テレワークと情報漏えい対策
TELEWORKテレワークとは
テレワークとは、インターネットなどの情報通信技術(ICT)を活用して、オフィスなど固定の場所に依存しないリモートワークなどによる柔軟な働き方のことです。
厚生労働省が提唱する「働き方改革」により、働く方々の個人の事情を考慮して、柔軟で多様な働き方を選べることが可能となる社会・世の中を実現することが掲げられています。
会社など固定の場所のみで働く場合、準備や移動時間が必要となります。介護や育児においても移動時間が削減できることのメリットは計り知れません。テレワークは生産性を向上させ、仕事やプライベートの柔軟性を高める働き方になります。
本サイトでは総務省テレワークセキュリティガイドラインを中心に、テレワークとセキュリティ対策に関してご紹介します。
テレワークの種類
場所に依存しない働き方を実現する
テレワーク・ハイブリッドワーク
テレワークにも複数の種類が存在し、複数箇所など場所にとらわれない働き方をハイブリッドワークとも呼ばれます。
- モバイルワーク: カフェ・車・電車・新幹線・飛行機などでの働き方です。
- 在宅勤務: 自宅や実家など住まいを中心とする働き方です。
- サテライトオフィス・コワーキング: 企業の支社やレンタルオフィス、コワーキングスペースなどによる働き方です。
- ワーケーション: ワーク(仕事)とバケーション(休暇)を組み合わせた用語です。旅行先で働いたりすることで時間の無駄を省きながらも休暇を楽しめる働き方です。
テレワークと情報漏えい
今後はオフィスワークとテレワークを融合した「ハイブリッドワーク」による新しい働き方が進むことが予測されます。これまで持ち出しが少なかったパソコンを持ち出したことにより、セキュリティの観点も考慮する必要があります。個人情報など重要なデータが保存されたパソコンを持ち出して利便性を高めることは、万が一盗難・紛失が発生した場合に第三者が不正アクセスすることで情報漏えいが発生する可能性があります。
企業は情報漏えいなどの脅威に備えて、セキュリティ対策の導入を進める必要性が求められています。
総務省テレワークガイドライン
総務省はテレワークにおけるセキュリティについてガイドラインと、中小企業等担当者向けテレワークセキュリティの手引き(チェックリスト)を公開しています。
企業等がテレワークを実施する際のセキュリティにおける不安を払拭し、セキュリティ対策の考え方や具体例などを公表しています。
【目的】
テレワークを取り巻く環境やセキュリティ動向の変化に対応
【想定読者像】
- システム管理者のほか経営層や利用者
- 中小企業を含む全企業
- 安心してテレワークを導入・活用するための指針
【目的】
- テレワーク方式を再整理
- クラウドやゼロトラスト等のセキュリティ上のトピック
- 立場それぞれにおける役割を明確化
引用:総務省テレワークセキュリティガイドライン(第5版)
テレワークの様々なガイドライン
テレワークに関連する資料やガイドラインを整理してご紹介します。
- 内閣サイバーセキュリティセンター(NISC)
テレワーク実施者の方へ(2020年3月)
テレワークを実施する際にセキュリティ上留意すべき点について
インターネットの安全・安心ハンドブック
テレワーク等への継続的な取組に際してセキュリティ上留意すべき点について
緊急事態宣言(2021年1月7日)を踏まえたテレワーク実施にかかる注意喚起について - 総務省
テレワークセキュリティガイドライン(第5版)
中小企業等担当者向けテレワークセキュリティの手引き(チェックリスト)(第2版)
テレワークセキュリティに係る実態調査
テレワークマネージャー相談事業
クラウドサービス提供における情報セキュリティ対策ガイドライン(第3版)
- 警視庁
テレワーク勤務のサイバーセキュリティ対策! - 個人情報保護委員会
テレワークに伴う個人情報漏えい事案に関する注意事項 - 一般社団法人JPCERTコーディネーションセンター(JPCERT/CC)
長期休暇に備えて 2020/04 - 特定非営利活動法人日本ネットワークセキュリティ協会(JNSA)
緊急事態宣言解除後のセキュリティ・チェックリスト - 一般社団法人ICT-ISAC
家庭内で安全快適に在宅勤務を行うためのリファレンスガイドの公開について - 一般社団法人日本テレワーク協会
テレワーク関連ツール一覧 第6.0s版
中小企業のテレワークに関するQ&A集
出典:IPA (独立行政法人情報処理推進機構セキュリティセンター)
非常に沢山の省庁や団体から発行されていることが分かります。
是非ご興味のあるガイドラインには目を通してみてください。
総務省テレワークセキュリティガイドラインのテレワーク方式
総務省のテレワークセキュリティガイドラインによると、テレワーク方式にもさまざまな方式が存在しています。
| No | テレワーク方式 | 解説(独自で解説を追加しています) |
|---|---|---|
| 1 | VPN方式 | PCからオフィスネットワークにVPN接続を行って業務する方法です。 昔から利用されている実績の多いアクセス方式で導入も手軽です。安全に利用するためセキュリティ設定やパッチなどメンテナンスが重要です。 |
| 2 | リモートデスクトップ方式 | オフィスに設置されたPCやサーバーのデスクトップ環境に接続して業務する方法です。 Windowsのリモートデスクトップサービス等の画面転送サービスを利用するアクセス方式です。接続先がPCの場合、オフィスとテレワークの2台の端末が必要です。 |
| 3 | 仮想デスクトップ(VDI)方式 | PCから仮想PCのデスクトップ環境に接続して業務する方法です。 物理PCではなく仮想PCを用意してアクセスする方式です。台数が多い場合に管理が便利ですが、初期コストが大きく大企業などで採用されるケースがあります。 |
| 4 | セキュアコンテナ方式 | テレワーク端末のローカル環境とは独立した仮想的な環境を設けて、仮想環境内でアプリケーションを動かし業務を行う方式です。 セキュリティを考慮した方式ですが、使用アプリケーションがセキュアコンテナ方式に対応するかの確認が必要です。 |
| 5 | セキュアブラウザ方式 | セキュアなインターネットブラウザを利用し、システム等にアクセスする方式です。 ファイルダウンロード制限などセキュリティを考慮した方式ですが、使用アプリケーションがセキュアブラウザ方式に対応するかの確認が必要です。 |
| 6 | クラウドサービス方式 | インターネット上のクラウドサービスにPCから直接接続し業務を行う方法です。 オンプレミス環境のシステムでなく、クラウドサービスを直接利用します。オフィスネットワークを経由しないことが可能であるため、セキュリティ上の対策が必要です。 |
| 7 | スタンドアロン方式 | テレワーク端末に必要なデータを保存して業務を行う方法です。 特別な機器やサービスも不要で、すぐにテレワークが実施できることが最大のメリットです。ローカルにデータを保存する事で利便性が低くセキュリティ対策も必要です。 |
出典:総務省 テレワークセキュリティガイドライン
既にテレワークが導入されている企業であっても、ご紹介したどれか1つだけのテレワーク方式で実現しているとは限りません。複数の方式が同時に使用されている場合もあります。
例えば、VPN方式でパソコンから社内ネットワークに接続し、その後リモートデスクトップなどの画面転送技術を用いてサーバーやPCに接続するなどを組み合わせています。
代表的なテレワーク方式
① VPN方式
- メリット
持ち出したPCからインターネットにて仮想的なトンネルを通り、安全に社内ネットワークに接続するという方式です。専用線による接続と異なりインターネットを利用することで、コストに優れています。
導入に関するハードルも低く、インターネットを使用した安全な通信方法として非常に多くの実績があります。 - デメリット
IT管理者はVPNルーター等のネットワーク機器を適切にメンテナンスする必要があります。特に脆弱性問題の修正や、外部から接続する為のパスワードなどを適切に管理しない場合、簡単に不正な第三者からアクセスされてしまう可能性があります。
VPNルーターの許容量を超える通信量が発生すると、ネットワーク接続ができないまたは不安定になり生産性を落とす可能性があります。持ち出したパソコンの盗難・紛失などの発生に備えて、リモートワイプ製品などの情報漏えい対策も推奨されます。
② リモートデスクトップ方式
- メリット
持ち出したPCからオフィスのWindowsパソコンやサーバーに対して、リモートデスクトップと呼ばれる方式にて遠隔にある端末の操作が簡単に可能です。オフィスにはサーバーまたはオフィスPCと、持ち出したPCの両方の端末が必要です。
コストも比較的抑えつつ、リモートから作業を行う上でも実績のある方式です。VPN方式で社内ネットワークに接続後、リモートデスクトップ方式で端末に安全に接続するなど組み合わせてより安全に利用されることがあります。 - デメリット
Windows OSに適切なライセンスが必要となります。ネットワーク通信が集中すると従業員の生産性を落とす可能性があります。
パソコンにはデータが保存できてしまう為、盗難・紛失などが発生に備えてリモートワイプなどの情報漏えい対策が推奨されます。
③ 仮想デスクトップ(VDI)方式
- メリット
オンプレミス環境のサーバー上に仮想デスクトップPCを配置し、業務を行う場合には端末から仮想デスクトップPCにネットワーク接続を行います。この方法では手元の端末にデータを保存させない運用が可能となり、一般的には大企業が採用するケースが見受けられます。 - デメリット
VDIの導入および運用やサポートにコストが多く発生します。
全ての従業員が外出先から仕事をする際には、ネットワークを画面転送しながら使用する必要があり、ネットワーク通信ができなければ仕事になりません。また、ネットワーク機器に通信が集中することで混雑が発生し、結果的に従業員の生産性を落とす可能性があります。
⑥ クラウドサービス方式
- メリット
クラウドサービス方式は、オフィスネットワークには接続せず、パソコンからインターネットを経由してクラウドサービスを利用する方式です。ファイルの保存はクラウドサービスを中心に行うことも出来ますし、ローカルPCに保存することも可能です。
具体的には、Microsoft 365・Box・SalesForce、Kintone・GmailなどのSaaS––形式のクラウドサービスを使用します。オフィスネットワークに接続しないため、ネットワークの集中時の影響が無くなります。 - デメリット
クラウドサービスはカスタマイズなどの柔軟性には乏しいため、オンプレミス環境で独自に利用した方が機能に優れる場合もあります。クラウドサービスは初期コストが少なく企業のキャッシュフローを改善しますが、従量課金や月額費用などコストは継続的に発生します。
持ち出したPCにもデータを保存する事が可能であり、PCの盗難・紛失時の情報漏えい対策が必要です。
⑦ スタンドアロン方式
- メリット
PCに全てのデータが保存しながらテレワークを実施する方式です。テレワークをするための追加コストが基本的にはないためすぐにテレワークが可能です。 - デメリット
オフィスネットワークとの接続が行えない為、必要なデータが勤務先などのサーバーに保管されている場合には出社する必要があります。打ち合わせなど複数人による業務も課題となり、生産性を考慮するとインターネットによるクラウドサービスを使用するなど、スタンドアロン方式だけではテレワークには課題があるのも現状です。持ち出したPCに対して、盗難・紛失に備えて情報漏えい対策が必要です。
※総務省テレワークセキュリティガイドラインでは、説明を分かりやすくするために各方式を個別に説明してありますが、実際にはスタンドアロン方式であっても、①のVPN方式や⑥のクラウドサービス方式など複数のテレワーク方式を組み合わせて使用されることも多くあります。
テレワーク方式の特性
各テレワーク方式はどのような特性があるでしょうか。
以下の表では、リスクや影響を色で表しいます。取り合わせて閲覧ください。
| テレワーク方式 | オフィス業務の再現性 | 通信集中時の影響度 | システム導入コスト | システム導入作業負荷 | セキュリティ統制の容易性 | ポイント(想定される使い方) |
|---|---|---|---|---|---|---|
| ① VPN方式 | Sオフィスと同等の業務が可能 | A影響を受けるが、端末側(ローカル)作業で一部回避可 | Bシステム導入が必要 | B環境変更を伴うシステム導入が必要 | Cデータ管理とセキュリティ統制が必要 | 業務再現性が高く、通信集中にも対応したい場合の利用が想定 |
| ② リモートデスクトップ | Sオフィスと同等の業務が可能 | C影響を受けやすい | Bシステム導入が必要 | B環境変更を伴うシステム導入が必要 | Aデータ保存を制限でき、データ管理が容易 | 業務再現性が高く、セキュリティやコストをバランスする場合の利用が想定 |
| ③ 仮想デスクトップ(VDI)方式 | Sオフィスと同等の業務が可能 | C影響を受けやすい | C高額なシステム導入が必要 | C大きな環境変更を伴うシステム導入が必要 | Sデータ保存を制限でき、セキュリティの集中管理が容易 | 業務再現性が高く、高度なセキュリティを実現したい場合の利用が想定 |
| ④ セキュアコンテナ方式 | B特定のアプリケーションやシステムでの作業のみ可能 | A影響を受けるが、端末側(ローカル)作業で一部回避可 | Bシステム導入が必要 | B環境変更を伴うシステム導入が必要 | Aデータ保存を制限でき、データ管理が容易 | セキュリティを確保しつつ通信集中にも対応したい場合の利用が想定 |
| ⑤ セキュアブラウザ方式 | Cメールや資料閲覧に限定 | B影響を受けるが影響は軽微 | Bシステム導入が必要 | B環境変更を伴うシステム導入が必要 | Aデータ保存を制限でき、データ管理が容易 | セキュリティを重視した、特定業務での利用が想定 |
| ⑥ クラウドサービス方式 | B特定のアプリケーションやシステムでの作業のみ可能 | Sオフィスネットワークに接続しないため影響なし | Aサービス導入費(使用量に応じた必要最小限)が必要 | A比較的軽微な環境変更で利用可能 | Dデータ管理に加え、クラウド上でのデータ管理が必要 | 拡張性を重視した、特定業務での利用が想定 |
| ⑦ スタンドアロン方式 | D端末に保存したデータのみの作業が可能 | S通信をしないため影響なし | S追加のシステム・サービス不要 | Sシステム変更不要 | Cデータ管理とセキュリティ統制が必要 | コストと導入のしやすさを重視した臨時利用が想定 |
特性比較の評価は、特性軸ごとに、次の5段階で行っています。
- S: 効果や影響が標準よりも相対的に優れている
- A: 効果や影響が標準よりも相対的にやや優れている
- B: 効果や影響が標準的である
- C: 効果や影響が標準よりも相対的にやや劣っている
- D: 効果や影響が標準よりも相対的に劣っている
評価に当たり、各テレワーク方式は一般的な構成を想定しています。
使用する製品やサービス、具体的なシステム構築方法や構築規模によっては、評価が前後する場合があります。
出典:総務省 テレワークセキュリティガイドライン
メリット(情報漏えいリスク低・ネットワーク影響なし コスト・負荷低い)とデメリット(情報漏えいリスク高・ネットワーク影響あり コスト・負荷高い)の見解を追記してますが、全てを満たしたテレワーク方式があるわけではないことが分かります。
テレワークにおける情報漏えい対策ポイント
PCでテレワークを実施する場合、幾つかの情報漏えい対策が重要です。
① 盗難・紛失対策
- 端末の紛失・盗難等による情報漏えいのリスクへの対応
- テレワーク端末の内蔵記録装置(HDD・SSD等)の暗号化
- リモートワイプなどデータの遠隔消去等の対策
② テレワーク(ハイブリッドワーク)による新しい働き方
- 許可された無線LANの使用に制限
- ログインパスワードによる認証に一定回数失敗した場合、テレワーク端末の一定時間ロック
- 端末の紛失時に位置情報を検知するためのアプリケーションやサービス
③ 安心の廃棄
- パソコンを廃棄する場合、データ消去専用ソフトウェアによる消去や物理破壊で復元が困難な状態とする
- 通常のフォーマットや初期化をしただけでは、専門技術により復元可能であることに注意
- 機密度に応じたデータ消去証明書の発行
まとめ
テレワーク・情報漏えい・テレワーク方式・ガイドライン・相談窓口などテレワーク時の情報漏えい対策をご紹介しました。
テレワークは手段であり目的ではありません。テレワークで何を実現したいのか?テレワークを導入することによるメリット・デメリットを企業はしっかりと検討する必要があります。
特に持ち出したPCに対して、セキュリティ対策無しのテレワークは非常にリスクを伴いセキュリティ事故が発生します。
パソコンにデータが保管される場合には、リモートワイプ製品などのセキュリティ対策は実施したうえでテレワークを進めるようにしましょう。
詳しくはこちらから
