在宅勤務におけるセキュリティ対策

(1/1)
テレワークのイラスト(女性)
2020年(令和2年)、新型コロナ・ウイルス(COVID-19)の感染拡大を防ごうと、在宅勤務を実施する企業が増えています。
在宅勤務では、事業所勤務とは異なるセキュリティ対策が求められます。ここでは、対策方法を5W1Hで整理してみます。

目次

Why(なぜ)?

辞令のイラスト
まず、会社は従業員に在宅勤務を命じる理由を明らかにしましょう。

就業規則に規定されていればいいのですが、そうでなくいても、事態の緊急性を鑑みて、役員がしかるべき業務命令文書を発行すべきでしょう。

Who(誰が)?

自宅待機のイラスト(男性)
在宅勤務するのは命令を受けた従業員です――当たり前にことですが、ただ、自宅で仕事をするということは、家族が業務内容を見聞きする可能性があります。

自室があればいいのですが、リビングで仕事をしなければならない人もいるでしょう。仕事中は話しかけない、仕事の内容を聞かないなど、家族と最低限のルールを作っておきましょう。

Where(どこで)?

2階建て一軒家
これも当たり前のことですが、仕事をする場所は自宅です。在宅勤務とテレワークは違います

セキュリティを担保するには、場所を特定するのが重要になります。在宅勤務は、文字通り自宅での勤務で、近所の飲食店や喫茶店はもちろん、帰省先の実家で仕事をするのもNGです。その場合は休暇を取ってください。

When(いつ)?

時計のイラスト
業務時間は定時に設定するのが無難です。

というのは、セキュリティ事故を含む、何らかのトラブルが発生した場合、会社からの支援が必要になるからです。
また、在宅勤務者の健康管理に配慮し、会社側は超過勤務を求めるべきではありません。

What(何を) ?

情報交換のイラスト
どの情報資産を持ち帰ることを認めるか、会社側が決めなければなりません。

会社として情報資産管理台帳が整っており、公開情報、社外秘、部外秘、機密などの機密レベルの識別ができていればいいのですが、そうでなければ、急いで分類をしましょう。これなくして在宅勤務をさせ、万が一、情報漏洩が起きてしまうと、会社も従業員も、ともに不幸な結果になってしまいます。
持ち出す情報資産は、機密レベルが低いほどいいのですが、社外秘や部外秘を持ち出さなければならない業務もあるでしょう。その場合は、鍵付きの書類鞄に入れて運ぶ、パスワードやドライブ暗号化が施されたノートパソコンを貸与するなどの手段が考えられます。

How(どのように)?

情報交換のイラスト
在宅業務のための道具、インフラを規定します。

たとえば、ノートパソコン、携帯電話(スマートフォン)、USBメモリなど、仕事道具は会社から貸与するのが無難でしょう。BYOD にするという考え方もありますが、セキュリティ・レベルを一定以上に保つという観点で、はじめて在宅勤務をさせる会社では貸与品にするのが安全です。
インターネット回線はどうしましょう――会社貸与のスマホやモバイルルータによるテザリングで賄える程度の容量であればいいのですが、1日100Mバイト以上の転送量があるような仕事では、固定回線が求められるでしょう。
自宅に固定回線があれば、それを借用させてもらうなど、従業員と契約を結ぶことをお勧めします。公衆Wi-FiはNGです。

個人用デバイスで仕事をさせない

How(どのように)?」について、具体的施策をいくつか紹介しましょう。
いずれの方法も追加投資がかかります。一方、会社としては、社員をリモートワークさせることで通勤代や事務所の高熱水道通信料が減っているはずなので、減った分を追加投資に回してください。

BYODとスマートフォン、タブレット」で触れたように、個人用デバイスを業務利用する BYOD(bring your own device)では、いくつか注意が必要です。業務用データについては、会社資産を守るという観点から、そのデバイスに保存するのではなく、クラウドを利用するのが原則です。
ただ、運用上、社員の意識に頼る部分も多く、「シャドーITと企業の情報管理」で紹介している問題点があります。
会社は業務用デバイスを貸与した方がいいでしょう。一般論として、セキュリティ事故が起きたときの出費が予測ができず、最悪の場合コントロールもできないものになるので、計算可能な貸与コストを負担した方が安全です。

個人的なソフトを入れさせない

業務用PCに個人的なソフトを入れない」で紹介したように、業務で使わないようなソフトから機密情報が漏洩することがあります。その意味でも、個人用デバイスを業務利用することはリスクがあります。
また、会社貸与PCであっても、業務利用以外のソフトは入れさせないよう、それを社員のモラルに頼るのではなく、ユーザー権限を制約するなどの設定をしておきましょう。

クラウドの設定に注意する

BYOD にしても会社貸与デバイスにしても、会社資産をローカルドライブに保存すると、紛失や盗難のリスクが高まります。そこでクラウドに預けるのが第一選択肢となりますが、このとき、クラウドの設定に注意が必要です。
クラウドは安全か」で紹介したように、リモートワークが増えてから、クラウドの設定ミスによる情報漏洩が相次いでいます。
自社でクラウドの設定をするだけのノウハウがない場合は、専門業者に委託することを考えてください。

なりすまし等に騙されないよう社員教育を行う

なりすまし,メール:メール送信元は簡単に詐称できる」で紹介したなりすましメールですが、リモートワークの増加に伴って、この種のメールが増えています。社員が間違ってリンクを踏んだり返信しないよう、セキュリティ教育を行うことが大切です。

Wi-Fiの利用に注意する

多くの社員が、自宅のWi-Fi環境を利用してリモートワークしていると思います。ところが、「無線LANの設定に注意を」で紹介したように、Wi-Fiルータの設定が不十分だと、通信内容を盗聴されたり、Wi-Fiルータが乗っ取られる恐れがあります。
会社として、社員の自宅の通信環境を利用するような場合は、適切なセキュリティ設定をできる手順を示してあげるといいでしょう。
また、家族の手前、自宅で長時間仕事をすることが難しく、喫茶店やホテルでリモートワークする場合もあるかもしれません。このとき、店舗に用意されているWi-Fi環境のセキュリティ設定は変更ができませんし、他のお客さんに盗み見される恐れもあります。機密情報のやり取りがあるような仕事は、自宅で行うようにしましょう。「公衆無線LANサービスは安全か?」を参考にしてください。

VPNの導入を検討する

クラウドや社内サーバと結ぶ経路に VPN(Virtual Private Network)を導入することは有効です。通信経路の安全性が高まるので、上述のWi-Fiの設定に頼らず、情報の機密を保つことができます。
ただし、接続パスワードが漏れてしまうと元も子もないので、パスワードや生体認証だけでなく、電子証明書を入れるなどしてデバイス認証もできるようにしておくと、より安全です。

参考サイト

(この項おわり)
header