テレワークや在宅勤務における情報セキュリティ対策の現状と論点 技術動向レポート テレワークや在宅勤務における情報セキュリティ対策の現状と論点 経営 IT コンサルティング部 シニアマネジャー冨田高樹 東日本大震災で改めて注目されたテレワークや在宅勤務であるが 情報セキュリティ対策が用意されリスクを抑制できるようになった一方で 業務の特徴に応じて 自社に最適な導入方法を検討する必要がある はじめに ICT( 情報通信技術 ) を活用することで オフィスに限らず場所や時間にとらわれない柔軟な働き方を可能とするテレワーク ( 在宅勤務を含む ) が 着実な普及を示している 国土交通省が2013 年 4 月に公表した 平成 24 年度テレワーク人口実態調査 によれば 在宅型テレワーカーの人口は前年度からほぼ倍増の930 万人 1 日 8 時間以上テレワークを行うテレワーク人口も1,400 万人と推計されている ( 図表 1) ま た 2013 年 9 月に公表されたIDC Japan 株式会社による 国内テレワーク関連 ICT 市場予測 でも 2012 年において労働力人口の 21.2% がテレワークを行っているとの調査結果が示されている 東日本大震災による電力供給リスクの顕在化をきっかけに オフィスの節電や事業継続の手段としても注目を集めるようになったテレワークであるが 電力供給が逼迫化した時期が過ぎてからも 多様な働き方の実現手段として 引き続き導入の動きが盛んであることがわかる 図表 1 在宅型テレワーク人口の推移 ( 資料 ) 国土交通省 平成 24 年度テレワーク人口実態調査 (2013 年 ) 29
一方で テレワークの導入に慎重となる理由として 情報セキュリティ対策への不安 を挙げる意見も依然として多い 1 年前の 平成 23 年度テレワーク人口実態調査 では テレワーク実施に対するデメリット 不安感 を尋ねており この中で 情報セキュリティの確保に不安がある との回答者は全体の4 割を超えている こうした中 総務省では2004 年に策定し 改訂を経て公開されている テレワークセキュリティガイドライン を最新の ICT 技術の進展や端末利用状況の変化を踏まえた第 3 版として改訂し 2013 年の3 月に公表した また 多くの情報セキュリティサービス事業者が参加する特定非営利活動法人日本ネットワークセキュリティ協会 (JNSA) では 東日本大震災の直後にいわば なしくずし 的に在宅勤務の導入が進もうとしている状況に鑑み テレワーク等における情報セキュリティ対策の普及のためのガイドブックの公開を目的として 2011 年度から2012 年度の2 年間にわたって 在宅勤務における情報セキュリティ対策検討ワーキンググループ を設置し 筆者がリーダーを務めた 以下では企業がこうした情報を活用しつつ 安全なテレワークを導入 実施するにあたり 情報セキュリティ対策として検討すべき事項と現状における論点について紹介したい 1. テレワークの目的と方法に応じた要件テレワークと一言でいっても その方法にはテレワークの目的に応じて様々な種類がある 総務省では テレワークの形態を 在宅勤務 モバイルワーク 施設利用型勤務 の3 種類に分類している このように種類が異なれば 情報セキュリティにおける脅威と対策も異なるため まずはテレワークの目的に応じた特徴と その目的実現のために担保すべき要件について整理したい 1 仕事と家庭における育児や介護等を両立させる在宅勤務はこれまでこうした目的で行われることが大半であった この目的の場合 自宅で作業ができること が要件となる 一方 オフィス内での作業と切り分けを行うことで テレワークに適した作業のみを自宅で行うなどの調整は可能である場合が多い 2 通勤の負荷を軽減するこの目的を実現する手段として 1で示した在宅勤務のほか 施設利用型勤務が利用される 施設利用型勤務とは 自宅近くのテレワークセンター ( サテライトオフィスともいう ) において作業を行う方法である 施設利用型の場合は テレワークセンターにおいて作業を行うこと が要件となる この目的の場合も 必要に応じてオフィスに出勤して作業する等の調整は可能な場合が多い 3 外出中や移動時間に効率的に作業を行うモバイルワーク型のテレワークが利用される この目的でテレワークを行う場合 移動中を含めて どこでも作業ができること が要件となる 作業場所の特徴 ( 利用できる通信手段 周囲における他者の有無 等 ) に応じて作業の内容をある程度調整することは可能である 4 事業継続能力を高める東日本大震災後に注目されているテレワークの用途である 事業継続の必要性は阪神大震災の際にも指摘されているが 最近の ICTの発展によりテレワークを通じて実用レベルでの対応が可能となったことがこの傾向を後押ししている 事業継続目的の場合 1~3の場合と異なり テレワーク先において 事業継続に必要なすべての作業ができること が求められ これが要件となる 30
テレワークや在宅勤務における情報セキュリティ対策の現状と論点 2. テレワークのリスクに応じた情報セキュリティ対策テレワークで最も懸念されるのが 外部への情報漏えいに関するリスクであろう オフィス内の閉じた空間に情報を閉じ込めておく場合と比較して 書類や PCに格納して持ち出したり インターネット等の情報通信ネットワーク経由で送ったりといった違いはあるにしても オフィスの外部に情報を持ち出すことで 情報の漏えいの可能性は高まる このリスクに対処するために 現在用いられている代表的な対策について紹介する (1) シンクライアントの導入情報漏えいを防ぐには 情報を持ち出さなければよい これを実現するのが 一般に シンクライアント と呼ばれる製品である これは パッケージソフトウェアやUSBメモリ状の形態で提供され テレワーク先のPCやスマートフォン等で専用のアプリケーションを動作させることで 情報通信ネットワークを通じてオフィスのサーバ等に格納されている電子ファイルを閲覧したり 編集するものである 閲覧や編集といっても 電子ファイルそのものをテレワーク先に送るのではなく 作業中の画面の映像を送ってくるだけなので 作業が終わったら シンクライアントを終了すれば テレワーク先には何も残らない ネットワークの経路上では暗号化された形で送信されるため 仮に盗聴されたとしても作業内容を把握することは困難である この方法であれば 紙媒体を持ち出すよりもむしろ安全であると理解していただけると思う 反面 この方法を導入するには 作業している間はオフィスとの接続を連続的に行う必要がある 交通機関の中から無線で接続する場合のように ときどき接続が途切れるような条件では作業上のストレスがたまる また オフィス に設置されたサーバが止まってしまうと テレワーク先では何もできない こうした特徴を踏まえると 前述の1~4の用途の中では1 2 に適した方法といえる 3の場合は 移動中の作業は行わないと割り切れば 導入可能である 4の目的の場合 オフィスとは別の場所にバックアップ用のサーバを設置することで オフィスにおける作業が不可能な事態においても事業を継続することができる (2)PCの暗号化とVPN(Virtual Private Network) の導入上述のシンクライアントを導入できない場合は テレワーク先のPCなどに業務用の電子ファイルを保存した上で作業をすることになるため 1~4のいずれの目的とも この保護のための対策を講ずる必要がある まず PC の紛失や盗難に備え PCのハードディスク (SSDでも同様) を暗号化することが望ましい Microsoft Windows 8ではProfessional 以上のエディションでハードディスク全体を暗号化する機能 (BitLocker) を提供するようになり 追加コストを投入することなく暗号化を行えるようになった 一方 VPNは テレワーク先とオフィスの間に暗号化された仮想的な専用線に相当する通信機能を実現するもので 公衆無線 LAN のアクセスポイントなど 十分なセキュリティが確保できないと考えられる経路で通信を行う場合の情報漏えい防止対策として重要である テレワーク先からの接続がすべてこのVPN 経由となるように設定しておけば 通信経路上の情報漏えいを心配する必要がなくなる (3) プライバシーフィルターの導入これは他人の視線のある中で作業を行うモバイルワークの場合においてのみ考慮すべき事項 31
である ただし 単にプライバシーフィルターを導入するだけでなく 他者から覗かれにくい作業スタイルを確保することを習慣づける必要がある また 企業ロゴの入ったプレゼンテーション資料などは遠くから瞬間的に見るだけでもおおよその内容がわかるのに対して 表計算アプリケーションのワークシートなどは遠目には何の数字であるか全く分からないなど 覗き見を通じた情報漏えいの生じにくさにも差があるため 状況に応じた作業の選択等を工夫することが望ましい (4) 従業員への教育テレワークを行う従業員に対して 定期的に情報セキュリティ上の脅威や対策に関する最新動向について教育を行うことも 重要な対策のひとつである 特に最近の標的型攻撃のように 関係者を装った電子メールを送ることが攻撃の手段となっている場合 周囲に人がいて 何か怪しくないか? と確認できるオフィスよりも 一人で判断しなければならないテレワーク先の環境のほうが攻撃が成功する可能性が高いと考えられる こうした教育の機会を通じて テレワークをより効率よくかつ安全に行う方法を共有することができるとなおよい 3. テレワーク導入にあたっての論点 こうした対策を講じることで テレワークによる情報セキュリティ上のリスクを実用上問題ない程度に抑制することは十分に可能であり この結果として冒頭に示したようなテレワークの導入に至っているわけである しかし 新たにテレワークを導入する際には それぞれの企業において情報セキュリティの観点から検討すべき論点が存在する すでに導入している企業はそれぞれで方針を見いだしているが ある企業における最適解が別の企業にもあてはまるも のではない (1) 端末を配布するかBYODか最近 BYOD(Bring Your Own Device: 従業員の私物 ICT 機器の持ち込み利用 ) が話題となっている テレワークの場合は職場に 持ち込む わけではないので厳密にはBYOD ではないが テレワークを私物で行う可能性についても BYOD を拡大した形で議論されている 私物を利用する場合のメリットは 言うまでもなく企業側でテレワーク端末を準備する必要がないことである 前述したシンクライアントを用いて作業を行うようにすれば 私物機器上で情報を管理する必要もない ただし 私物の場合はどのようなアプリケーションをインストールしているかをコントロールできない この結果 最悪の場合 標的型攻撃を通じてテレワーク用機器にキーロガー ( ユーザがキーボードからどのような入力をしたかをすべて記録するアプリケーション ) をインストールされる可能性がある こうなると 少なくともユーザがどのような文章を入力したかを攻撃者に知られてしまうことになる 企業から端末を配布する場合は ユーザによるアプリケーションのインストールを不可能に設定することで こうしたリスクを回避することができる 筆者が把握した範囲では 大企業におけるテレワーク導入の際は 企業において調達した端末を利用する傾向が強く 中小企業においては 端末の導入コストがネックになるのか 私物の利用例がみられる ただし 近年のタブレット端末の価格低下により 将来的にはこうした傾向が変わる可能性もある (2) クラウドコンピューティングを活用すべきかテレワークの方法とは関係ないが テレワークを行うことでオフィス側の情報セキュリティ 32
テレワークや在宅勤務における情報セキュリティ対策の現状と論点 対策を見直す必要が生ずる場合がある 一般に 企業等が設置するファイアウォールにおいては 電子メールなどの例外を除き 社内から社外へのアクセスは認めても その逆は認めないのが普通である 一方 前述のシンクライアントを導入するとなると 社外から社内向けのアクセスを許可する必要が生ずる これが直ちに情報セキュリティ上の問題を生じさせるわけではないが シンクライアントからの接続を装った攻撃が行われる可能性もあり 企業側で新たな対策が必要となる 一方 クラウドコンピューティングサービス ( 以下 クラウドサービス ) を用いてテレワーク用の端末を構築する場合は こうした対策は不要である 事業継続の観点からも クラウドサービスを利用することで オフィスに設置したサーバが利用可能となるような状況でも テレワーク端末を通じて事業を継続できるメリットがある 一方で クラウドサービスを利用する場合 当然そのコストが発生するほか クラウドサービス自体の保護についても検討する必要があり トータルコストで考えるとクラウドサービスの導入がつねに有利とは限らない なお こうしたクラウドコンピューティングの活用については 前述した総務省の テレワークセキュリティガイドライン ( 第 3 版 ) で詳しく説明されているので 参考にして欲しい (3) ペーパーレス化をあわせて行うべきかシンクライアントの場合 テレワーク先には情報が一切残らない形で作業ができることは既に述べた通りである しかし手元に紙の資料を置いて作業をしているのであれば それが情報漏えいの原因となりうる オフィスでは従来通り紙文書を参照しながら作業をしているとしても テレワーク先ではペーパーレスで作業が行えることが望ましい ただし これを実現する ことは決して容易ではない 画面上で文書を参照しながら別の文書を作成する場合 快適に作業を行うには比較的大きな画面が必要となり 安価なタブレット端末ではこの役割を果たせない可能性がある また ペーパーレスに慣れていない従業員には テレワークでは作業しにくいという印象を与える恐れもある 一方で紙媒体に対してテレワーク先での施錠保管等を求めることも従業員にとっては負担であり ペーパーレスのほうが望ましいと考える従業員も少なくないものと想定される テレワークにおいて紙媒体の併用を認めるかどうかは 業務の内容を踏まえつつ 最も負担の少ない方法についてテレワークに従事する従業員と協議することが望ましい 4. おわりに 以上 企業がテレワークを導入 実施するにあたって考慮すべき情報セキュリティ対策の考え方と 現状における論点について紹介した 最新の情報セキュリティ対策を導入することで 紙媒体の資料を持ち帰るよりもむしろ安全に作業を行うことのできる環境は整っており 情報セキュリティ上のリスクを理由にテレワークを業務の実施方法の選択肢から除外するのは もはや合理的とは言えなくなっている 限られたリソースの中でのワークライフバランス 事業継続等の実現手段として テレワークの活用可能性につき今一度検討していただければ幸いである 参考文献 1. 国土交通省 平成 24 年度テレワーク人口実態調査 (2013 年 ) https://www.mlit.go.jp/report/press/ toshi02_hh_000025.html 2. IDC Japan 株式会社 国内テレワーク関連 ICT 市場予測 (2013 年 ) http://www.idcjapan.co.jp/press/current/ 20130903Apr.html. 33
34 3. 国土交通省 平成 23 年度テレワーク人口実態調査 (2012 年 ) https://www.mlit.go.jp/report/press/ toshi02_hh_000019.html 4. 総務省 テレワークセキュリティガイドライン ( 第 3 版 ) (2013 年 ) http://www.soumu.go.jp/main_sosiki/ joho_tsusin/telework/18028_03.html 5. 特定非営利法人日本ネットワークセキュリティ協会 オフィスの節電と在宅勤務における事業継続 情報セキュリティ対策ガイドブック (2012 年 ) http://www.jnsa.org/result/2012/zaitaku_guide. html