重要情報の盗聴の対策のポイント
テレワーク利用者の基本対策としては、安全を確保するため、オフィスと電子データのやりとりを行う場合は、 VPNなど通信経路を暗号化した状態でやりとりできる経路を用いることが必要とされる。
また、自宅で無線LANを利用する場合は、「無線LANルータでWPA2による通信経路の暗号化を行い、外部から推測されにくいパスワードを設定する」「端末に無線LANに関する脆弱性が存在しない状態にする」といったことが基本対策となる。
加えて、外出先などで不特定の利用者を対象とする無線LANのアクセスポイントを利用する場合は、以下のいずれかの条件を満たす方法で利用する。
- VPNを経由した利用
- URLが"https:"で接続されるようなWebサービスに限定した利用
- 信頼できるアプリケーションの利用
- 漏洩しても問題が生じるおそれのない用途に限った利用
不正アクセスの対策のポイント
システム管理者の基本対策としては、テレワーク利用者からの社内システムにアクセスするための認証について、多要素認証方式を用いたり、電子証明書を併用したりするなどの技術的基準を明確に定め、適正に管理・運用する必要がある。
また、端末にデータを保存しない「リモートデスクトップ方式」や「仮想デスクトップ方式」を利用していても、端末と共にアカウントとパスワードが漏れてしまうと、不正アクセスを許してしまうおそれがある。したがって、端末にパスワー ドなどの認証に関する情報を保存しないようにするといった対策も必要となる。
加えて、社内システムとインターネットの境界線にファイアウォールやルータを設置し、アクセス状況を監視するとともに、不必要なアクセスを遮断する。
外部サービス利用の対策のポイント
Facebook、Twitter、InstagramなどのSNSは便利である一方、業務に関する内容までやりとりすると、業務内容の漏洩につながるおそれがある。
そのため、システム管理者は基本対策として、SNSの利用に関して、「業務上の守秘義務が課せられている内容を扱わない」「法律や倫理に反する発言や、事実に基づかない発言を行わない」といった内容を定めたルールやガイドラインを整備し、テレワーク利用者に周知しておく必要がある。
また、ファイル共有サービスの利用にあたっては、以下の内容を含むルールを整備することが必要となる。
- あらかじめ指定したサービスのみを利用する
- ファイルをアップロードする際は、あらかじめファイルを暗号化しておく
- 相手のダウンロードが完了したら、ファイルを速やかに削除する
以上が、総務省「テレワークセキュリティガイドライン(第4版)」のポイントとなるが、いずれも目新しい内容ではなく、テレワークに限らず、企業においてITを安全に活用する上では必須の対策と言える。
したがって、テレワークを導入する企業は、まずは現在のセキュリティポリシーが実情に即したものであるかを検討することから始めてみてはどうだろうか。