東京五輪開催まで、あと5カ月となった。7月24日から8月9日までの大会期間中、首都圏を中心に交通の混雑が予想される。これに伴い、首都圏の企業では通勤が困難になることから、その解決策として、政府はテレワークを推奨している。

テレワークを導入するとなると、システムの準備、労務管理の見直しなどを行う必要が出てくるが、セキュリティ上の不安から、テレワーク導入に踏み切れない企業も多いのではないだろうか。

そこで本稿では、テレワークに対するセキュリティ対策を検討する上で参考になると思われる、総務省が公開している「テレワークセキュリティガイドライン」のポイントを紹介する。

テレワークにおけるセキュリティの脅威とは?

最新の「テレワークセキュリティガイドライン」は、2018年に公開された第4版である。第4版では、クラウドサービスを利用する場合の対策、無線LANの脆弱性対策などが追加されている。また、具体的な対策については、「実施するべき基本的な対策」(基本的対策事項)と、「実施することが望ましい対策」(推奨対策事項)に分かれており、優先すべき対策がわかりやすくなっている。

ガイドラインでは、テレワークは、インターネットを経由した攻撃を防御する対策がなされたオフィスと異なり、マルウェアなどの感染、端末や記録媒体の紛失・盗難、通信内容の盗聴などの「脅威」にさらされやすいと指摘している。

  • テレワークにおける脅威と脆弱性について 資料:総務省「テレワークセキュリティガイドライン(第4版)」

    テレワークにおける脅威と脆弱性について 資料:総務省「テレワークセキュリティガイドライン(第4版)」

こうした脅威に対し、「ルール」「人」「技術」のバランスがとれた対策を実施することがポイントとなるという。

また、テレワ―クを実現する手法は複数あるが、ガイドラインでは手法を6つに分けて、それぞれの手法に対するセキュリティ対策の考え方を示している。端末にデータが保存される場合はその管理が必要となり、また、オフィスの環境を遠隔操作する場合は、インターネット回線に操作性が左右されるなど、手法によって一長一短がある。

  • テレワークの6種類のパターン 資料:総務省「テレワークセキュリティガイドライン(第4版)」

    テレワークの6種類のパターン 資料:総務省「テレワークセキュリティガイドライン(第4版)」

BYOD、クラウドサービスのリスクは?

テレワーク導入時の課題の1つが、社外で利用する端末の整備だろう。会社が端末を貸与するか、社員の私用のPCを流用する「BYOD(Bring Your Own Device)」を認めるか。端末のコストだけを考えれば、BYODのほうが安く済む。しかし、私用端末を利用するとなると、追加のセキュリティ対策が必要になるほか、管理が不十分になるおそれがある。

ガイドラインでは、私用端末と相性がよいテレワークの手法として、「リモート デスクトップ方式」「仮想デスクトップ方式」「セキュアブラウザ方式」「ア プリケーションラッピング方式」の4種類を挙げている。これらの方式では、端末にデータが保存されないからだ。コストとリスクを考慮した上で、自社に適した端末を選択することが必須となる。

また当初は、「セキュリティが不安」と言われていたクラウドサービスだが、今では「自社でサーバを抱えるよりも安全」と評価されるようになり、あらゆる規模の企業で導入が進んでいる。テレワークの観点から見た場合、クラウドサービスはどんなインパクトをもたらす可能性が考えられるのだろうか。

ガイドラインでは、「(コスト、運用面に加え)テレワークの観点からも、クラウドサービスへの移行はメリットがある」としている。というのも、オフィス内のサーバをクラウ ドサービスに移行することで、従来、ファイアウォールに外部から内部にアクセスするためのポートを開ける必要があったが、これが不要になるからだ。

ただし、パブリッククラウドはインターネットからのアクセス を前提とするものであるため、外部からの攻撃を受けやすいことに留意しなければならないともアドバイスしている。パスワードを盗まれたら、当然、データも盗まれてしまうことになる。

加えて、無料で使えるクラウドサービス(Webメール、グループウェア、SNS)のアカウントを個人で取得してテレワークに活用するケースも増えているが、ここにも注意が必要だ。ガイドラインでは、注意点として以下を挙げている。

  • 個人アカウントでクラウドサービスを利用することで、私用PCに業務情報が意図せずに同期されてしまったり、無関係の第三者と共有されたりしてしまう危険性を把握しておく

  • 悪意の第三者による乗っ取りやなりすましを防止するため、個人で取得したアカ ウントも厳格なパスワード管理を行う

  • 無償の代償として、書き込まれた内容に応じた広告が表示された り、クラウドサービスの利用状況を統計的に分析した結果をクラウド事業者 がマーケティング情報として販売したりすることがあるが、こうした状況を避けたいのであれば有償サービスの利用を検討する