在宅勤務時のセキュリティ対策で押さえるべきポイント - ジンジャー(jinjer)|人事データを中心にすべてを1つに

在宅勤務時のセキュリティ対策で押さえるべきポイント - ジンジャー(jinjer)|人事データを中心にすべてを1つに

在宅勤務時のセキュリティ対策で押さえるべきポイント - ジンジャー(jinjer)|人事データを中心にすべてを1つに

在宅勤務時のセキュリティ対策で押さえるべきポイント

在宅勤務時のセキュリティ対策

在宅勤務では、出社の手間が省ける、家事や育児との両立がしやすくなるなど、特に従業員にとっては数々のメリットがあります。
また勤務形態を多様化することで人材確保にもつながり、企業側としても積極的に取り入れるべき施策でもあるでしょう。

昨今は感染防止や働き方改革の影響もあり、労働環境も柔軟に変えていくしかないのが現状です。

しかし在宅勤務を取り入れるには、さまざまな準備も欠かせません。
その中でも重要なのが、十分なセキュリティ対策です。

在宅勤務では個々の管理が難しくなるからこそ、セキュリティ面を万全にしておかなければ、大きなトラブルを引き起こす可能性は高くなります。

それでは実際に在宅勤務のセキュリティ対策では、どのような注意が必要なのかポイントをおさえていきましょう。

▼在宅勤務・テレワークについて詳しく知りたい方はこちら
在宅勤務の定義や導入を成功させる4つのポイントを解説

【テレワークの勤怠管理や社内ルール整備にお悩みの方へ】

新型コロナウイルスの蔓延によって急激に普及したテレワークですが、「急に始めたので、ルールがしっかりと整備できていなかった。もう一度見直してしっかりとルール化したい」などのお悩みも発生しているのではないでしょうか。

そのようなお悩みをお持ちの人事担当者様に向け、テレワークで発生しやすい課題とその解決策や整備すべき社内ルールをまとめた資料を無料で配布しております。

テレワークのルールをきちんと整備しなおしたい方は、ぜひこちらから「テレワークの課題解決方法ガイドBOOK」をダウンロードしてご覧ください。

テレワークebook

1. 在宅勤務でセキュリティ対策が求められる理由

システムが様々なものとつながっている様子

在宅勤務は通常のオフィスとは異なるセキュリティリスクが潜んでいます。そのため、セキュリティ対策が求められます。例えば、自宅のネットワークはオフィスと異なりセキュリティ対策が不十分な傾向にあるため、悪意あるユーザーが不正アクセスをしてくる可能性があるでしょう。

また、会社の大切な資料が入ったノートPCやタブレットなどのデバイスを紛失するリスクも考えられます。セキュリティ対策が疎かだったことで情報流出などにつながった場合、会社の信頼に影響を及ぼしかねません。そのため、在宅勤務であっても入念なセキュリティ対策が求められます。リモート環境では、社外のネットワークを利用する頻度が増え、従業員がカフェや公共の場所で業務を行うことも多くなります。こうした状況では、フィッシングサイトへの誘導や、不正なWeb会議システムへの攻撃といったリスクにさらされることが容易に考えられます。

したがって、テレワークの安全性を確保するためには、先に述べた「総合的なセキュリティ対策」を実施することが重要です。具体的には、明確なセキュリティガイドラインの策定や、安全なデータの取り扱いについての教育が必要です。特に、従業員一人ひとりが情報セキュリティの重要性を理解し、ルールを守るための環境づくりをすることが企業として求められています。定期的な研修や情報共有を行うことで、常に最新の脅威に対処できるようにすることも肝要です。

このように、在宅勤務におけるセキュリティ対策は単なる義務ではなく、企業全体の安全を守るための重要な施策として位置づけられます。従業員が安全で快適に業務を行える環境を整えることで、テレワークのメリットを最大限に引き出し、信頼のある企業としての姿勢を示すことができます。

2. 在宅勤務のセキュリティ対策で最低限押さえたいポイント

セキュリティ対策のポイント

まずは在宅勤務におけるセキュリティ対策として、通常時にも適用すべき部分も含めて、日常的におこなっておきたい注意点を解説します。

2-1. 在宅勤務におけるルールの周知

オフィスから離れて、通常とは異なる環境で仕事を進める際には、さまざまなリスクが想定されます。
例えば公衆の無料Wi-Fiを使うことで機密情報が傍受されたり、不審なアプリケーションをインストールして悪意のあるプログラムが入り込んだりなどです。

在宅勤務ではどうしても個人の判断に左右されやすくなり、故意的ではなくても危険な行動をしてしまいがちです。個々の動きが分かりづらくなるからこそ、在宅勤務でのルールは十分に周知しておくことが欠かせません。

会社が指定したネットワークやツールを利用するといった、基本からしっかりと伝えておきましょう。特に、セキュリティを強化するための具体的な行動規範やガイドラインを設けることが大切です。例えば、文書やデータの取り扱いに関する具体的なルールや、必ず使用すべきVPNやウイルス対策ソフトに関する明示的な指示などが考えられます。

さらに、定期的な研修やワークショップを通じて、これらのルールの重要性を訴えることも重要です。従業員が具体的な実践例を共有し合うことで、互いに注意喚起を促す環境を作ることができます。

また、従業員がリモート環境で業務を行う際、セキュリティ意識の浸透が不可欠です。ルールの順守を促すためには、社内でのコミュニケーションや、例えばセキュリティに関する定期的なポスターの掲示やイントラネットでの情報更新も有効です。このように、常に意識を高めるための努力が、企業全体のセキュリティレベルを向上させるためのカギとなります。

2-2. 在宅勤務で使用する端末の管理の徹底

在宅勤務では社内の端末を貸し出すケースもあれば、自宅で用意したパソコンなどを使うケースもあります。そのため場合によっては業務に使用する端末にて、必要なセキュリティソフトなどが入っていなかったり、メーカーサポートが終了していたりする例も少なくありません。

こうした脆弱性の第三者からの攻撃を防ぐためにも、各端末は徹底した管理が必要です。また誰がどんな端末を使っているのかリストアップしておくことで、より万全の管理につながります。

さらに、端末管理には定期的なチェックが不可欠です。特に、アプリケーションのアップデートやウイルス対策ソフトの状態について、状況を把握しておくことが重要です。これにより、セキュリティリスクを早期に発見し、対応することが可能となります。

状況に応じてアクセス制限なども施しながら、より安全な業務遂行を促すことが重要です。例えば、特定のデータにアクセスできるのは特定の従業員のみとすることで、情報漏洩のリスクを減らす効果があります。また、在宅勤務をしている従業員一人ひとりに対して、端末の安全な使い方についての教育やマニュアルの提供も有効です。

このように、端末の管理が徹底されることで、在宅勤務環境における全体のセキュリティレベルを向上させることが可能になります。

2-3. ソフトやOSなどは最新の状態を維持する

セキュリティソフトやOSは、常に最新の状態でなければ脆弱性が悪用される危険が高まります。
そのほかにもVPN製品・クラウドサービス・在宅勤務者の無線ルーターなど、テレワークを取り巻く各種ツールは、すべて恒常的に最新の状態にアップデートしておかなければなりません。

バージョンの古さが狙われるケースは非常に多いので、定期的なチェックも欠かさずおこなう必要があります。

このように、適切なセキュリティ対策を講じるためには、最新のソフトウェアやOSを用いることが基本となります。特に、サイバー攻撃の手法は日々変化しているため、常に情報を更新し、それに応じた対策を講じることが重要です。

また、企業内で使用する全てのデバイスに対して、同様の更新管理を行うことで、セキュリティの一貫性を保つことができます。これにより、無用なリスクを未然に防ぎ、テレワーク環境における業務の安全性を高めることが可能となります。

2-4. パスワードの強化

社内のシステム・クラウドサービス・ネットワーク接続など、さまざまな場所でセキュリティ対策としてパスワードを設定しますが、あまりに短かったり分かりやすかったりするものは危険です。

例えばランダムに文字列を打ち込んで不正アクセスを試みるケースもあるため、できるだけ複雑に設定しておかなければなりません。
なおかつ定期的な更新や多要素認証を取り入れることで、なるべくパスワードを強化しておきましょう。

また、従業員に対してパスワード管理の重要性を教育し、安全に保管する方法を周知することも必要です。パスワードを一元管理できるパスワードマネージャーなどのツールを活用することも、良いセキュリティ対策と言えます。

さらに、同じパスワードを複数のアカウントで使い回すことは避け、アカウントごとに異なるパスワードを設定することが望ましいです。これにより、もし一つのアカウントが侵害された場合でも、他のアカウントが守られる可能性が高まります。

2-5. バックアップの保護

在宅勤務でなくても、システムの不具合などでデータが壊れるケースは少なくありません。
また状況に応じて在宅勤務と出社を使い分けているときには、端末を持ち運ぶ機会も多くなります。

場合によっては紛失の可能性もあり、データを十分に保護しておくことも不可欠です。
きちんと重要なデータを守るためにも、USBといった外部記憶媒体にバックアップを取っておき、さらに暗号化などによって万全の対策をしておくのがベストです。

さらに、クラウドストレージサービスを利用して定期的に自動バックアップを行うことも効果的です。これにより、物理的なデバイスの損失や故障に依存せず、データを安全に保存できます。バックアップの頻度についても注意が必要です。業務上重要なデータは、リアルタイムまたは定期的にバックアップを新たに作成し、必要な時にすぐアクセスできるような体制を整えておくことが重要です。

また、バックアップに関するルールや手順を文書化し、従業員全員がその内容を理解し遵守するように教育を行うことも忘れてはなりません。特に、在宅勤務者が多い場合、効果的なデータ管理のための意識を高めることが求められます。

3. 在宅勤務で想定されるセキュリティ事故

セキュリティ事故

もし万全のセキュリティ対策ができていないと、実際にどういった危険にさらされるのでしょうか。
ここからはIPA(情報処理推進機構)が発表している資料「情報セキュリティ10大脅威 2021」をもとに、セキュリティ事故の事例をご紹介していきます。

3-1. 機密情報の漏えい

先ほども出てきたように、適切でない通信回線から機密情報を盗み見られたり、社内システムに侵入されてデータを盗まれたりなどの事例が発生しています。
中にはWeb会議をのぞき見される・電車で持ち帰っている時に端末を盗まれるといったケースもあり、セキュリティの穴を狙った、あらゆる手口による情報漏えいの危険があるのが現状です。

特にテレワーク中は、自宅の無防備なWi-Fiネットワークを経由して業務を行うことが多く、その脆弱性があらゆる攻撃にさらされています。

また、テレワークで使用するデバイスが不正アクセスやマルウェアによって感染することで機密情報が漏えいする可能性も高まります。このような背景から、情報セキュリティの意識を高め、一人ひとりがセキュリティ対策を適切に実行することが求められています。

3-2. ウイルス感染

例えば一つの端末にウイルスを感染させることで、社内システムの重要データを盗んだりネットワーク接続によって被害を蔓延させたりなどの事例が見られています。
さらにはウイルスによってシステムを壊す、開発中のソフトウェアにも感染させてユーザーを攻撃するといった、業務を直接的に妨害するなどの危険に起こりうるのです。

メールの添付ファイルのダウンロードやWebサイトへのアクセスによって、ウイルスに感染させるのが主流の手口です。

テレワーク中は特に、従業員が自宅のネットワーク環境で作業を行うため、セキュリティ対策が甘くなりがちです。このようなリスクを軽減するためには、ウイルス対策ソフトの導入や定期的なシステムのアップデートが不可欠です。また、従業員が業務で使用するデバイスについて、定期的なセキュリティチェックを行うことで、早期にウイルス感染の兆候を発見し対処することが可能となります。

さらに、ウイルスによる感染を防ぐために、不審なメールやリンクには決してアクセスしないよう、従業員への啓発活動を強化することも重要です。これにより、全体的なセキュリティ意識を高め、企業全体を守ることができるでしょう。

3-3. 詐欺・脅迫

不正アクセスによってメールアカウントの乗っ取りやなりすましがおこなわれ、自社の名前が架空請求の手口に使われるケースも多くあります。
さらに取引先を装って偽の請求書が送られてくる事例も見られており、自社が詐欺の被害者になってしまうトラブルもあるようです。

また最近増えてきているのが、ランサムウェアを使った脅迫です。
データを奪ったりシステムを停止させたりすることで、金銭と引き換えに復旧させる、機密情報を保護するなどと脅す手口です。

ランサムウェアについても、ウイルス感染と同じような経路で侵入してきます。

テレワーク中は特に無防備な環境で作業することが多く、従業員が不審なメールやリンクを見分けられない場合、こうした攻撃に簡単に引っかかる危険性が高まります。そのため、定期的な教育訓練を通じて、従業員に新たな脅威に対する知識を身につけさせることが必要です。

また、セキュリティソフトの導入をはじめとしたテクニカルな対策も必須になります。

4. 在宅勤務時のセキュリティ対策を万全にするための取り組み例

在宅勤務のセキュリティ対策の事例

それでは在宅勤務において抜かりなくセキュリティ対策をするためには、実際にどのような工夫をしておくと良いのか、取り組み例についても見ていきましょう。

4-1. セキュリティガイドラインの確認

テレワークを安全に実施するためには、総務省が公開している「テレワークセキュリティガイドライン」を確認することが有効です。このガイドラインには、セキュリティ対策の具体例や注意点が示されており、企業がテレワークを安心して導入・活用するための有益な情報が盛り込まれています。初版は2004年に公開されて以来改訂を重ね、最新の第5版が2021年5月31日に公開されたため、常に新しい脅威に対応した内容になっています。ガイドラインを参考にすることで、企業はより効果的なセキュリティ対策を実施できるようになります。

参考:テレワークセキュリティガイドライン(総務省)

4-2. 従業員向けのセキュリティ教育の実施

まずは在宅勤務でのセキュリティ対策の重要性をしっかりと理解し取り組む意欲を持ってもらえるよう、情報インシデントに関する研修を実施するのがベストです。ただルールを周知するだけでなく、きちんとその根拠を伝えることで、従業員側の意識も大きく変わるでしょう。この研修では、具体的な事例を交えることで、リスクの実態を身近に感じてもらうことが大切です。例えば、最近のフィッシング攻撃の手口や、社内における情報漏洩の事例を紹介することで、従業員が自分の行動を振り返り、危機意識を持つきっかけになります。

また仮に何かしらのトラブルが発生した場合に向けて、緊急対応のマニュアルを作成しておくのも一つの手です。被害を最小限に押さえるためにも、従業員一人ひとりに適切な措置を知っておいてもらうと良いでしょう。加えて、定期的な研修を行うことで最新の脅威に対する理解を深めていくことも重要です。社内でのコミュニケーションを活発にするためにも、意見交換の場を設けることが効果的です。

このようにして従業員が情報セキュリティに対する意識を高めることで、全体的なセキュリティレベルの向上につながります。従業員一人ひとりがリスクを理解し、適切に行動することで、企業全体の安全性を確保していくことが可能になります。

4-3. セキュリティ関連専用窓口の設置

もし不審なメールが届いたり、インストールして問題ないアプリケーションか迷ったりした場合に、すぐに相談しやすい専用窓口を設置しておくのも良い対策方法です。
トラブル時の迅速な対応にもつながるため、在宅勤務のセキュリティ対策専任のチームを組んでおくのがベストでしょう。在宅勤務に向けた事前のセキュリティ対策の準備も、よりスムーズに進められます。

また在宅勤務の導入前には就業規則の見直しも必要になるため、導入完了するまで数か月かかることを覚えておきましょう。導入完了までの必要工数が多いので、導入決断することは容易ではありませんが、従業員の離職率の低下や生産性の向上など、メリットも多くあることを踏まえてぜひご検討ください。

セキュリティ関連の専用窓口は、従業員が不安に思っていることを解消するための重要な役割を果たします。例えば、研修で得た知識を活かして具体的なアドバイスを行うことができ、セキュリティの意識を高めることにつながるでしょう。また、専用窓口を通じて、セキュリティに関する情報を定期的に発信することで、社員の意識を常に高く保つことが可能です。

当サイトでは、在宅勤務の導入によるメリットやデメリット、よくある悩みの解決方法を解説した「テレワーク課題解決方法ガイドBOOK」を無料で配布しております。在宅勤務の導入を検討中だがまだ不安な点があるというご担当者様は、こちらから資料をダウンロードしてご確認ください。

関連記事:在宅勤務の就業規則の在り方や見直しのポイントを解説

5. ”もしも”事故が起こってしまったときの対応も決めておく

セキュリティ対応

在宅勤務を行う上で、セキュリティ対策を徹底することは不可欠ですが、万が一の事故が発生した際の対応もあらかじめ考えておく必要があります。

テレワーク環境では、実際にセキュリティ被害に遭った時の対策が限られてしまうことがあります。ネットワークを切断することはまず必要ですが、その際にIT部門との連絡が取れなくなる場合もあるため、事前に具体的な行動計画を策定し、従業員間で共有しておくことが重要です。

例えば、ウイルス感染のリスクが高まった場合には、感染デバイスを使用し続けることは避けるべきです。これに対し、他の回線に切り替える選択肢もありますが、感染源となったデバイスは速やかに隔離し、専門家による点検が必須となります。

また、社員が被害を受けた際には、直ちに定められた連絡手順に従うことが必要です。これにより、現状を把握した上で、適切な対応を迅速に行うことができます。事故が起こってから慌てるのではなく、日頃から「もしも」といった想定をもとに対応方法を整理し、レポートラインを確立しておくことも、企業の体制として不可欠です。

加えて、機密情報を扱う自覚を持ちながら、適切なセキュリティ対策を実施することで、事故のリスクを低減することも求められます。セキュリティ対策だけではなく、事故発生時の対応策をしっかりと考慮しておくことで、より安全なテレワーク環境を築くことができるでしょう。

5-1. 事故の対応方法

万が一、情報セキュリティ事故が発生した際には、迅速な対応が求められます。混乱を避けるためには、事前に対応体制を整えておくことが重要です。事故発生時は以下のような手順で対応します。

1.事故の検知
2.事故の初動処理
3.事故の分析
4.復旧作業
5.再発防止策の実施

まずは、事故をいち早く検知することから始まります。定期的なログチェックや障害検知ツールを活用し、不審な状況を見逃さないようにしましょう。また、社外との通報窓口を設けておくことで、異常があれば速やかに報告を受けることが可能になります。もし事故が起きた場合、関連部署に迅速に連絡し、事前に決めた手続きに従って初動処理を行い、利用者に被害が及ぶ可能性がある場合は直ちに連絡を行うことが必要です。事故の分析や復旧作業、そして再発防止策の実施も欠かせず、情報セキュリティポリシーに反映させて教訓を生かすことが重要です。

参考:インシデントレスポンス体制整備(総務省)

6. 在宅勤務のセキュリティ対策は従業員との連携が大切

在宅勤務中の社員との連携

実際に、在宅勤務におけるセキュリティ対策の甘さを狙ったサイバー攻撃は増加しており、犯罪者の恰好のターゲットになっているのが現状です。
しかし従業員の中には、情報インシデントのリスクをあまり理解していない人も少なくないでしょう。

いくら管理者側が対策をしても、現場の従業員の意識が低ければ意味がありません。
より万全の体制を確立するためには、まず従業員との十分な連携を図り、セキュリティ対策の必要性を浸透させていくことが不可欠です。

【テレワークの勤怠管理や社内ルール整備にお悩みの方へ】

新型コロナウイルスの蔓延によって急激に普及したテレワークですが、「急に始めたので、ルールがしっかりと整備できていなかった。もう一度見直してしっかりとルール化したい」などのお悩みも発生しているのではないでしょうか。

そのようなお悩みをお持ちの人事担当者様に向け、テレワークで発生しやすい課題とその解決策や整備すべき社内ルールをまとめた資料を無料で配布しております。

テレワークのルールをきちんと整備しなおしたい方は、ぜひこちらから「テレワークの課題解決方法ガイドBOOK」をダウンロードしてご覧ください。

テレワークebook

OHSUGI

OHSUGI

クラウド型勤怠管理システムジンジャーの営業、人事向けに採用ノウハウを発信するWebメディアの運営を経て、jinjerBlog編集部に参加。営業時代にお客様から伺った勤怠管理のお悩みや身につけた労務知識をもとに、勤怠・人事管理や給与計算業務に役立つ情報を発信しています。

勤怠・給与計算のピックアップ

新着記事