セキュリティ対策には3パターンがある

「テレワーク」と一言で言っても、その実態は大きく3パターンに分かれています。それぞれのパターンに合わせたセキュリティ対策が必要となるため、自社にはどのパターンが合うのかを考えながら読み進めていってください。
では、それぞれ解説していきます。

シンクライアント型

「シンクライアント型」とは、クライアント端末に必要最低限の処理だけを行わせる仕組みのことを指します。シンクライアントは「Thin（薄い・少ない）・Client（クライアント）」から成り立つ言葉で、ほとんどすべての処理をサーバー側で行うことで、文字どおりクライアント端末で持つ情報を必要最低限に抑えるシステムです。クライアント端末内へのファイルの保存やアプリケーションのインストールができない仕組みとなっているため、万が一紛失や盗難に遭っても情報漏洩のリスクを最小限に抑えることができます。

オンライン持ち出し型

GoogleドライブやDropboxなどのオンラインストレージサービスに必要なファイルをコピーし、インターネットを通してコピーしたファイルの閲覧や編集を行う「オンライン持ち出し型」。一定の保管容量までは無料で利用できるサービスもあるため、テレワーク端末以外のコストをかけずに導入することができます。また、物理的にデータを持ち運ばないため、移動中に情報を漏洩する心配もありません。
ただし、テレワーク端末にデータを保存する可能性があり、オンライン持ち出し型を導入する場合はそれぞれのテレワーク端末のセキュリティ対策が必要となります。

オフライン持ち出し型

オンライン持ち出し型に対し、物理的にデータを移送するのが「オフライン持ち出し型」。業務で使用するファイルをUSBメモリなどに格納し、テレワーク端末まで移送することで作業を行う方法です。オフライン持ち出し型は、テレワーク端末とUSBメモリさえ用意すればすぐに実行できるため、ほとんどコストはかかりません。
一方でどうしてもUSBメモリの紛失リスクが伴います。オフライン持ち出し型を導入するのであれば、必要最低限の情報のみ移送するよう、社員一人ひとりが意識できる環境づくりが必要です。

情報資産を洗い出し、対策を実施する

自社に合いそうなテレワークのパターンが決まれば、次は「情報資産の洗い出し」を行いましょう。情報資産とは、資産として価値のある情報のことを指し、「経営資産」とも呼ばれます。顧客情報や仕入れ先の情報、提供サービスの機密情報などがこれに該当します。
テレワークでは社員が各々の場所で作業を行うため、情報資産の漏洩のリスクが少なからず高まることは否めません。そこで、少しでもリスクを抑えるためにまずは次の3つを実行しましょう。

セキュリティポリシーを見直す

テレワークを導入する上で、会社のセキュリティポリシーの見直しが重要です。会社で作業を行っている間はあまり意識していなかったかもしれませんが、テレワークでは“どこまでがOKでどこからがNGなのか？”という「明確なセキュリティポリシー」を設定する必要があります。どんなセキュリティポリシーを設定するべきかは、総務省が指針を発表している、「テレワークセキュリティガイドライン」を参考に、会社のセキュリティポリシーを見直していきましょう。

社員への教育を徹底する

いくら環境が整っていても、社員一人ひとりのセキュリティに対する意識が低ければ情報漏洩を防ぐことはできません。そこで、テレワーク導入前には“社員への情報セキュリティ教育の実施”をすることをおすすめします。そして、実施前には次の3つのことを決めるようにしましょう。

ここで重要なのは、「社員一人ひとりが自分ごととして捉えられること」。“とりあえず教育を行った”では何の意味もないため、教育実施後にどれだけセキュリティ面での問題を減らすことができたのか？という見直しも必要です。

補いきれない部分に対し、セキュリティ対策をとる

いくらセキュリティ対策を整えていたとしても、外部からの脅威やヒューマンエラーによる情報漏洩などのリスクを完璧に避けることはできません。
実際に情報セキュリティ事故が起こった際に、企業として早期発見・早期対応することにより被害を最小限に抑えることが可能となります。事故が発生した際の連絡体制を整えるなど、予防だけでなく起こった場合の対応についても検討しておくことが重要です。

社員のPC端末について

テレワークを導入するのであれば、ほぼ100%PC端末が必要になります。
では、テレワーク勤務者が使用する端末は、自社で用意すべきなのか私物PCで対応するのか、どちらがいいのでしょうか？結論から申し上げますと、テレワーク端末は自社で用意するのがおすすめです。

私物PCの使用を認めることで、導入コストを抑えることができるという利点がありますが、私物PCへの管理を徹底することは企業側としても難しく、加えてその私物PCが業務遂行に十分な性能を持たない端末の場合、セキュリティ面でのリスクが自社端末より高まる可能性があるためです。

また、「PC端末のスペック」という点でも自社端末を用意した方が平等性を保つことができます。ある社員のPC端末は高スペックでさくさく動作するけれど、ある社員のPC端末は動作が遅すぎて作業にならない…というのでは、会社全体の生産性が下がってしまいます。

テレワークを安全に実施するために必要な、セキュリティ対策とは

セキュリティ対策では、「何か問題が起こることを想定し事前に対策しておく」ことが重要です。ここでは、テレワークを導入する上で直面する可能性のある問題に対して、役割ごとの対策を解説していきます。

端末の紛失・盗難への対策

端末を社外に持ち出すということは、当然「紛失」や「盗難」のリスクにさらされるということです。特に「オンライン持ち出し型」や「オフライン持ち出し型」のように端末内にデータが保管されている場合、紛失や盗難によって情報漏洩のリスクが高まります。
これに対する対策は、それぞれ以下のとおりです。

不正アクセスへの対策

「シンクライアント型」や「オンライン持ち出し型」のようにインターネットを通して社内データへアクセスする場合、第三者からの不正アクセスのリスクは十分にあり得ます。
これに対する対策は以下のとおりです。

情報資産の盗聴への対策

インターネットに接続する以上、通信内容が第三者にのぞき見されるリスクは避けられません。特に公衆Wi-Fiを利用する場合、他にどんな人が同じネットワーク内にいるのか把握することができないため、安全とは言えません。これに対する対策は以下のとおりです。

有事に備えて連絡網の作成

万全なセキュリティ対策を行っていても、重大なセキュリティ問題が起こってしまう可能性は十分あり得ます。そこで、有事に備えて「連絡網」を作成しておきましょう。
例えば、電車の中にテレワーク端末を忘れてきてしまった場合や、離席している少しの間にテレワーク端末が盗難に遭ってしまった場合など、“いつ”“誰に”連絡するのか把握しておけば、問題に対して迅速な対応ができ、結果として損失を最小限に抑えることができます。

それぞれのテレワークのパターンに合ったセキュリティ対策を

セキュリティ面での懸念事項が多いテレワークですが、それぞれのテレワークのパターンに合ったセキュリティ対策を行うことで、安全に業務に励むことができます。生産性の向上・コスト削減など、テレワークは会社にとって非常にメリットのある働き方です。
適切なセキュリティ対策を行い、テレワークが広まりつつあるこのタイミングで、ぜひ導入してみてはいかがでしょうか。