テレワーク実施にあたって考えるセキュリティ対策

新型コロナウイルスの感染拡大によって、マクロとミクロの両面で経済やビジネスへの影響が出ています。対面を前提としたビジネスを中心に企業に大きな影響が出始める中で、在宅勤務の取り組みが各方面で始まっています。

短期的には国際的なスポーツイベント開催に伴う交通機関の混雑緩和が目的の一つに挙げられていますが、労働人口の減少を背景とした働き方改革という中長期的な目的でも、テレワークへの検討や取り組みがはじまっています。当社が昨年実施した調査においても、在宅勤務をはじめとしたテレワークを可能にするモバイルやクラウドの導入率は6割近くに達しており、導入理由の一つには「ワークスタイル変革」が挙げられています。

2011年に東日本大震災が発生した際にも一部では行われましたが、昨年公開された総務省「令和元年版 情報通信白書」にもあるように、国内での在宅勤務を含むテレワーク導入企業の割合は19.1％にとどまっているのが現状です。近年では、豪雨や台風などの自然災害が全国各地で頻繁に発生しており、パンデミックへの対応を含めて、危機管理やBCP（Business Continuity Planning、事業継続計画）の視点でも、従業員の安全を確保しながら事業継続を維持するテレワークの持つ重要性や価値は増大しています。

テレワークに必要なITとサイバーリスク

所属している組織のオフィス以外の場所から勤務するものがテレワークで、自宅で勤務する「在宅勤務」、外出先や出張先などから作業を行う「モバイルワーク」、勤務先以外のオフィススペースで勤務する「サテライトオフィス勤務」が代表的なものです。

在宅勤務をはじめとしたテレワークを実現するには、社内ポリシーやルール、ITの整備に至るまで検討すべき事項があります。中でもITの観点では、ノートPCやタブレット、仮想デスクトップやリモートデスクトップなどの従業員が作業を行う「デバイス」、データセンターやクラウド上の従業員が業務に必要とする業務アプリケーションやデータといった「ビジネスリソース」、インターネット接続に加えて、メールやチャット、ビデオ会議などの通信・コミュニケーション手段といった「通信」の3つを整備するとともに、それぞれに存在するサイバーリスクへの対策、安全性の確保が必要になります。

物理的な観点でのリスクもさることながら、社外からインターネット接続を行い、ビジネスリソースにアクセスすることを考えると、テレワークにおいては特にサイバーセキュリティの観点で以下のようなリスクが考えられます。

• 安全性の高くない家庭用インターネットルーターや公共Wi-Fiでの通信の盗み見や通信先の改変
• デバイスとビジネスリソース間の通信の盗み見
• クラウド上にある業務アプリケーションなどのアカウントの乗っ取り
• 許可されてない個人用クラウドストレージなどへの業務データのアップロード
• デバイスや個人用クラウドストレージ、リムーバブルメディアを経由した情報漏えい
• マルウェアや不正サイトなどのインターネット上の外部脅威

テレワークで優先すべきセキュリティ対策は「通信」の安全性

在宅勤務を中心にテレワークを実施するにあたってセキュリティの観点で目指すべきゴールは、「テレワークを行う従業員に対して、生産性やユーザーエクスペリエンスを妨げることなく、いかにして本社や拠点で勤務する際と同等の一貫性のあるセキュリティレベルを維持できるか」になります。テレワーク実施にあたって確認、対応すべきセキュリティ対策には、大きく以下のようなポイントがあります。

• のぞき見防止フィルターや画面ロックの使用、離席時にデバイスを放置しないといった、従業員が作業を行うデバイスにおける物理的対策
• 家庭用インターネットルーターにおけるセキュリティの強化や、安全性の高くない公共Wi-Fi環境の利用を控えるといったルールや注意喚起の徹底
• インターネットやリムーバブルメディア経由の外部脅威に対する「デバイス」の防御
• 二要素認証などの多要素認証の導入、管理者アカウントの管理強化に加え、CASB（Cloud Access Security Broker）、CWPP（Cloud Workload Protection Platform）、CSPM（Cloud Security Posture Management）などによるデータセンターやクラウド上の「ビジネスリソース」の可視化と保護
• SASE（Secure Access Service Edge）などによる「通信」の機密性の確保、セキュリティポリシーの徹底、外部脅威や内部犯行リスクへの防御

テレワークにおいては、社外の環境からインターネット接続をしたうえで、ビジネスリソースやインターネット上のパブリックリソースにアクセスすることになります。前述の「デバイス」や「ビジネスリソース」における対策の大半は、テレワークに関係なく行われるべきものです。そのため、テレワーク実施にあたって特に注力すべきは「通信」の部分に対する対策で、インターネットとデータセンターやIaaS、SaaS上にあるビジネスリソースを従業員が社外から安全に利活用できるようにすることが優先事項です。

従業員が在宅勤務などを通じてどの場所からどのリソースにアクセスしようとも、一貫性のある包括的なセキュリティを適用でき、かつクラウドサービスのため導入・運用が容易で、急速な通信要件の増大にも柔軟に拡張できるSASEのようなセキュリティソリューションの導入が、テレワークでは特に注力すべきセキュリティ対策の柱になります。

在宅勤務をはじめとしたテレワークにおいて検討すべきサイバーリスクとそれに対するセキュリティ対策に関する詳細は、以下のリソースをぜひご覧ください。

ホワイトペーパー：「テレワークに求められるセキュリティ対策－ビジネスゴールの実現と危機管理を同時に実現するには」

オンデマンドウェビナー：テレワークを安全に遂行するためのセキュリティ対策