにおけるセキュリティリスクと対策の進め方
テレワークは、働き方改革を目的として検討されてきましたが、これまではテレワークが広く活用されている状況とは言えませんでした。導入が広がらなかった理由の1つにセキュリティへの不安が挙げられます。リスクが存在したため、テレワーク導入に踏み切れなかった企業もあったのではないでしょうか。
同様に、COVID-19への対策の際にも、セキュリティの不安が解消されずに導入を始めた企業もあるかと思います。セキュリティ対策の必要性を理解しているものの、事業継続のために在宅勤務を急遽実施することとなったため、すべてのセキュリティ対策が取られる前にテレワークに踏み切ったと予想されます。
<テレワーク導入において企業が想定しているリスク>
・自宅に持ち帰る際に企業情報が入ったPCを紛失
・自宅に持ち帰った社用PCからUSBメモリを使い、個人PCにコピーして漏洩
・自宅に持ち帰った社用PCをアンドロイドUSBデバッグモードを使って漏洩
・自宅に持ち帰った社用PCから「iTunes」を使ってiphoneに持ち出し漏洩
・社内でクラウドストレージにデータを持ち出し漏洩
・社外から社内へのアクセス時にウィルスに感染
・インターネット通信時にID、パスワードがハッキング
テレワークに関する網羅的なセキュリティ対策が取られていない場合には、改めてセキュリティ対策を検討することをお勧めします。検討にあたっては、テレワークのビジョン・目標を明確にしたうえで、勤務制度の整備、組織風土を変革しながら、ガバナンスとシステムの両面における各種施策を導入していくべきと考えます。
ガバナンスにかかわるセキュリティ施策
テレワークのセキュリティを確保するためには、テレワークにおける脅威と対策を洗い出し、現状とのギャップを踏まえてガイドラインやルールを策定することが求められます。
ルール策定においては、テレワーク運用にかかわる諸問題に対して、組織的に対応できる力の向上が必要となります。そのため、IT部門だけではなく、経営層・IT部門・利用部門が三位一体となった体制・仕組みを構築することが重要です。
テレワークにおける体制・仕組みの整備
経営層 | ・テレワークにかかわる情報セキュリティポリシー・ガイドラインの策定 ・テレワークにかかわる定期的な教育・啓蒙活動 ・事故発生を想定した連絡体制の整備・訓練 ・必要人材・資源・予算の割り当て ・テレワーク運用にかかわるモニタリング・見直し指示 |
IT部門 | ・テレワークセキュリティにおけるシステム対策の実施 (マルウェア、端末の紛失・盗難、重要情報の盗聴等) ・システム運用ルールの整備 (ユーザー対応による運用負荷の低減も考慮) ・外部サービスの利用に対する運用ルール等の整備 ・テレワーク運用にかかわる連絡体制の整備・報告 |
利用部門 | ・テレワークにかかわる情報セキュリティポリシーの遵守 ・テレワークにかかわるシステム運用ルールの遵守 ・テレワーク運用の定期的な自己点検の実施 ・テレワーク運用にかかわる連絡体制の整備・報告 |
システムにかかわるセキュリティ対策
セキュアなテレワーク環境を実現するためには、既存のセキュリティ対策だけではなく、リモートアクセスを前提としたセキュリティ施策が求められます。
オフィスで勤務する場合には、企業ITネットワークにてセキュリティが担保されていました。しかし、テレワーク環境においては、ネットワークやデバイスが企業の統制外に置かれるため、企業ITネットワークにて担保されていたセキュリティは保証されません。そのため、新たなセキュリティ対策が必要となります。
テレワーク環境において想定される攻撃とセキュリティ対策の例
テレワーク活用の段階と各段階における検討項目
テレワークの導入においては、4つのStage(ステージ)に分類できると考えます。
最初のStage 0においてはテレワーク導入を検討している状態でありオフィスワークのみですが、次のStage 1では特定業務において在宅勤務が導入され部分的なテレワークが開始されます。Stage 2になると、テレワークの対象業務が広がるとともに勤務場所も広がります。例えば、自宅等だけでなく、サテライトオフィス等での勤務も認められるようになります。テレワーク活用の最終段階であるStage 3においては、全社員がオフィス以外でも業務が遂行できる環境となります。
テレワーク活用の段階
テレワーク活用を進めるために検討すべき項目は、Stageごとに異なります。
テレワーク開始を検討するStage 0では、リモートアクセスを実現するための端末準備を検討することになります。端末としては、業務用ノートPCの支給だけでなく、BYOD利用の可否も検討します。
テレワークが導入されたStage 1においては、端末におけるセキュリティのさらなる強化が検討ポイントとなります。テレワークの導入により、社外にて機密情報を扱うことになるため、端末でのセキュリティ対策が重要となります。
Stage2においては、テレワークを効率的に実施するためにクラウド等の社外ネットワークの整備が検討課題となります。社外にて効率的に進めるうえでは、クラウドを活用することをお勧めします。
Stage 3において、社内ネットワークを検討する必要が発生します。全社員が同時にテレワークを実施すると、VPN等の社内ネットワーク設備がひっ迫します。そのため、テレワークにとって最適となる社内ネットワークを検討することが求められます。
KPMGによるテレワークセキュリティ対策支援
- テレワークセキュリティガイドライン整備支援
- 脆弱性診断(エンドポイント)
- DLP導入支援
- CASB導入支援/クラウドセキュリティソリューションの評価支援
- クラウドセキュリティアーキテクチャ設計支援
- ID管理構想策定支援/特権ID管理構想策定支援
- 多層防御最適化支援
- リモートアクセスにおけるネットワーク最適化支援
- エンドポイント監視体制構築支援
本稿のPDF版は以下をご覧ください。