eラーニングブログ

オフィスとテレワークでは、労働環境やセキュリティ環境について異なる部分があります。まずはその点を整理し、理解しましょう。

〈異なる部分.1〉ネットワーク環境

●オフィス

オフィスでは、基本的に安全な企業内ネットワークが提供され、社内サーバーやデータベースへのアクセスは制御されています。また、通信はオフィス内のハードウェアやネットワークで保護されています。

●テレワーク

自宅のほか、コワーキングスペースやカフェなど、インターネットができるさまざまな場所から仕事を行います。そのため、自宅や公共のWi-Fiを利用することが一般的ですが、中には暗号化されていないものもあるため注意が必要です。

〈異なる部分.2〉デバイス管理や物理的なセキュリティ

●オフィス

オフィスでは、企業が貸与・提供するデバイスを仕事に使用します。これらのデバイスはセキュリティポリシーに基づいて管理されています。また、オフィス内では入室時の認証や監視カメラの設置、シュレッダー、デバイスは施錠して格納するなど、物理的なセキュリティ対策も行われています。

●テレワーク

テレワークでは、従業員が自身のデバイスを使用することもあります。オフィスの堅牢なセキュリティ環境から離れるため、デバイス管理や物理的なセキュリティ対策は、個人に委ねられることになります。

〈異なる部分.3〉セキュリティソフトの管理

●オフィス

オフィスのデバイスには、セキュリティソフトが事前にインストールされ、適宜、管理者がアップデートを適用しています。

●テレワーク

従業員がデバイスを管理しているため、セキュリティソフトウェアのインストールやアップデートは個人が責任を持つことになります。従業員は常に最新のセキュリティ対策を行う必要があります。

〈異なる部分.4〉データの保存とアクセス

●オフィス

データの保存は企業内のサーバーやクラウドサービスを利用して行われることが一般的です。アクセスは通常、オフィス内でのみ許可され、アクセス権限は管理者によって制御されています。

●テレワーク

テレワークでは、VPNやクラウドサービスを介してデータにアクセスします。社内のデータが従業員の自宅など外部から接続されるため、安全なアクセス制御が必須です。

プライベート空間である自宅や公共施設などは、同僚の目があるオフィスとは違い、ついつい気が緩むことも。その分、情報セキュリティに関連するトラブルが発生する可能性も高くなると言えます。

※企業の情報セキュリティについては、以下のブログでも詳しく解説しています
情報セキュリティ教育とは？実施方法や教材作成方法をご紹介

テレワークで懸念される情報セキュリティのリスクには、一体どのようなものがあるのでしょうか。ここでは考えられるリスクを挙げていきます。

〈リスク.1〉デバイスの紛失や盗難
テレワークでは、業務用のノートパソコンなどを社外で使用するため、紛失や盗難のリスクがつきまといます。特に、データを持ち出すための外付けハードディスクやUSBメモリなどはノートパソコンよりも小さいため、その危険性は高まります。

〈リスク.2〉第三者によるデータの盗聴
公共の施設や飲食店などで利用可能なWi-Fiは暗号化されていないケースがあります。そのため、第三者によるデータの盗聴のリスクが発生することを頭に入れておきましょう。もちろん、自宅のWi-Fiであっても暗号化が未設定だと同様のリスクが起こり得ます。

〈リスク.3〉私物のデバイスの対策不足
私物のデバイスの管理は個人に委ねられます。そのため、中にはセキュリティソフトが入っていなかったり、フリーソフトなどを介して既にマルウェアに感染しているパソコンがあるかも知れません。そのことが原因でデータが流出する恐れがあります。

〈リスク.4〉自宅内での情報漏洩
自宅で仕事をする場合、「家人が業務用のPCを使った」とか「印刷データを子どもが持ち出してしまった」など、家族や同居人が個人情報や機密データに触れるリスクがあります。さらに、印刷データをそのままゴミとして捨てると、そこから第三者に情報が漏洩する危険も出てきます。

〈リスク.5〉リカバリーに時間がかかる
業務データを失くしたり、誤って削除したりと、どこでも起こり得るミスですが、テレワークの場合は頼れる同僚が近くにいないため、リカバリーに時間がかかるケースがしばしばみられます。

このようなテレワークでのリスクを認識せず、情報セキュリティ対策を怠ると、情報流出やPC乗っ取り、ウイルス拡散の踏み台になるなど、重大なインシデントにつながることが考えられます。その結果、従業員個人だけではなく、場合によっては、企業全体、社会全体に影響が及ぶ可能性も出てきます。

これまで解説してきたように、テレワークでは、オフィスとは異なるさまざまな情報セキュリティリスクが存在します。これらのリスクを回避するためには、以下のような対策を施すことがポイントです。

〈対策.1〉ルールを策定し、遵守する
従業員が安全かつ円滑にテレワークを行えるように、そして、余計なリスクを防ぐために、企業はテレワークの明確な運用ルールを策定しましょう。例えば、どのような業務にテレワークを適用するのか、使用可能なデバイスはどれか、個人情報の取り扱いはどうするかなど、フレームワークを詳細に固めておくことが大切です。また、従業員全員が運用ルールを理解し、遵守することが求められます。

〈対策.2〉従業員一人ひとりが知識を身につけ、意識を改める
運用ルールを守り、規範に沿った行動をとるためには、従業員一人ひとりが情報セキュリティに対する責任を共有し、意識を改める必要があります。そのためには、テレワークにおけるリスクを知り、正しい知識を身につけ、情報セキュリティの理解を深めることが重要です。また、万が一インシデントが起こった際も、テレワークの場合はすぐにほかの従業員に頼ることができないため、適切な対処法を習得しておくことが必須です。

〈対策.3〉技術的対策も怠らない
技術的対策とは、ハードウェア面もしくはソフトウェア面から情報セキュリティ設定を強化する対策のことです。運用ルールを策定し、意識を改めたとしても、それを実現するためのソフトやハードが伴わなければ、セキュリティを強化することはできません。セキュリティソフトの見直しやインターネット環境の改善など、安全なテレワークを叶えるための技術的対策も怠らないようにしましょう。

これらの3つの対策を図ることで、テレワークでの情報セキュリティリスクを最小限に抑え、インシデントを防ぐことが期待できます。

柔軟な働き方を叶えるテレワークですが、情報セキュリティの面では、オフィス以上に注意を払うことが重要だとわかりました。また、上司や管理者の目が届かない場所での業務になるため、従業員一人ひとりがセキュリティに対する責任を十分に理解し、知識を深めることがとても大切です。

そこで、おすすめしたいのがeラーニングです。時間や場所に関係なく学習できるeラーニングはテレワークとも好相性。従業員の都合のよいタイミングで、テレワークにおける情報セキュリティの知識を手軽に学ぶことが可能です。

ヒューマンサイエンスでは、情報セキュリティに関連するさまざまなeラーニング教材をご用意していますが、昨今の状況を踏まえ、テレワークに特化した「テレワーク・リモートワークの情報セキュリティ」をリリース。デバイスの管理方法や、労働環境の整備の仕方、もしもの時への備えなど、具体的・実践的なセキュリティ対策を丁寧に解説しています。

詳しくは、株式会社ヒューマンサイエンスのeラーニングサイトをご参照ください。

▶eラーニング教材「テレワークの情報セキュリティ」