テレワークは、「テレ(離れた場所で)」「ワーク(仕事をする)」という言葉を掛け合わせた造語です。オフィスで働くわけではなく、在宅勤務やモバイル、サテライトオフィスで業務をおこないます。
時間や場所にとらわれない柔軟な働き方は、感染症や災害が起こったときに有効活用できるでしょう。また、育児や介護などで自宅を離れることが難しい人材の活用にも活かせます。
非常に魅力的に見えるシステムですが、やはり何事にもリスクが潜んでいます。本記事では、テレワークにおける情報セキュリティ対策や情報漏えいのリスクが高まるタイミングなどについて解説します。
テレワークを始めようとする人は、この記事を読んでおくと何にどう気を付けたら良いか分かるので、ぜひご一読ください。
総務省が提起するテレワークセキュリティガイドラインによる3つの対策
テレワークにおける情報セキュリティ対策については総務省がガイドラインを提起しています。「ルール」「人」「技術」の3つに焦点を当ててみましょう。
ルール
テレワークで業務を進めるにあたって、社内のルールを定めないといけません。例えば、社外に持ち出し禁止の資料についてはマークを付けてパスワード付きで管理したり、持ち出しあるいは持ち入れ可能なパソコンを限定的にしたりするルールが必要です。
コミュニケーションの取り方も、どのツールを使うかルールを定めないと、好き勝手なツールを使い、結果として情報漏えいにつながったということも少なくありません。
会社はどのような基準でルールを定めるか決め、守っていくための仕組みを作っていく必要があります。なお、このルールづくりは社員の業務に熟知していて、情報セキュリティに関する知見を持ち合わせている人が適任です。
人
コントロールするのが難しいのが、「人」です。ルールを定めても、テレワーク実施者やセキュリティ管理者がきちんと守らなければ、端末のウイルス感染や情報漏えいが起こってしまう可能性があります。
テレワークで上司や同僚の目が届きにくいので、「この程度ならルールを守ってもいいか」という安易な考えにつながりやすいです。
そこで、テレワークをおこなう前に、情報セキュリティの重要性を伝える社員教育を実施する会社は少なくありません。
ルールの趣旨をきちんと理解してもらい、危機意識を抱いてもらうのが目的です。ルールを守らないと恐ろしいことになる可能性があることを理解する必要があります。
技術
「技術」は「ルール」や「人」では対応しきれない部分を補完するものです。技術的対策をおこなうことによって、制御や認知、防御などを自動でおこなってくれます。その効果で、人がルールを守るサポートをしてくれるのです。
テレワークでセティリティ管理・情報漏えいリスクが高まるタイミング6つ
テレワークに潜むリスクについてご紹介します。意外と簡単に情報は盗まれるので細心の注意が必要です。
カフェ・コワーキングスペースでののぞき見
テレワークを始めたばかりの人に多いのですが、カフェやコワーキングスペース、新幹線などでパソコンを使用しているときに肩越しにのぞき見されるリスクがあります。
悪気がなくとも、パチパチとキーボードを入力する音に反応して、パソコンの画面をのぞき見する人がいるのです。パソコンの画面を横から見にくくするプライバシーフィルターを貼っていても、肩越しにのぞかれると丸見えです。
一瞬ののぞき見でも、顧客名やプロジェクト名、プロジェクト金額などを把握されてしまうリスクが潜んでいます。また、そういったことに注意していない姿を顧客に見られると信頼が揺らぎます。
原則として、業務をおこなうのは、個室や自宅などのプライバシーが確保されている場所だけにしましょう。どうしても、公共の場で業務をする必要があったら、新幹線の席ならば窓側に座ったり、カフェならば隣の席と距離があるところを選んだりする工夫を意識します。
無料の公衆無線LANへの接続
外出先にて無料で利用できる公衆無線LANは利便性が高いですが、気を付けないといけないリスクが潜んでいます。
接続のそのものの脆弱
無料の公衆無線LANは、誰もが簡単にアクセスできる利便性を優先して、安全度を低く設定しています。安全面に関しては、ユーザーが自己管理するという考え方です。
そのため、悪意があるハッカーがデータ通信の盗聴を目的に暗号化されていないネットワークを公開している場合があります。
無料なので気軽に使っている人も多いかもしれませんが、情報が漏えいしている可能性があることに留意しましょう。
公衆無線LANを経由したメールの送受信
パソコンでもスマホでも、公衆無線LANを経由したメールの送受信をすると、送信者および受信者のメールアドレスや件名、メール内容がのぞき見されるリスクがあります。専用のツールを使うとのぞき見できるようになるのです。
顧客との重要な情報のやりとりをメールでしている方も少なくありません。メールをのぞき見されるのは大きなリスクでしょう。
Web会議中の音漏れによる情報漏洩
意外とやってしまいがちなのが、Web会議を自宅以外の場所でおこなってしまい、音漏れがしていたというケースです。
サテライトオフィスの一画にある個室なら問題ないだろうと思っていても、ドアの隙間から音が漏れることもよくあります。上司や同僚とのビデオ会議なら、顧客名やプロジェクト名、プロジェクト金額などを話す機会があるでしょう。
イヤホンを付けたら、相手の声が漏れないと考えるかもしれませんが、音がこもるのでますます自分の声が大きくなり、自分の話す言葉だけで文脈を読み取れるということにもなりかねません。
原則としてプライバシーが守られている場所でのビデオ通話に留めるのが良く、もしどうしても何か連絡をとる必要があったら、テキストツールを使う方が好ましいでしょう。
自分のPCを利用することによるウイルス感染
自分の脆弱なパソコンを使ってウイルスに感染してしまい、そのまま社内に持ち込んで、社内ネットワークにウイルスをばらまくというリスクがあります。
そのため、仕事に関することは、情報セキュリティがしっかりした業務用のパソコンを使用することをおすすめします。
クラウドサービスの共有権限
複数人で作業をするとき、クラウドサービスを通してファイル共有することがあります。クラウドサービスを利用する際に気を付けたいのが、フォルダやファイルの閲覧・編集権限です。安易に全体公開を設定すると、第三者に簡単にアクセスされてしまいます。
パスワードの管理体勢の甘さも問題
パスワードを複数で使い回ししていたり、簡単に特定される簡単なものにしていたりするとパスワードが漏えいしてしまう可能性があります。
場合によっては、チーム全体に対して、IDとパスワードを資料にて公開していることがありますが、その資料をのぞき見されると、悪用されるリスクが考えられるでしょう。
テレワーク中のビデオ会議システムの利用も注意が必要
テレワークをするとビデオ会議システムを頻繁に使う人も多いかと思いますが、そこにもリスクが潜んでいます。
Zoomのセキュリティ脆弱性が指摘されている
テレワークへの取り組みで注目されているのが、ビデオ通話ツールの「Zoom」です。「Zoom」は、最大1,000人まで参加可能なので、大人数で利用したいときに優れています。
無料プランでは最大100人まで、3人以上が参加する場合は1回40分までという制限がありますが、近年では「Zoom飲み会」が頻繁に開催されている人気ぶりです。
ビデオ通話の途中でほとんど落ちないので、仕事のビデオ通話でも活用されているのですが、セキュリティ面における脆弱性を指摘する声があります。例えば、参加を許されていない第三者が入り込んで、ポルノ画像を投げつけたり人種差別発言をしたりする事例が出たのです。
Zoomのビデオ会議に参加するために必要なIDは9桁または10桁の数字なので、極端に言えば適当に打ち込んでも参加できてしまうために起こりました。そこで、Zoom側は、無料ユーザーであっても最初からパスワード設定を有効にする対策を打ち出し、第三者の参加を防げるようにしました。
また、Zoom利用者の情報がFacebookに流れたという問題もありました。一連の問題に対して、Zoom側はスピーディーな対応をしていますが、今でもなおセキュリティの脆弱性に対する指摘をする人がいます。
Zoom の脆弱性対策について
最終更新日:2020年4月3日
※追記すべき情報がある場合には、その都度このページを更新する予定です。概要
Zoom は、ビデオ会議アプリです。Zoom の Windows クライアントのチャット機能に、UNC(Universal Naming Convention)パスの処理に関する脆弱性が確認されています。
悪意のあるユーザの用意したハイパーリンクをクリックすることで、認証情報を窃盗されたり任意の実行可能ファイルを起動されたりする可能性があります。
今後被害が拡大する可能性があるため、早急に対策を実施して下さい。
セキュリティ上も安心なWeb会議システムとは
ビデオ通話をするためにWeb会議システムは必要ですが、安心・信頼できるものとはどうようなツールなのでしょうか。その3つの特徴を解説します。
データが暗号化されている
Web会議をしているときに交わされている音声や動画、画像などのデータが暗号化されているか確認してみましょう。データが暗号化されていると、情報漏えいがしにくく、安全性が高いと言えます。
例えば、世界で最も利用されている「Cisco Webex」なら、SSLやAESが使用された暗号化やPKI(公開鍵暗号方式)を採用しています。
参考元:Cisco Webex
セキュリティオプションの設定ができる
会議ごとにパスワードを設定して、参加者はパスワードを入力しないと参加できない仕組みにするといったセキュリティオプションの設定ができると安心です。パスワードが必要と設定すれば、第三者の参加を防げます。
特定の端末・通信からだけに制限できる
接続IPアドレス指定や端末認証によるアクセス制限ができるとなお良いでしょう。10年連続で国内Web会議サービスシェアNo.1の実績を誇る「V-CUBE ミーティング」では、こういったアクセス制限に対応しています。高いレベルのセキュリティ環境なので安心できます。
参考元:V-CUBE ミーティング
セキュリティを高めるために有効なシステムとは?
セキュリティを高めるために有効なシステムをご紹介します。とりわけ重要な情報を取り扱う際にチェックしておきたい内容です。
暗号化通信
原則として暗号化されていないWi-Fiサービスは利用しないようにするとリスクを減らせます。実際のところ、暗号化形式であるWPA2にも脆弱性が確認されています。暗号化されていないのなら、なおさら避けるべきでしょう。
VPNの利用
Wi-Fiの利用時はVPN(Virtual Private Network)を使用することをおすすめします。VPNとは、離れた場所を仮想的な専用線でつないで安全なデータ通信を実現する仕組みのことです。
VPNの主なメリットは以下の5つです。
- 通信内容の暗号化機能が備わっていてより安全な通信を実現できる
- 離れている距離に関係なく接続できる
- モバイル端末からもアクセスできる
- 複数の拠点でも接続できる
- 低コストで導入できる
情報漏えいの可能性はゼロではありませんが、リスクを抑えることはできます。もちろんコストがかかりますが、それ以上のメリットを感じられたら有益でしょう。
多要素認証
IDやパスワードの組み合わせに加え、指紋といった生体認証やワンタイムパスワードなどの複数の認証を設けた方が安心です。少し手間に感じるかもしれませんが、パソコンを社外に持ち出す機会が増えたら、ぜひ導入したいものです。
シングルサインオン
手間という観点でいうと、シングルサインオンを検討してみても良いでしょう。シングルサインオンとは、1つのIDとパスワードを入力して、複数のWebサービスやアプリケーションにログインする仕組みです。
理想で言えば、複雑なパスワード設定を個別で使うべきなのですが、それだと管理が困難です。シングルサインオンにすると、簡単なパスワードを設定して使い回したり、メモで残したりする必要がなくなります。その分、情報が漏えいするリスクが低くなるのでおすすめです。
まとめ
テレワークにおけるセキュリティについて考えてみましたが、会社と社員それぞれの意識改革が求められるのではないでしょうか。
総務省は、テレワークセキュリティガイドライン第4版をネット上で公開しているので、一度目を通してみても良いでしょう。テレワークセキュリティ対策の考え方やポイントが解説されています。
公共の場における肩越しののぞき見といったことは少しの注意で改善できることなので、できることから始めてみましょう。