リモートワーク導入で懸念される上位事項は「情報漏えい」
リモートワークや在宅勤務を導入する際に、多くの人が心配するのが「情報漏えい」です。少なからず情報を社外へ持ち出す機会が増えるわけですから、リスクが上がるのは当然のこと。そのリスクをいかに軽減するか、事故を未然に防ぐためにはどうするかを、組織として周知徹底することが必要になります。
セキュリティ事故を防ぐには、ばらつきのある個人のモラルに頼るより、まず会社としてガイドラインを設けること、そしてそれをみんなが守れるように周知や教育を徹底することが大切になります。今回はセキュリティについて、経営者側と在宅勤務者側両方の視点から、必要な対策について解説します。
【経営者編】セキュリティレベルを下げずに在宅勤務するには?
まず経営者が取り組まなければならないことは、在宅勤務を考慮したセキュリティポリシーの作成です。それを踏まえた上で、下記の6つの対策について考えましょう。
1. 情報セキュリティ保全対策
在宅勤務のセキュリティ維持に関して、技術的な対策を講じる必要があります。具体的には、社内情報のレベル分けとそれぞれのアクセス制御、在宅勤務者へのセキュリティ教育、セキュリティ事故発生時の連絡・解決フローの構築です。最低限これらを設定し、定期的に実施状況を監査するようにしましょう。
2. マルウェア対策
リテラシー教育も必要ですが、同時に在宅勤務者が危険なサイトにアクセスできないように設定することも重要です。端末にアプリケーションをインストールする際は申請させる、全ての端末に最新のウイルス対策ソフトを適用しておく、OSやソフトウェアは常に最新バージョンにしておく、私用端末を利用する場合は、あらかじめ設けた情報セキュリティ対策の条件をクリアさせるなどが挙げられます。
3. 紛失・盗難対策
端末を貸与する場合は、台帳等を整備し常に個々の所在や利用者がわかるようにしておきましょう。
4. 重要情報対策
在宅勤務者が無線LANを使用する際の、セキュリティレベルの基準を設け、それを周知・徹底しておきましょう。
5. 不正侵入対策
事務所外で仕事をする人間がいるということは、社内システムへ社外からのアクセスが必要になるということです。そのための利用者認証の手段やアクセス方法を明確に定め、管理する必要があります。また、社内システムとインターネットの境界線には、ファイヤーウォールなどを設け、アクセス状況の把握や不要なアクセスの遮断を徹底するようにしましょう。強度の弱いパスワードは使えないようにするのも有効です。
6. 外部サービス対策
SNSやファイル共有サービス、クラウドサービス利用時に、パスワードや情報を抜かれるケースも多数存在します。利用に関するルールやガイドラインを整備して、その周知を徹底しましょう。
【従業員編】セキュリティレベルを下げずに在宅勤務するには?
1. 情報セキュリティ保全対策
在宅勤務者には、「会社の情報資産を管理している」という責任の自覚が必要となります。定められたルールを遵守し、その教育の場があれば積極的に参加するようにしましょう。また、セキュリティ事故発生時の連絡や解決のフローに関しては、常日頃よく確認し、瞬時に動けるようにしておくことも重要です。
2. マルウェア対策
会社から貸与された端末を利用する際は、OSやブラウザ、ウイルス対策ソフトのアップデートが常に最新のものであるかをチェックするようにしましょう。また、アプリケーションのインストールや外部サービスを利用する際は、担当者に報告する習慣を忘れずに。特にスマートフォンやタブレットなどの私用端末を利用する際は、脱獄等の不正改造をしないようにするモラルも大切です。
万が一マルウェアに感染してしまった、または疑わしいメールやファイルを開いてしまった場合は、速やかに管理者に申告しましょう。報告を怠ることは、事態を悪化させることになります。
3. 紛失・盗難対策
オフィス外に情報資産の原本を持ち出さないこと。そもそも機密性が求められるデータを個人的に管理しなければならない状況を作らないことが、最も安全です。端末自体の盗難に備えるのももちろんですが、USB等の記録媒体は小さく紛失しやすいので、使わない方が良いでしょう。
4. 重要情報対策
機密性が求められるデータを送信する際には必ず暗号化することを徹底してください。無線LANを利用する場合は、あらかじめ決められたセキュリティレベルに応じたサービス以外は使わないようにしましょう。また、第三者と環境を共有しながら作業する場合、端末の画面にプライバシーフィルターを装着するなど、画面の覗き見防止にも留意するのが無難です。
5. 不正侵入対策
パスワードやICカードなど、社内システムにアクセスするためのツールは厳重に管理しましょう。また、インターネット経由で社内システムにアクセスする際は、あらかじめ指定された方法のみを用いること、パスワードは第三者に推測されにくいものにすることなどが挙げられます。
6. 外部サービス利用対策
SNSを利用する際は、社内で定められたルールやガイドラインを遵守するようにし、社内情報に繋がるような内容を安易に投稿しないようにしましょう。また、ファイル共有サービスやクラウドサービスを利用する場合も同様です。内容や相手に気をつけ、用の済んだデータはクラウド上にも残さないようにこまめに削除することをおすすめします。
情報管理について意識の統一を
在宅勤務をする場合、情報管理については会社側がきちんとガイドラインを設けることも大切ですが、在宅勤務する従業員のモラルも問われることになります。上記の事項はもちろん、インターネットや情報の扱いに関するモラルについて、今一度再考し、会社内で一定のレベルまで意識を高めることをおすすめします。
会社としてのセキュリティ対策、こちらでもう少し詳細に解説しています。