2020.04.13
満員電車に乗る必要がない、通勤時間を削減できる、などのメリットも多いテレワークですが、会社としてはやはり「セキュリティ面」が心配です。
しかし実は、適切な対策を行うことで、社員が別々の場所で作業していても会社に居るのと同等レベルのセキュリティを担保することができます。
今回は、テレワークに合ったセキュリティ対策について分かりやすく解説していきます。
「テレワーク」と一言で言っても、その実態は大きく3パターンに分かれています。それぞれのパターンに合わせたセキュリティ対策が必要となるため、自社にはどのパターンが合うのかを考えながら読み進めていってください。
では、それぞれ解説していきます。
「シンクライアント型」とは、クライアント端末に必要最低限の処理だけを行わせる仕組みのことを指します。シンクライアントは「Thin(薄い・少ない)・Client(クライアント)」から成り立つ言葉で、ほとんどすべての処理をサーバー側で行うことで、文字どおりクライアント端末で持つ情報を必要最低限に抑えるシステムです。クライアント端末内へのファイルの保存やアプリケーションのインストールができない仕組みとなっているため、万が一紛失や盗難に遭っても情報漏洩のリスクを最小限に抑えることができます。
GoogleドライブやDropboxなどのオンラインストレージサービスに必要なファイルをコピーし、インターネットを通してコピーしたファイルの閲覧や編集を行う「オンライン持ち出し型」。一定の保管容量までは無料で利用できるサービスもあるため、テレワーク端末以外のコストをかけずに導入することができます。また、物理的にデータを持ち運ばないため、移動中に情報を漏洩する心配もありません。
ただし、テレワーク端末にデータを保存する可能性があり、オンライン持ち出し型を導入する場合はそれぞれのテレワーク端末のセキュリティ対策が必要となります。
オンライン持ち出し型に対し、物理的にデータを移送するのが「オフライン持ち出し型」。業務で使用するファイルをUSBメモリなどに格納し、テレワーク端末まで移送することで作業を行う方法です。オフライン持ち出し型は、テレワーク端末とUSBメモリさえ用意すればすぐに実行できるため、ほとんどコストはかかりません。
一方でどうしてもUSBメモリの紛失リスクが伴います。オフライン持ち出し型を導入するのであれば、必要最低限の情報のみ移送するよう、社員一人ひとりが意識できる環境づくりが必要です。
自社に合いそうなテレワークのパターンが決まれば、次は「情報資産の洗い出し」を行いましょう。情報資産とは、資産として価値のある情報のことを指し、「経営資産」とも呼ばれます。顧客情報や仕入れ先の情報、提供サービスの機密情報などがこれに該当します。
テレワークでは社員が各々の場所で作業を行うため、情報資産の漏洩のリスクが少なからず高まることは否めません。そこで、少しでもリスクを抑えるためにまずは次の3つを実行しましょう。
テレワークを導入する上で、会社のセキュリティポリシーの見直しが重要です。会社で作業を行っている間はあまり意識していなかったかもしれませんが、テレワークでは“どこまでがOKでどこからがNGなのか?”という「明確なセキュリティポリシー」を設定する必要があります。どんなセキュリティポリシーを設定するべきかは、総務省が指針を発表している、「テレワークセキュリティガイドライン」を参考に、会社のセキュリティポリシーを見直していきましょう。
いくら環境が整っていても、社員一人ひとりのセキュリティに対する意識が低ければ情報漏洩を防ぐことはできません。そこで、テレワーク導入前には“社員への情報セキュリティ教育の実施”をすることをおすすめします。そして、実施前には次の3つのことを決めるようにしましょう。
ここで重要なのは、「社員一人ひとりが自分ごととして捉えられること」。“とりあえず教育を行った”では何の意味もないため、教育実施後にどれだけセキュリティ面での問題を減らすことができたのか?という見直しも必要です。
いくらセキュリティ対策を整えていたとしても、外部からの脅威やヒューマンエラーによる情報漏洩などのリスクを完璧に避けることはできません。
実際に情報セキュリティ事故が起こった際に、企業として早期発見・早期対応することにより被害を最小限に抑えることが可能となります。事故が発生した際の連絡体制を整えるなど、予防だけでなく起こった場合の対応についても検討しておくことが重要です。
テレワークを導入するのであれば、ほぼ100%PC端末が必要になります。
では、テレワーク勤務者が使用する端末は、自社で用意すべきなのか私物PCで対応するのか、どちらがいいのでしょうか?結論から申し上げますと、テレワーク端末は自社で用意するのがおすすめです。
私物PCの使用を認めることで、導入コストを抑えることができるという利点がありますが、私物PCへの管理を徹底することは企業側としても難しく、加えてその私物PCが業務遂行に十分な性能を持たない端末の場合、セキュリティ面でのリスクが自社端末より高まる可能性があるためです。
また、「PC端末のスペック」という点でも自社端末を用意した方が平等性を保つことができます。ある社員のPC端末は高スペックでさくさく動作するけれど、ある社員のPC端末は動作が遅すぎて作業にならない…というのでは、会社全体の生産性が下がってしまいます。
セキュリティ対策では、「何か問題が起こることを想定し事前に対策しておく」ことが重要です。ここでは、テレワークを導入する上で直面する可能性のある問題に対して、役割ごとの対策を解説していきます。
端末を社外に持ち出すということは、当然「紛失」や「盗難」のリスクにさらされるということです。特に「オンライン持ち出し型」や「オフライン持ち出し型」のように端末内にデータが保管されている場合、紛失や盗難によって情報漏洩のリスクが高まります。
これに対する対策は、それぞれ以下のとおりです。
「シンクライアント型」や「オンライン持ち出し型」のようにインターネットを通して社内データへアクセスする場合、第三者からの不正アクセスのリスクは十分にあり得ます。
これに対する対策は以下のとおりです。
インターネットに接続する以上、通信内容が第三者にのぞき見されるリスクは避けられません。特に公衆Wi-Fiを利用する場合、他にどんな人が同じネットワーク内にいるのか把握することができないため、安全とは言えません。これに対する対策は以下のとおりです。
万全なセキュリティ対策を行っていても、重大なセキュリティ問題が起こってしまう可能性は十分あり得ます。そこで、有事に備えて「連絡網」を作成しておきましょう。
例えば、電車の中にテレワーク端末を忘れてきてしまった場合や、離席している少しの間にテレワーク端末が盗難に遭ってしまった場合など、“いつ”“誰に”連絡するのか把握しておけば、問題に対して迅速な対応ができ、結果として損失を最小限に抑えることができます。
セキュリティ面での懸念事項が多いテレワークですが、それぞれのテレワークのパターンに合ったセキュリティ対策を行うことで、安全に業務に励むことができます。生産性の向上・コスト削減など、テレワークは会社にとって非常にメリットのある働き方です。
適切なセキュリティ対策を行い、テレワークが広まりつつあるこのタイミングで、ぜひ導入してみてはいかがでしょうか。
【資料】テレワークは働き方改革のリトマス試験紙
HP Elite Dragonfly
重量999グラム、薄さ16.1mm、削り出しのマグネシウムボディの軽量ビジネスPC。多彩なセキュリティ機能に加え、覗き見を防止する内臓型プライバシースクリーン、物理シャッターを備えたカメラ、コラボレーションを促進する全方位をカバーのマイクなど、ビジネスに必要なすべてをエレガントなボディーに備えました。
HP Elite Dragonflyの詳細を見る |
HP EliteBook x360シリーズ
最上位のフラッグシップシリーズです。360°回転するディスプレイにより、タブレットとクラムシェルの両方の形状で使用できるコンバーチブルPCは、あらゆるシーンに合わせて、さまざまなモードで使用可能。生産性を最大限に発揮し、作業効率を向上させます。14インチの「HP EliteBook x360 1040 G5」と13.3インチの「HP EliteBook x360 1030 G3」は、外出先や移動中も安定した通信環境を実現する、4G LTE-Advanced対応モデルも選択可能です。
HP EliteBook x360シリーズの詳細を見る |