テレワークや在宅勤務における情報セキュリティ対策の現状と論点

Size: px

Start display at page:

Download "テレワークや在宅勤務における情報セキュリティ対策の現状と論点"

よしたかうすい
5 years ago
Views:

1 テレワークや在宅勤務における情報セキュリティ対策の現状と論点技術動向レポートテレワークや在宅勤務における情報セキュリティ対策の現状と論点経営 IT コンサルティング部シニアマネジャー冨田高樹東日本大震災で改めて注目されたテレワークや在宅勤務であるが情報セキュリティ対策が用意されリスクを抑制できるようになった一方で業務の特徴に応じて自社に最適な導入方法を検討する必要があるはじめに ICT( 情報通信技術 ) を活用することでオフィスに限らず場所や時間にとらわれない柔軟な働き方を可能とするテレワーク ( 在宅勤務を含む ) が着実な普及を示している国土交通省が2013 年 4 月に公表した平成 24 年度テレワーク人口実態調査によれば在宅型テレワーカーの人口は前年度からほぼ倍増の930 万人 1 日 8 時間以上テレワークを行うテレワーク人口も1,400 万人と推計されている ( 図表 1) また 2013 年 9 月に公表されたIDC Japan 株式会社による国内テレワーク関連 ICT 市場予測でも 2012 年において労働力人口の 21.2% がテレワークを行っているとの調査結果が示されている東日本大震災による電力供給リスクの顕在化をきっかけにオフィスの節電や事業継続の手段としても注目を集めるようになったテレワークであるが電力供給が逼迫化した時期が過ぎてからも多様な働き方の実現手段として引き続き導入の動きが盛んであることがわかる図表 1 在宅型テレワーク人口の推移 ( 資料 ) 国土交通省平成 24 年度テレワーク人口実態調査 (2013 年 ) 29

2 一方でテレワークの導入に慎重となる理由として情報セキュリティ対策への不安を挙げる意見も依然として多い 1 年前の平成 23 年度テレワーク人口実態調査ではテレワーク実施に対するデメリット不安感を尋ねておりこの中で情報セキュリティの確保に不安があるとの回答者は全体の4 割を超えているこうした中総務省では2004 年に策定し改訂を経て公開されているテレワークセキュリティガイドラインを最新の ICT 技術の進展や端末利用状況の変化を踏まえた第 3 版として改訂し 2013 年の3 月に公表したまた多くの情報セキュリティサービス事業者が参加する特定非営利活動法人日本ネットワークセキュリティ協会 (JNSA) では東日本大震災の直後にいわばなしくずし的に在宅勤務の導入が進もうとしている状況に鑑みテレワーク等における情報セキュリティ対策の普及のためのガイドブックの公開を目的として 2011 年度から2012 年度の2 年間にわたって在宅勤務における情報セキュリティ対策検討ワーキンググループを設置し筆者がリーダーを務めた以下では企業がこうした情報を活用しつつ安全なテレワークを導入実施するにあたり情報セキュリティ対策として検討すべき事項と現状における論点について紹介したい 1. テレワークの目的と方法に応じた要件テレワークと一言でいってもその方法にはテレワークの目的に応じて様々な種類がある総務省ではテレワークの形態を在宅勤務モバイルワーク施設利用型勤務の3 種類に分類しているこのように種類が異なれば情報セキュリティにおける脅威と対策も異なるためまずはテレワークの目的に応じた特徴とその目的実現のために担保すべき要件について整理したい 1 仕事と家庭における育児や介護等を両立させる在宅勤務はこれまでこうした目的で行われることが大半であったこの目的の場合自宅で作業ができることが要件となる一方オフィス内での作業と切り分けを行うことでテレワークに適した作業のみを自宅で行うなどの調整は可能である場合が多い 2 通勤の負荷を軽減するこの目的を実現する手段として 1で示した在宅勤務のほか施設利用型勤務が利用される施設利用型勤務とは自宅近くのテレワークセンター ( サテライトオフィスともいう ) において作業を行う方法である施設利用型の場合はテレワークセンターにおいて作業を行うことが要件となるこの目的の場合も必要に応じてオフィスに出勤して作業する等の調整は可能な場合が多い 3 外出中や移動時間に効率的に作業を行うモバイルワーク型のテレワークが利用されるこの目的でテレワークを行う場合移動中を含めてどこでも作業ができることが要件となる作業場所の特徴 ( 利用できる通信手段周囲における他者の有無等 ) に応じて作業の内容をある程度調整することは可能である 4 事業継続能力を高める東日本大震災後に注目されているテレワークの用途である事業継続の必要性は阪神大震災の際にも指摘されているが最近の ICTの発展によりテレワークを通じて実用レベルでの対応が可能となったことがこの傾向を後押ししている事業継続目的の場合 1~3の場合と異なりテレワーク先において事業継続に必要なすべての作業ができることが求められこれが要件となる 30

3 テレワークや在宅勤務における情報セキュリティ対策の現状と論点 2. テレワークのリスクに応じた情報セキュリティ対策テレワークで最も懸念されるのが外部への情報漏えいに関するリスクであろうオフィス内の閉じた空間に情報を閉じ込めておく場合と比較して書類や PCに格納して持ち出したりインターネット等の情報通信ネットワーク経由で送ったりといった違いはあるにしてもオフィスの外部に情報を持ち出すことで情報の漏えいの可能性は高まるこのリスクに対処するために現在用いられている代表的な対策について紹介する (1) シンクライアントの導入情報漏えいを防ぐには情報を持ち出さなければよいこれを実現するのが一般にシンクライアントと呼ばれる製品であるこれはパッケージソフトウェアやUSBメモリ状の形態で提供されテレワーク先のPCやスマートフォン等で専用のアプリケーションを動作させることで情報通信ネットワークを通じてオフィスのサーバ等に格納されている電子ファイルを閲覧したり編集するものである閲覧や編集といっても電子ファイルそのものをテレワーク先に送るのではなく作業中の画面の映像を送ってくるだけなので作業が終わったらシンクライアントを終了すればテレワーク先には何も残らないネットワークの経路上では暗号化された形で送信されるため仮に盗聴されたとしても作業内容を把握することは困難であるこの方法であれば紙媒体を持ち出すよりもむしろ安全であると理解していただけると思う反面この方法を導入するには作業している間はオフィスとの接続を連続的に行う必要がある交通機関の中から無線で接続する場合のようにときどき接続が途切れるような条件では作業上のストレスがたまるまたオフィスに設置されたサーバが止まってしまうとテレワーク先では何もできないこうした特徴を踏まえると前述の1~4の用途の中では1 2 に適した方法といえる 3の場合は移動中の作業は行わないと割り切れば導入可能である 4の目的の場合オフィスとは別の場所にバックアップ用のサーバを設置することでオフィスにおける作業が不可能な事態においても事業を継続することができる (2)PCの暗号化とVPN(Virtual Private Network) の導入上述のシンクライアントを導入できない場合はテレワーク先のPCなどに業務用の電子ファイルを保存した上で作業をすることになるため 1~4のいずれの目的ともこの保護のための対策を講ずる必要があるまず PC の紛失や盗難に備え PCのハードディスク (SSDでも同様) を暗号化することが望ましい Microsoft Windows 8ではProfessional 以上のエディションでハードディスク全体を暗号化する機能 (BitLocker) を提供するようになり追加コストを投入することなく暗号化を行えるようになった一方 VPNはテレワーク先とオフィスの間に暗号化された仮想的な専用線に相当する通信機能を実現するもので公衆無線 LAN のアクセスポイントなど十分なセキュリティが確保できないと考えられる経路で通信を行う場合の情報漏えい防止対策として重要であるテレワーク先からの接続がすべてこのVPN 経由となるように設定しておけば通信経路上の情報漏えいを心配する必要がなくなる (3) プライバシーフィルターの導入これは他人の視線のある中で作業を行うモバイルワークの場合においてのみ考慮すべき事項 31

4 であるただし単にプライバシーフィルターを導入するだけでなく他者から覗かれにくい作業スタイルを確保することを習慣づける必要があるまた企業ロゴの入ったプレゼンテーション資料などは遠くから瞬間的に見るだけでもおおよその内容がわかるのに対して表計算アプリケーションのワークシートなどは遠目には何の数字であるか全く分からないなど覗き見を通じた情報漏えいの生じにくさにも差があるため状況に応じた作業の選択等を工夫することが望ましい (4) 従業員への教育テレワークを行う従業員に対して定期的に情報セキュリティ上の脅威や対策に関する最新動向について教育を行うことも重要な対策のひとつである特に最近の標的型攻撃のように関係者を装った電子メールを送ることが攻撃の手段となっている場合周囲に人がいて何か怪しくないか? と確認できるオフィスよりも一人で判断しなければならないテレワーク先の環境のほうが攻撃が成功する可能性が高いと考えられるこうした教育の機会を通じてテレワークをより効率よくかつ安全に行う方法を共有することができるとなおよい 3. テレワーク導入にあたっての論点こうした対策を講じることでテレワークによる情報セキュリティ上のリスクを実用上問題ない程度に抑制することは十分に可能でありこの結果として冒頭に示したようなテレワークの導入に至っているわけであるしかし新たにテレワークを導入する際にはそれぞれの企業において情報セキュリティの観点から検討すべき論点が存在するすでに導入している企業はそれぞれで方針を見いだしているがある企業における最適解が別の企業にもあてはまるものではない (1) 端末を配布するかBYODか最近 BYOD(Bring Your Own Device: 従業員の私物 ICT 機器の持ち込み利用 ) が話題となっているテレワークの場合は職場に持ち込むわけではないので厳密にはBYOD ではないがテレワークを私物で行う可能性についても BYOD を拡大した形で議論されている私物を利用する場合のメリットは言うまでもなく企業側でテレワーク端末を準備する必要がないことである前述したシンクライアントを用いて作業を行うようにすれば私物機器上で情報を管理する必要もないただし私物の場合はどのようなアプリケーションをインストールしているかをコントロールできないこの結果最悪の場合標的型攻撃を通じてテレワーク用機器にキーロガー ( ユーザがキーボードからどのような入力をしたかをすべて記録するアプリケーション ) をインストールされる可能性があるこうなると少なくともユーザがどのような文章を入力したかを攻撃者に知られてしまうことになる企業から端末を配布する場合はユーザによるアプリケーションのインストールを不可能に設定することでこうしたリスクを回避することができる筆者が把握した範囲では大企業におけるテレワーク導入の際は企業において調達した端末を利用する傾向が強く中小企業においては端末の導入コストがネックになるのか私物の利用例がみられるただし近年のタブレット端末の価格低下により将来的にはこうした傾向が変わる可能性もある (2) クラウドコンピューティングを活用すべきかテレワークの方法とは関係ないがテレワークを行うことでオフィス側の情報セキュリティ 32

5 テレワークや在宅勤務における情報セキュリティ対策の現状と論点対策を見直す必要が生ずる場合がある一般に企業等が設置するファイアウォールにおいては電子メールなどの例外を除き社内から社外へのアクセスは認めてもその逆は認めないのが普通である一方前述のシンクライアントを導入するとなると社外から社内向けのアクセスを許可する必要が生ずるこれが直ちに情報セキュリティ上の問題を生じさせるわけではないがシンクライアントからの接続を装った攻撃が行われる可能性もあり企業側で新たな対策が必要となる一方クラウドコンピューティングサービス ( 以下クラウドサービス ) を用いてテレワーク用の端末を構築する場合はこうした対策は不要である事業継続の観点からもクラウドサービスを利用することでオフィスに設置したサーバが利用可能となるような状況でもテレワーク端末を通じて事業を継続できるメリットがある一方でクラウドサービスを利用する場合当然そのコストが発生するほかクラウドサービス自体の保護についても検討する必要がありトータルコストで考えるとクラウドサービスの導入がつねに有利とは限らないなおこうしたクラウドコンピューティングの活用については前述した総務省のテレワークセキュリティガイドライン ( 第 3 版 ) で詳しく説明されているので参考にして欲しい (3) ペーパーレス化をあわせて行うべきかシンクライアントの場合テレワーク先には情報が一切残らない形で作業ができることは既に述べた通りであるしかし手元に紙の資料を置いて作業をしているのであればそれが情報漏えいの原因となりうるオフィスでは従来通り紙文書を参照しながら作業をしているとしてもテレワーク先ではペーパーレスで作業が行えることが望ましいただしこれを実現することは決して容易ではない画面上で文書を参照しながら別の文書を作成する場合快適に作業を行うには比較的大きな画面が必要となり安価なタブレット端末ではこの役割を果たせない可能性があるまたペーパーレスに慣れていない従業員にはテレワークでは作業しにくいという印象を与える恐れもある一方で紙媒体に対してテレワーク先での施錠保管等を求めることも従業員にとっては負担でありペーパーレスのほうが望ましいと考える従業員も少なくないものと想定されるテレワークにおいて紙媒体の併用を認めるかどうかは業務の内容を踏まえつつ最も負担の少ない方法についてテレワークに従事する従業員と協議することが望ましい 4. おわりに以上企業がテレワークを導入実施するにあたって考慮すべき情報セキュリティ対策の考え方と現状における論点について紹介した最新の情報セキュリティ対策を導入することで紙媒体の資料を持ち帰るよりもむしろ安全に作業を行うことのできる環境は整っており情報セキュリティ上のリスクを理由にテレワークを業務の実施方法の選択肢から除外するのはもはや合理的とは言えなくなっている限られたリソースの中でのワークライフバランス事業継続等の実現手段としてテレワークの活用可能性につき今一度検討していただければ幸いである参考文献 1. 国土交通省平成 24 年度テレワーク人口実態調査 (2013 年 ) toshi02_hh_ html 2. IDC Japan 株式会社国内テレワーク関連 ICT 市場予測 (2013 年 ) Apr.html. 33

6 34 3. 国土交通省平成 23 年度テレワーク人口実態調査 (2012 年 ) toshi02_hh_ html 4. 総務省テレワークセキュリティガイドライン ( 第 3 版 ) (2013 年 ) joho_tsusin/telework/18028_03.html 5. 特定非営利法人日本ネットワークセキュリティ協会オフィスの節電と在宅勤務における事業継続情報セキュリティ対策ガイドブック (2012 年 ) html

CONTENTS 1. テレワーク導入における課題 2. 総務省テレワークセキュリティガイドラインについて 3. 技術制度人に関する情報セキュリティ対策例 4. 情報へのアクセス方法とその特徴 5. マネジメント ( 労務管理等 ) の対策 2

情報通信技術面における留意点 ~ テレワーク導入時のセキュリティマネジメントのポイント ~ Flexible Work, Flexible Business, Flexible Life. 株式会社テレワークマネジメント鵜澤純子 CONTENTS 1. テレワーク導入における課題 2. 総務省テレワークセキュリティガイドラインについて 3. 技術制度人に関する情報セキュリティ対策例 4. 情報へのアクセス方法とその特徴