働き方改革の旗印のもと、急速に注目を浴びた在宅勤務。その流れは、新型コロナウイルス感染症の影響で加速し、仕事は社内でするものという常識はすでに過去のものとなりつつある。今後、在宅勤務の導入なくしては事業継続が難しくなる企業も出てくる可能性すら考えられる。しかし、在宅勤務は適切なセキュリティ対策があったうえで実現できることを忘れてはならない。この記事では、在宅勤務時に気を付けるべきセキュリティのポイントについて解説していく。
在宅勤務の普及を新型コロナウイルス感染が後押し
自宅にいながら仕事ができる在宅勤務は、従業員にとってメリットがあることが多い。例えば、通勤時間を有効利用できるだけでなく、育児・介護などと仕事を両立させることも可能だ。自由度の高い働き方は、従業員のモチベーションを向上させる。にもかかわらず、在宅勤務は普及が一向に進まなかった。多くの企業は既存の働き方にとらわれ、在宅勤務の本格導入に二の足を踏んでいたのが実情であったといえるだろう。
キヤノンマーケティングジャパンが2019年10月に実施した調査によると、新型コロナウイルス感染症拡大前の調査結果では、自宅での勤務を認められた従業員の割合は、わずか26%に過ぎない。在宅勤務を認められていないにも関わらず、自宅で業務を行った従業員も2割弱いるなど、十分なテレワーク環境がない中で、シャドーITに近しい状況が蔓延していたというのが実態なのだ。
情報セキュリティ意識に関する実態調査レポート~把握しておくべき『シャドーIT』の実態について~
>>詳しくはこちら
その要因は在宅勤務の導入に、多くの不確定要素が伴うことにある。企業側の目が行き届かない在宅勤務では、情報漏えいのリスクが払しょくできない。従来型のオフィスを前提としたコミュニケーションから、オンラインによるコミュニケーションへ変わることでの影響は予測しづらい面もある。また、時間で管理する労務形態から成果主義に移行することへの懸念もあり、在宅勤務は一部の従業員に限られていたのだ。
メリットがあることを認識しながらも、在宅勤務が一向に進まない状況を新型コロナウイルスの感染拡大は強制的に一変させた。政府や自治体が企業に在宅勤務を要請し、もはや中小企業でも導入せざるを得ない状況となった。そして、半ば強制された在宅勤務の期間を経て、企業も従業員も通勤のために時間を割くことへの疑問や、オンラインによるコミュニケーションの有効性に気づいたはずだ。すでに人々の価値観は変化し、オンライン主体での業務への移行は止まらない可能性が高い。
このような背景もあり、企業は在宅勤務を前提に業務の棚卸しを行い、デジタル化を強力に推し進めるべき時が来たといえる。従業員の多様な働き方を促す在宅勤務は、企業側にもメリットは大きいはずだ。政府や自治体の要請に応じて後ろ向きに在宅勤務を導入しているようでは、競争力を向上させるデジタル化への道はおぼつかない。従業員側も多様な働き方のもとで、より高い成果を上げるという意識改革が求められている。
在宅勤務を進める上で気をつけるポイント
急速に拡大する在宅勤務だが、ルールや仕組みなく導入してしまうと、セキュリティリスクが増大する懸念が高まる。従業員が在宅で仕事をするにあたり、勤務先に無断で私物のパソコンを社内のネットワークに接続することは、絶対に避けなければならない。また、定められたルールの遵守など、セキュリティを堅持するための対策を講じることが求められる。在宅勤務を行う際には、特に以下の点に十分に注意しておく必要がある。
ネットワーク環境
ノートパソコンやタブレットなどのモバイル端末であれば、勤務先が支給してくれる場合も多いだろう。しかし、勤務先からネットワーク環境を用意してもらえない場合は、従業員が個々に契約している通信回線を使わざるを得ない。近年では、家庭においてもインターネットに接続する家電やゲーム機などが増え、さらに通信容量が大きい動画閲覧などの利用が一般化している。在宅勤務の場合はこのような状況下で、機密性の高い通信も行われることになる。
従業員が自宅のネットワークを利用する場合、勤務先が用意したVPNを経由して通信を行う方法がまず考えられる。安全性が高いとされるVPNであっても、無線LAN経由で接続する場合はWi-Fi通信の暗号化設定を事前に確認しておくべきだ。できればWPA3に対応したルーターを使用すべきだが、WPA3でも脆弱性が過去、複数報告されている。常に脆弱性情報はキャッチアップするようにしておきたい。
そして、自宅のネットワークにインターネット接続の機器がある場合は、それらのファームウェアのアップデートも行っておかねばならない。最近ではこれらの機器のセキュリティホールから不正に侵入されることがあることは頭に入れておいたほうがいいだろう。
無線LANの暗号化方式、WPA2のTKIPとAESの違いとは?
>>詳しくはこちら
WPA3の欠陥が引き起こすWi-Fiパスワード盗難の恐れ
>>詳しくはこちら
今、改めて考えるVPNのセキュリティ
>>詳しくはこちら
情報端末
在宅で勤務する以上、パソコンやタブレットなどの情報端末は必須となる。ほとんどの場合、情報端末は企業から貸与されることになるはずだ。従業員は企業側で設定されたルールに従い、貸与された情報端末以外で社内のネットワークに接続すべきではない。
貸与された情報端末を使う場合でも、セキュリティ上のリスクがあることを従業員は忘れてはならない。在宅勤務では、移動中などでの端末の紛失や盗難のリスクが付きまとうことになるからだ。このため、データがどこに保存されているのかについては、常に意識したい。データをパソコン内のHDD等ではなく、サーバーやクラウドに保存する仕組みが導入されているのであれば、比較的に安全性は高いと考えられる。例えば、シンクライアント端末であれば物理的にローカル領域にデータを保存できないため、紛失や盗難に遭遇した場合でもデータが守られる可能性は高い。
もし、企業からパソコンが貸与されず、個人所有の情報端末を使わざるを得ない場合は、特に注意が必要だ。まず疑わなければならないのは、所有する端末がマルウェアに感染していないかということ。ネットワークに接続する前にセキュリティソフトなどを利用して端末内の検査をしておくべきだろう。また、OSのアップデートやセキュリティソフトの更新、パスワードの設定なども含め、当然のセキュリティ対策を確実かつ万全に施す必要がある。
オンラインツール
在宅勤務という業務形態はオンライン上のサービスを利用することが前提と言ってよい。ZoomやSkypeなどのWeb会議ツール、DropboxやGoogle Driveなどのオンラインストレージ、TeamsやSlackといったコラボレーションツールなどを併用して業務を進めることは多い。
これらのツールは個人でも契約が可能なため、個人契約のアカウントを業務で利用しているユーザーも少なくない。しかし、そうした行為は望ましいとは言えない。もし、個人利用しているアカウントが不正アクセスされ、機密情報や個人情報などが漏えいしたとする。その場合、アカウントの持ち主であるユーザーが責任を問われることになるのだ。企業によっては損害賠償を起こされる可能性すら否定できない。
だからこそ、こういったサービスを利用する場合、勤務先にサービスの利用を要求すべきだ。その要求が否定されるようであれば、勤務先が用意したツールを使って可能な範囲内で業務を遂行するしかない。くれぐれも自らの身を守るためにも、業務のために無用なリスクを負うようなことは避けてほしい。あくまで企業は組織であり、従業員はその経営判断の元で動くという基本原則を忘れてはならない。
在宅勤務が基本的な業務スタイルという覚悟で
新型コロナウイルスの感染拡大にともない、やむなく在宅勤務を許可したという企業は少なくないはずだ。緊急事態宣言が解除され、改めて本格的な導入に向けて検討を進めている企業も増えてきている。一方で、この時流を狙ったサイバー攻撃は増加する可能性が考えられる。実際、日本国内でも某自動車メーカーが在宅勤務の期間中に被害に遭遇している。
今回の外出自粛期間で、暫定的にでも在宅勤務を導入した企業では、想定外のメリットを見出せたところも少なくないという。在宅勤務をはじめとする働き方改革は、働くということの意味を再考させられる良いきっかけとなったとも言えるのではないだろうか。
この大きな動きを進めるのか、また戻るのかは経営陣の判断にかかっている。従業員としても、在宅勤務を進めていくことによるメリットを整理して提言していくことで、経営陣の判断を後押しすることもできるはずだ。企業と従業員それぞれが足並みを揃え、在宅勤務に切り替えていくことは、今後予想される新型コロナウイルスの第二波の被害を最小限に抑制することにも寄与するはずだ。
※本記事はキヤノンマーケティングジャパンのオウンドメディア「マルウェア情報局」から提供を受けております。著作権は同社に帰属します。
セキュリティ最前線
サイバー攻撃の最新動向とセキュリティ対策についてまとめたカテゴリです。
[PR]提供:キヤノンマーケティングジャパン