ITセキュリティ女子のブログ

  • エンドポイントセキュリティ
  • テレワーク
2018.07.17

テレワークの基本的な4つのセキュリティリスク

テレワークの基本的な4つのセキュリティリスク

みなさんこんにちは。長谷川まりです。
あと2年で東京オリンピックです。楽しみですね!ただ、期間中は国内外から大勢の観光客が集まるので、大変な交通混雑が起こると懸念されています。そこで注目を集めているのが、先日、働き方改革関連法が可決され、より導入が進むであろう「テレワーク」。今回は、テレワークの概要とセキュリティリスクについて解説します。


テレワークとは

テレワークとは、働き方改革の一手段

テレワークとは、「ICT(情報通信技術)を活用し、時間や場所を有効に活用できる柔軟な働き方」です。労働力人口の減少や働き方の多様化を背景に、働き方改革を実現する手段として年々導入企業が増加しています。総務省では、雇用型(会社など組織に雇用されている場合)のテレワークには、主に以下の形態があるとしています。アシストでも、在宅勤務やモバイルワークが取り入れられています。

  • 在宅勤務:妊娠・育児・介護、病気・ケガなどの理由での自宅就業
  • モバイルワーク:移動中や異動先での隙間時間を活用した就業
  • サテライトオフィス:専用サテライト、シェアオフィス、レンタルオフィスによる就業

テレワークの効果と政府の推進

テレワークを取り入れると、以下の効果があると言われています。

  • 働き方改革:就業体制の抜本的な見直し
  • 生産性向上:時間や場所にとらわれない効率的な業務の実施
  • 人材確保・育成:育児・介護で離職する優秀な人材の喪失機会を軽減
  • コストダウン:出社による交通費、オフィス利用費、顧客先への移動費の軽減
  • 事業継続(BCP):就業地を一点集中させないことによる地勢的リスクの分散化

これらの効果を見込んで、政府はテレワーク推進に積極的です。昨年の2017年7月24日は、総務省、経産省、厚労省、国交省、内閣官房、内閣府総務省による「テレワーク・デイ」が開催され、922もの団体が参加しました。2020年7月24日は東京オリンピックの開会式が予定されているので、毎年テレワークを呼びかけながら、交通機関の状況調査、エネルギーなどのインフラの確認、アンケートを行い、効果を検証するということです。なお今年、2018年は7月23日~27日と日程を広げた「テレワーク・デイズ」となっています。駅にポスターなんかも貼られていますね。

テレワークの基本的な4つのリスク

テレワークを実施するには、必要なインフラの整備と同時に、セキュリティリスクの考慮と備えが必要です。在宅勤務、モバイルワーク、サテライトオフィスでは以下のリスクが考えられます。

1.紛失、盗難のリスク

PCを社外に持ち運ぶのが基本ですから、紛失、盗難のリスクがあります。電車の網棚、タクシーなど、移動時は特に気をつける必要があるでしょう。また、シェアオフィスでは、複数の企業で同じワークスペースを共有し、周囲に見知らぬ方がいるケースもあり、USBメモリのような小物を誰かが持ち去ることも考えられます。


2.マルウェア、ランサムウェアの感染リスク

特に在宅勤務やモバイルワークのシーンでは、スマートフォンのテザリング、モバイルルータ、公衆Wi-Fiなどを利用してインターネットに接続することが多いです。その際、VPN経由でインターネット接続することを運用ルールとして設けているケースは多いでしょう。しかし、人ですから、うっかりVPNにログインし忘れてしまうこともあるでしょうし、意図的にVPNにログインしないかもしれません。このようにVPNにログインせず直接インターネットに接続してしまうと、社内のゲートウェイで実施しているセキュリティ対策が有効になりませんので、禁止しているWebサイトにもアクセスできるなど、マルウェア、ランサムウェアの感染リスクが増加します。


3.盗聴のリスク

2.の話に関連しますが、特にモバイルワークのシーンでは、公衆Wi-Fiを利用するケースがあります。公衆Wi-Fiの中には、通信が暗号化されていないものもありますので、盗聴されるリスクがあります。また、昨年、WPA2(Wi-Fi Protected Access 2)の脆弱性が発見されました。アクセスポイントの設置者が脆弱性対策のパッチ適用等を行っていなければ、攻撃者により通信が傍受されたり、通信が乗っ取られたりする可能性があります。


4.ログが取得できないリスク

こちらも2.の話に関連しますが、社外からスマートフォンのテザリングやモバイルルータ、公衆Wi-Fiを使って直接インターネットに接続した場合、社内のゲートウェイを通りませんので、アクセスログなどが取得されないリスクがあります。ログが取得されないと、ユーザーがクラウドストレージなどにデータをアップロードして、不正に情報を持ち出してしまったとしても、その事実にすら気がつかない、更に、気がついたとしても後から調査することさえできなくなります。


テレワークのセキュリティ対策の例(アシストの場合)

アシストでは、モバイルワークと在宅勤務を実施しています。PCの紛失、盗難対策としては、ハードディスクを暗号化しています。社外ネットワーク利用の部分では、ユーザーはそれぞれ会社から配布されたiPhoneのテザリングやモバイルルータを利用してネットワークに接続していますが、システム的に、VPN経由でないとインターネットに接続できない仕組みにしています。これにより、先に挙げている、マルウェアやランサムウェア感染のリスク、盗難のリスクやログが取得されないリスクに対応をしています。システムによって裏で守られているだけなので、ユーザーとしては、利便性が損なわれている感じはありません。セキュリティを意識せずテレワークの便利さを感じることができるのは、嬉しいことですね。

より詳細を知りたい方は、<アシスト事例:安全なリモートアクセス環境の実現により柔軟なワークスタイルを推進 >もご参照ください!


まとめ

いかがでしたでしょうか。テレワークの基本的なセキュリティリスクを知って、安全で効率的な働き方改革を一緒に実現しましょう!


  • 執筆者情報

長谷川 まり

株式会社アシストに入社以来十数年、セキュリティ対策製品担当として活動中。

売れない小説家だった祖父の影響で文章を書くことが好き。
「役に立つ人間になる」をモットーに、日々真面目で丁寧な仕事を心がけている。

関連している記事

  • エンドポイントセキュリティ
  • ID管理
  • 認証
2024.03.14

特権ID管理もクラウドサービスで!選べるiDoperation Cloud(SaaS版)とパッケージ版

従来のパッケージ版に加え、クラウド版もリリースしたiDoperation。高い可用性が求められるサーバーの特権ID管理もSaaSで利用できるようになったことで、今後ますます需要が増えそうです。

  • サイバー攻撃
  • エンドポイントセキュリティ
2023.04.20

Active Directoryを狙うサイバー攻撃の王道と有効なセキュリティ対策

サイバー攻撃では多くの場合、Active Directoryが狙われています。企業の中核システムとして止められない。多機能で運用も複雑。そんなActive Directoryを守るには、どうしたらよいのでしょう。

  • エンドポイントセキュリティ
2022.08.26

PPAPとは?「脱PPAP」が求められる理由と代替手段の選定ポイント

業務でメールを利用する際のセキュリティ対策としてのパスワード別送「PPAP」。今回は、改めてPPAPとは何かのおさらいとリスク、代替手段についてご紹介します。

プロフィール


長谷川まり
セキュリティ製品を担当。お客様からの信頼も厚い、お姉さん的存在。

人気記事

ページの先頭へ戻る