ITセキュリティ女子のブログ

  • エンドポイントセキュリティ
  • テレワーク
2018.07.17

テレワークの基本的な4つのセキュリティリスク

テレワークの基本的な4つのセキュリティリスク

みなさんこんにちは。長谷川まりです。
あと2年で東京オリンピックです。楽しみですね!ただ、期間中は国内外から大勢の観光客が集まるので、大変な交通混雑が起こると懸念されています。そこで注目を集めているのが、先日、働き方改革関連法が可決され、より導入が進むであろう「テレワーク」。今回は、テレワークの概要とセキュリティリスクについて解説します。


テレワークとは

テレワークとは、働き方改革の一手段

テレワークとは、「ICT(情報通信技術)を活用し、時間や場所を有効に活用できる柔軟な働き方」です。労働力人口の減少や働き方の多様化を背景に、働き方改革を実現する手段として年々導入企業が増加しています。総務省では、雇用型(会社など組織に雇用されている場合)のテレワークには、主に以下の形態があるとしています。アシストでも、在宅勤務やモバイルワークが取り入れられています。

  • 在宅勤務:妊娠・育児・介護、病気・ケガなどの理由での自宅就業
  • モバイルワーク:移動中や異動先での隙間時間を活用した就業
  • サテライトオフィス:専用サテライト、シェアオフィス、レンタルオフィスによる就業

テレワークの効果と政府の推進

テレワークを取り入れると、以下の効果があると言われています。

  • 働き方改革:就業体制の抜本的な見直し
  • 生産性向上:時間や場所にとらわれない効率的な業務の実施
  • 人材確保・育成:育児・介護で離職する優秀な人材の喪失機会を軽減
  • コストダウン:出社による交通費、オフィス利用費、顧客先への移動費の軽減
  • 事業継続(BCP):就業地を一点集中させないことによる地勢的リスクの分散化

これらの効果を見込んで、政府はテレワーク推進に積極的です。昨年の2017年7月24日は、総務省、経産省、厚労省、国交省、内閣官房、内閣府総務省による「テレワーク・デイ」が開催され、922もの団体が参加しました。2020年7月24日は東京オリンピックの開会式が予定されているので、毎年テレワークを呼びかけながら、交通機関の状況調査、エネルギーなどのインフラの確認、アンケートを行い、効果を検証するということです。なお今年、2018年は7月23日~27日と日程を広げた「テレワーク・デイズ」となっています。駅にポスターなんかも貼られていますね。

テレワークの基本的な4つのリスク

テレワークを実施するには、必要なインフラの整備と同時に、セキュリティリスクの考慮と備えが必要です。在宅勤務、モバイルワーク、サテライトオフィスでは以下のリスクが考えられます。

1.紛失、盗難のリスク

PCを社外に持ち運ぶのが基本ですから、紛失、盗難のリスクがあります。電車の網棚、タクシーなど、移動時は特に気をつける必要があるでしょう。また、シェアオフィスでは、複数の企業で同じワークスペースを共有し、周囲に見知らぬ方がいるケースもあり、USBメモリのような小物を誰かが持ち去ることも考えられます。


2.マルウェア、ランサムウェアの感染リスク

特に在宅勤務やモバイルワークのシーンでは、スマートフォンのテザリング、モバイルルータ、公衆Wi-Fiなどを利用してインターネットに接続することが多いです。その際、VPN経由でインターネット接続することを運用ルールとして設けているケースは多いでしょう。しかし、人ですから、うっかりVPNにログインし忘れてしまうこともあるでしょうし、意図的にVPNにログインしないかもしれません。このようにVPNにログインせず直接インターネットに接続してしまうと、社内のゲートウェイで実施しているセキュリティ対策が有効になりませんので、禁止しているWebサイトにもアクセスできるなど、マルウェア、ランサムウェアの感染リスクが増加します。


3.盗聴のリスク

2.の話に関連しますが、特にモバイルワークのシーンでは、公衆Wi-Fiを利用するケースがあります。公衆Wi-Fiの中には、通信が暗号化されていないものもありますので、盗聴されるリスクがあります。また、昨年、WPA2(Wi-Fi Protected Access 2)の脆弱性が発見されました。アクセスポイントの設置者が脆弱性対策のパッチ適用等を行っていなければ、攻撃者により通信が傍受されたり、通信が乗っ取られたりする可能性があります。


4.ログが取得できないリスク

こちらも2.の話に関連しますが、社外からスマートフォンのテザリングやモバイルルータ、公衆Wi-Fiを使って直接インターネットに接続した場合、社内のゲートウェイを通りませんので、アクセスログなどが取得されないリスクがあります。ログが取得されないと、ユーザーがクラウドストレージなどにデータをアップロードして、不正に情報を持ち出してしまったとしても、その事実にすら気がつかない、更に、気がついたとしても後から調査することさえできなくなります。


テレワークのセキュリティ対策の例(アシストの場合)

アシストでは、モバイルワークと在宅勤務を実施しています。PCの紛失、盗難対策としては、ハードディスクを暗号化しています。社外ネットワーク利用の部分では、ユーザーはそれぞれ会社から配布されたiPhoneのテザリングやモバイルルータを利用してネットワークに接続していますが、システム的に、VPN経由でないとインターネットに接続できない仕組みにしています。これにより、先に挙げている、マルウェアやランサムウェア感染のリスク、盗難のリスクやログが取得されないリスクに対応をしています。システムによって裏で守られているだけなので、ユーザーとしては、利便性が損なわれている感じはありません。セキュリティを意識せずテレワークの便利さを感じることができるのは、嬉しいことですね。

より詳細を知りたい方は、<アシスト事例:安全なリモートアクセス環境の実現により柔軟なワークスタイルを推進 >もご参照ください!


まとめ

いかがでしたでしょうか。テレワークの基本的なセキュリティリスクを知って、安全で効率的な働き方改革を一緒に実現しましょう!


長谷川 まり

株式会社アシストに入社以来十数年、セキュリティ対策製品担当として活動中。

売れない小説家だった祖父の影響で文章を書くことが好き。
「役に立つ人間になる」をモットーに、日々真面目で丁寧な仕事を心がけている。

関連している記事

  • エンドポイントセキュリティ
  • サイバー攻撃
  • 認証
2020.12.11

ゼロトラスト基準の権限管理とは?ファイル保護にゼロトラストを採り入れたい理由

企業のサーバには、重要なシステムファイルや機密情報を含むファイルが数多く存在します。今回は、ファイル保護と言う観点にゼロトラスト基準を採り入れた、アクセス権限管理の考え方をご紹介します。

  • エンドポイントセキュリティ
  • テレワーク
2020.12.08

リモート業務の管理には動画ログの取得がお奨めな理由

いわゆる「ニューノーマル」として、在宅勤務はもちろん、委託先によるリモートからのサーバ保守などが浸透しています。今回は、こういったリモート業務の管理面での不安や課題と、それらの解決策についてご紹介します。

  • エンドポイントセキュリティ
  • サイバー攻撃
  • ID管理
  • 認証
2020.11.27

IDaaSとは?(1)IDaaSが必要になった背景

SaaS、IaaS、PaaSなど、製品機能のサービス化が進んでいます。もはや「なんでも・アズ・ア・サービス」の様相を呈していますが、最近特に注目されているのがIDaaSです。今回はその背景についておさらいしてみましょう。

プロフィール


長谷川まり
セキュリティ製品を担当。お客様からの信頼も厚い、お姉さん的存在。

ページの先頭へ戻る