テレワークのセキュリティ
テレワークセキュリティガイドラインを徹底解説。テレワークを安全に行うには?
2021年5月に総務省より「テレワークセキュリティガイドライン(第5版)」が公表されました。企業のテレワークにおけるセキュリティ対策について詳細に解説されています。
そこでこの記事では、重要な内容を抜粋しつつ、企業のシステム担当者がテレワークを推進する上で考慮するべきセキュリティ対策について説明します。
目次
1. テレワークの形態とそれぞれのセキュリティリスク
総務省が公表している「テレワークセキュリティガイドライン」によると、テレワークの形態は大きく3つに分類されます。これら3つのテレワーク形態とそのセキュリティについて解説します。
①在宅勤務
従業員が自宅で業務を行う働き方です。物理的な移動が不要なことから、新型コロナウイルス感染症対策としても取り入れられています。業務には家庭用ルーターや集合住宅の契約に付随するインターネット回線が用いられます。
公共Wi-Fiに比べるとセキュリティリスクは低いと考えられがちですが、攻撃者の標的にされる可能性が無いわけではありません。気づかないうちにWi-Fiパスワードが総当たり攻撃で特定され、同一のWi-Fi経由でウイルスを含むファイルが送りつけられるケース、Wi-Fiが踏み台サーバーとして利用されて、企業サーバーへの攻撃が行われるケース、などの事件が実際に起きています。
家庭用ルーターのセキュリティ管理は個人のIT知識や危機意識に依存するため、利用者も気づかないうちに攻撃の対象となるリスクがあります。
②サテライトオフィス
企業のメインオフィスとは別に、シェアオフィスやコワーキングスペースなど、従業員のアクセスがよい場所で業務を行う働き方です。机やWi-Fiなどの作業環境が整っていることから、従業員の働き方の幅を広げられることが特徴です。
ビルのワンフロアや部屋単位の契約であれば、企業内ネットワークを敷設してメインオフィスのネットワークと閉域ネットワークでつなげるため、通信傍受や情報漏えいのリスクを抑えられます。
一方で、シェアオフィスやコワーキングスペースの場合、サテライトオフィスで利用している共用Wi-Fiを介した、不特定多数からのマルウェア感染や通信傍受の可能性を考慮する必要があります。
③モバイル勤務
カフェや図書館など、ノートPCを活用して臨機応変に選択した場所で業務を行う働き方です。リゾート地や観光地などで余暇を楽しみつつ仕事を行う「ワーケーション」もこの働き方に含まれます。場所を選ばないという点で、従業員にとって最も柔軟な働き方です。
業務には、その場所に設置されている公共Wi-Fiの利用が想定されます。公共Wi-Fiは通信の盗聴リスクが高いため注意が必要です。ルーターの制御権が知らぬ間に攻撃者に渡り、マルウェア感染の恐れのあるサイトに強制的に誘導させられることがあります。
SSL接続(URLがhttpsで始まるサイト等)であれば、通信が暗号化されるため盗聴リスクは低減されますが、安全が保証されているわけではありません。モバイル勤務を許可する場合、従業員への注意喚起や、端末にアクセス制限の仕組みを取り入れることが情報セキュリティ対策としての推奨事項です。
2. テレワークの方式とそれぞれにおけるセキュリティリスク
企業がテレワークを行う方式はセキュリティの観点から、7つの例が考えられます。それぞれのテレワーク方式のメリットやセキュリティリスクについて説明します。
①VPN
VPNはVirtual Private Networkの略です。インターネット上に仮想の専用線を設定する技術で、自宅の端末とオフィス内のネットワークを安全につなげます。従業員は特定のアプリケーションを端末上にインストールすることで、オフィス内のネットワークに接続します。
VPN接続が確立された状態であれば、テレワークをしている従業員同士のデータ送受信は安全です。VPNを通じて業務に必要なデータを端末に保存しておけるため、通信環境が一時的に途絶えたとしても、業務を継続できる可能性が高くなります。インターネット利用についても、端末設定を行うことでVPN接続を必須とできるため、システム管理者はテレワーク環境下でもアクセス制限やファイル無害化など、オフィス内と変わらないセキュリティ対策を講じることが可能になります。
VPNのセキュリティリスクとして、テレワークではVPN利用者の顔を見た本人確認ができません。一度認証情報が漏えいすると、攻撃者が従業員になりすまして接続を行い、システム管理者も気づかないうちに情報漏えいが発生する危険性もあります。
②リモートデスクトップ
リモートデスクトップでは、利用者は手元の端末で専用のアプリケーションを立ち上げて、オフィス内に設置されたPCのデスクトップ環境に接続し、遠隔操作でデスクトップ環境を利用します。利用者の端末上ではデータ保存やアプリケーションの実行は行われず、端末を盗難、紛失した場合でも情報漏えいが起きません。
認証情報が漏えいした場合も、端末にはディスプレイの情報しか出力されず、攻撃者はデータ自体を外部に持ち出せないことから、VPNよりもセキュリティリスクを抑えられるのです。セキュリティリスクとしては、通信が暗号化されていないとディスプレイに表示される情報やマウス、キーボードの入力情報が盗聴される危険性が挙げられます。
③VDI
VDIはVirtual Desktop Infrastructureの略で、仮想デスクトップ基盤と訳されます。リモートデスクトップの技術の一つで、サーバー上に構築されるデスクトップ環境が1つだけの場合をSBC方式、1つ以上(通常は複数)の場合をVDI方式として分類します。前項で説明したリモートデスクトップの分類はSBC方式です。
VDIでもデータ保存やアプリケーションの実行はオフィス内にあるサーバー上で実行されます。リモートデスクトップ(SBC)との大きな違いは、システム管理者がデスクトップ環境を集中管理ができることです。利用できるアプリケーションの制限やデータの保存先など、サーバー上に存在するデスクトップ環境について、セキュリティに関する設定をまとめて反映できます。
システム管理者は、SBCに比べて設定に労する時間を削減できます。利用者の観点ではSBCとVDIで大きな違いはありません。VDIのセキュリティリスクは、SBC同様に通信が暗号化されていない場合の盗聴リスクが考えられます。
④セキュアコンテナ
利用者はテレワーク端末上でセキュアコンテナのアプリケーションを立ち上げます。このアプリケーションは端末上で動作していますが、端末上のハードディスクへのデータコピーや、アプリケーションへのデータアップロードができません。端末上にデータ保存がされないので、端末の紛失や盗難による情報漏えいリスクが抑えられます。
セキュアコンテナ上では利用できるアプリケーションが制限されており、データの通信量もリモートデスクトップに比べて少量です。通信環境の影響は受けるものの、その程度は小さくなります。セキュリティリスクはリモートデスクトップ同様、通信が暗号化されていない場合の盗聴リスクが考えられます。
⑤セキュアブラウザ
従業員はセキュアブラウザと呼ばれるアプリケーションを端末にインストールして利用します。SafariやGoogle Chromeに代表されるブラウザアプリケーションでは、自分の閲覧したいWebサイトにインターネット経由で直接アクセスを行い、自由にサイト閲覧することが可能です。一方、セキュアブラウザではシステム管理者が事前に機能制限を行い、端末へのファイルダウンロードやWebサイトの閲覧制限が設定されています。
またセキュアブラウザではVDIやセキュアコンテナ同様に、社内ネットワークへの接続を前提として利用されます。そのため業務に必要となるメールやファイル共有に関する通信も安全です。ただ技術の歴史が浅く、セキュアブラウザ上で利用可能なアプリケーションは多くありません。セキュリティリスクとしてはリモートデスクトップやセキュアコンテナ同様、通信が暗号化されていない場合の盗聴リスクが考えられます。
⑥クラウドサービス
従業員は企業内ネットワークに接続することなく、端末から直接インターネット上のクラウドサービスを利用して業務を行います。オフィスネットワークを経由しないことから、従業員の端末がオフィスネットワークの通信混雑の影響を受けません。
しかし従業員はクラウドサービスから端末にデータを保存できるため、情報の持ち出し、端末の紛失・盗難による情報漏えいリスクが高まります。またクラウドサービスの利用状況についても、操作ログの閲覧はサービスごとに方針が異なり、有事の際の原因追及が困難です。クラウドサービスの方式を推進する上では、後述するゼロトラストの方針を取り入れ、入念な対策を検討する必要があります。
⑦スタンドアロン
従業員の利用する端末について、企業内ネットワークへの接続を行わず、事前に端末内に保存していたデータや、インストールされているアプリケーション上で業務を行う方式です。
通信を伴わないことから、盗聴などの攻撃リスクが発生しません。一方で端末自体にデータ保存がされていることから、端末の紛失・盗難による情報漏えいや、従業員による情報の持ち出しリスクについては対策が必要になります。またインターネット利用について許可する場合は、マルウェア感染や不正アクセスの対策についても検討が必要になります。
3. 境界型セキュリティとゼロトラストセキュリティの違いと対策
テレワークやクラウドサービスの普及により、企業の業務は閉じられたネットワーク内では完結しなくなりつつあります。ゼロトラストセキュリティはこのような時代の流れに沿った、新たなセキュリティ対策の概念として登場しました。
①境界型セキュリティ
境界型セキュリティは、企業ネットワークの内外の境目に壁を設けることで、マルウェアの侵入や不正アクセスを防ぐ従来のセキュリティ対策方針です。ファイアウォールによる「不正アクセス検知」。不特定多数の場所からの過負荷なアクセスを行う「DDoS攻撃の遮断」。保存するデータにウイルスが含まれていないかチェックする「ファイルの無害化」。これらが代表的な情報セキュリティ対策としてあげられます。また企業のデータセンターやサーバールームにカードキーや生体認証を取り入れることで、物理的な防御網を設けることも対策の一つです。
境界型セキュリティではネットワーク内部の利用者は無条件に信頼されます。働き方についてもオフィスへの出社が必須であり、従業員はカードキーや監視カメラなどで物理的に識別できるため、企業内ネットワークへの不正アクセスの可能性は限定的と考えられていました。しかしクラウドサービスの普及で従業員は頻繁にネットワークの内外を行き来するようになり、ネットワーク内の安全性は担保されなくなりました。またテレワークにより従業員を物理的に識別することも困難な状況です。
②ゼロトラストセキュリティ
ゼロトラストセキュリティは、性悪説に基づき、ネットワークの内外に関わらず、あらゆるところに脅威があることを前提にセキュリティ対策を行います。つまり、システム管理者はすべての利用者、端末、ネットワークについて認証と認可を実施するのです。
たとえば、境界型セキュリティではオフィス内のデスクトップ環境から自由に社内サーバーへのデータ接続ができました。一方ゼロトラストセキュリティでは、サーバーへの接続の度にユーザー名とパスワードの入力を求めます。サーバー接続に限らず、社内外のアプリケーション利用やデータ保存についても、その操作と、従業員のIDが紐付けられます。利用者はシステム管理者から認証を受けない限り、サービスを利用できません。
実際の運用では厳密な管理が非現実的な場合もあり、境界型セキュリティとゼロトラストセキュリティの併用が行われています。しかしサイバー攻撃の高度化や企業ネットワーク構成の複雑化に伴い、ゼロトラストセキュリティへの期待は今後さらに高くなることが予想されます。
4. テレワーク全般で起こりえるセキュリティリスク
テレワークにはオフィス勤務では起きなかった、セキュリティリスクが発生します。本項ではテレワークに紐づく代表的な6つのセキュリティリスクを紹介します。
①物理端末の紛失・盗難
テレワークを行うにあたり、デスクトップ環境で作業していた従業員にもノートPCを貸与されるケースが増えています。ノートPCは持ち運びに便利な一方、電車の荷物棚への置き忘れや、公共スペースでの盗難など、端末そのものが危険にさらされるリスクを孕みます。端末にも認証がかかっているので安全と思われがちですが、端末を解体してHDDに直接アクセスする手法も存在しますので、端末にデータが保存されている限り、情報漏えいの危険性は無くなりません。
物理端末の紛失事例として、2020年3月には埼玉県の高校で個人情報を含む外付けハードディスクの紛失が報告されています。
②認証情報の流出
テレワークでは端末、VPN、アプリケーションの利用など、さまざまな場面でユーザー名とパスワードの入力が求められます。不慣れな人の中には、認証情報を紙に書いてそのままPCに貼り付けたり、手元の手帳に記載していることも考えられます。攻撃者はそのような隙をついて、ショルダーハッキング(認証情報を肩越しに盗み見して不正アクセス)を試みるのです。
2020年8月にはロシアのハッカー集団により、国内大手38社のVPN認証情報が流出した事件が報じられています。
③なりすまし・不正アクセス
物理的に顔が見えない状況では、盗んだ従業員の認証情報を用いた、なりすましや不正アクセスが攻撃者にとって有効な手段となります。不正アクセスについては、高度な攻撃手法として、従業員の自宅Wi-Fiを踏み台にして、攻撃者が企業内ネットワークに不正アクセスを試みる可能性も考えられます。
④通信の傍受・盗聴
従業員はテレワークで自宅のWi-Fiや公共Wi-Fiを利用して業務を行います。同一のWi-Fi内に接続されている端末は、ネットワークとして接続された状態となりますので、攻撃者にとっては傍受や盗聴の格好の対象です。URLがhttpsで始まるSSL通信を用いている場合、通信内容は暗号化されているため、攻撃者は通信の中身を確認できませんが、そうでない通信においては攻撃者に情報が渡ってしまいます。
また高度な攻撃手法として、公共Wi-Fiに似たようなWi-Fiスポットが罠のように仕掛けられているケースもがあります。「Shibuya-Park Wi-Fi」という名前のWi-Fiがあったとして、攻撃者は「Shibuya-Park Wi-Fi2」のような名前で偽のスポットを立ち上げ、スポットへの接続を誘導します。
⑤マルウェアへの感染
マルウェアは悪意あるコードを攻撃対象の端末上で実行します。「トロイの木馬」はギリシア神話になぞって名前がつけられた代表的なマルウェアです。任意のアプリケーションのインストーラに紛れ込み、インストーラが実行されると同時に秘密裏に悪意あるコードが実行されます。ファイアウォールの書き換え、アンチウイルスソフトの無効化、特定の接続先の開放など、攻撃者は「トロイの木馬」を感染させることで、端末の操作権限を外部から奪い取るのです。
マルウェアには他にもさまざまな種類が存在します。キーボードの入力情報を収集するキーロガー。コンピューター内のデータを勝手に暗号化するランサムウェア。利用者の個人情報やアクセス履歴を収集するスパイウェア。攻撃者の悪意により、さまざまな角度から企業のセキュリティを脅かします。
⑥クラウドやアプリケーションの脆弱性
クラウドサービスにはIaaS、PaaS、SaaSなどの種類があります。IaaSはサーバーなどのコンピューターリソースの提供。PaaSはOSやデータベースがパッケージ化されたサービスの提供。SaaSはブラウザなどで利用できるソフトウェアの提供がそれぞれ行われています。
新型コロナウイルス感染症の影響で上記の中でSaaSの利用頻度が高くなり、それに伴うセキュリティリスクも増えています。ビデオ通話の代表的なSaaSであるZoomでは会議が開催されるURLを不正に取得した攻撃者が、会議に参加した直後に不正ファイルを共有するZoom Bombingが発生。ブラウザアプリケーションのGoogle Chromeでも最新版以前のバージョンにて、攻撃者にシステム制御権を乗っ取られる可能性が報告されています。
SaaSの運営企業は脆弱性が発見されると即時にソフトウェアのアップデート対応を行います。しかし攻撃者は企業に対策の猶予を与えません。ゼロデイ攻撃は、脆弱性が発見されてからアップデート対応までの短い期間に行われる攻撃手法です。
5. テレワークを導入するうえで押さえておくべき8つのセキュリティ対策
前項で説明したように、テレワークには多くのセキュリティリスクが伴います。企業のシステム担当者はこれらのリスクを理解した上で、企業活動を継続していくために具体的な対策を講じなければなりません。ここでは具体的な8つのセキュリティ対策について紹介します。
①物理端末による制限
テレワークにおいて端末の持ち出しやBYOD(私物端末の業務利用)は、盗難・紛失による情報漏えいリスクにつながります。盗難・紛失についてはシステム的に対策することは難しい面もあることから、ここでは盗難が発生した場合、被害を最小限にとどめる方法や、情報の持ち出しリスクを抑える方法について説明します。
(1)支給・貸与端末
企業から端末を指定できる場合、システム担当者は端末の機能に利用制限を設けることが推奨されます。たとえば、USBやBluetoothは端末内に保存されたデータについて、捜査ログを残さずに持ち出せるため、制限の対象になります。
またVDIやリモートデスクトップを利用するのであれば、HDDへのデータ保存が不要になることから、端末の起動時間に制限を設ける方法も効果的です。再起動のたびに、HDD内のデータをすべて破棄する設定にしておけば、万が一盗難が発生したとしても、攻撃者はデータを端末内から抜き出すのに十分な作業時間を確保できなくなります。
(2)BYOD(端末の登録)とクライアント証明書
BYODはBring Your Own Deviceの略で、従業員の業務での私物端末利用を意味しています。BYODでの業務を許可する場合、企業は端末のMACアドレスの報告を従業員に求めることが推奨されます。
企業ネットワークへの接続の際にBYODを識別したい場合、認証情報だけでは不十分です。システム管理者は事前にクライアント証明書と呼ばれる、暗号を発行して、従業員の端末にインストールを依頼します。クライアント証明書はMACアドレスと紐づけることで、複数端末での利用に制限をかけられます。
またBYODでは閲覧できるサイトに制限がなく、マルウェア感染のリスクなども高いことから、企業側で指定したウイルス対策ソフトをインストールさせることがセキュリティ対策として有効です。
②脆弱性の管理
世の中で新しい端末やソフトウェアが発表、発売されるのと同じく、攻撃者も新たな攻撃手段を常に探し続けています。システム管理者はこれらの脆弱性の最新情報についてチェックを行い、企業活動に影響がないかを日々判断することが求められます。
(1)ハードウェア(Windows/Mac)
WindowsやMacなど、市販されているPC端末が重大な脆弱性を抱えているケースはありません。重大な脆弱性を抱えてしまうと企業の信用問題にもつながります。しかし、重大ではないが、プログラムとして抱えている微細な脆弱性については常に対策が施され、最新情報をサイト上で確認することが可能です。
Windowsを提供しているMicrosoft社では月例で脆弱性に関する最新情報と、更新プログラムの配布を行なっています。
Macを提供しているAppleでもMicrosoft同様に、1ヶ月に1度セキュリティの更新情報を発表しています。
(2)ソフトウェア(Google Chrome/Zoom/Trello)
タスク共有ツールとして有名なTrelloでは公開設定がデフォルトでオンになっています。そのため利用者が気づかずに個人情報をTrello上に書き込み、Googleの検索結果上から誰でも発見可能な状態となっていました。
脆弱性ではありませんが、ソフトウェアの仕様上、情報が誰でも見られる状態になる可能性はクラウド上の多くのアプリケーションに共通する特徴です。同様のケースで、2021年1月にGoogle Drive上で福岡市の新型コロナウイルス感染者情報が、外部から誰でも見られる状態になっていたことが問題にもなりました。
このようにソフトウェアについては使い方次第で、機能そのものが脆弱性になってしまうことがあります。テレワークではクラウドサービスの利用を避けられないことからも、システム導入の段階で外部共有設定の有無や権限の分類など、セキュリティリスクに関するアセスメントを行うことが対策として考えられます。
③個人情報や通信の暗号化
個人情報をデータベースなどで保存する場合、データベースをネットワーク的にセキュリティが担保された状態で運用するだけでなく、万が一の情報漏えいに備えて、データ自体を暗号化しておくことも有効です。
クラウドアプリケーションを運営する企業では従業員が、何かしらのアプリケーション越しに、データベースに保存された個人情報にアクセスする可能性も考えられます。
2019年にフェイスブックがパスワードを平文で保存していたことがニュースになりました。Facebookの説明では技術者2000名が、平文で保存されたパスワードにアクセス可能な状態が続いていたとのことです。幸い大事故につながることはなかったものの、テレワークでなりすましや不正アクセスのリスクが高まっていることからも、企業内で保持される個人情報については暗号化を行うことが推奨されています。
④ウイルス対策ソフト
マルウェア感染やフィッシングサイト閲覧のリスク対策として、端末内へのウイルス対策ソフトのインストールは多くの企業で実施されています。ウイルス対策ソフトがあれば絶対に安心というわけではないものの、これらのソフトウェアは端末内で定期的にウイルス検知を行なっていることから、端末が危険に晒された場合に気づく可能性を高めてくれます。ウイルス対策ソフトの中でもNGVAとEDRは、近年の潮流として注目の対象です。
NGVA(次世代アンチウイルス)はハッカーの攻撃に対して、事前に組まれたプログラムによる防御だけでなく、機械学習の手法を取り入れることで、新たなる攻撃手法の検知・対策を柔軟かつ継続力高く行なえる点が魅力です。
EDR(エンドポイント・ディテクション・アンド・レスポンス)は、マルウェア感染拡大の対処法になります。EDRがインストールされた端末では、マルウェア感染が検知されると、即座にシステム管理者に通知が飛びます。セキュリティ対策ではリスク検知と対策までのスピードが重要であり、EDRによる感染検知が、被害を最小限に抑える重要な役割を果たすのです。
⑤アカウント認証管理
テレワークではVPNやクラウドサービスの利用に認証が不可欠です。しかしテレワークでは認証情報が多岐に渡ることから、前述したようにメモ書きなどから認証情報が流出する可能性も考えられます。認証をより強固なものにする上では、これから紹介する2段階認証やSSO認証の利用が推奨されます。
(1)2段階認証・多要素認証
ユーザー名とパスワード以外に、指紋などの生体認証や電話番号によるワンタイムパスワードの送信を行うことで、認証のステップを2つ以上に分ける方式です。ユーザー名とパスワードが流出しても攻撃者は、もう一つ認証を通る必要があることから、セキュリティがいっそう強固なものになります。
(2)SSO認証・SAML認証
SSO認証(シングルサインオン認証)は認証情報を複数のサービスで使い回す技術です。サービスごとにユーザー名とパスワードを使い回すことなく、一度特定のサービスにログインした履歴が残ると、その情報を元に他のサービスでも認証を行えるようになります。従業員のパスワード忘れ防止や、覚えておくために紙に書き出したパスワードをのぞき見されるリスクが低減されます。
SSO認証を実現する代表的な仕組みの一つがSAML認証です。Security Assertion Markup Languageの略で、異なるドメイン間でユーザー認証を行う規格です。Oneloginやトラスト・ログインが代表的なサービスとしてあげられます。
⑥アクセス制限・認可
テレワークではゼロトラストセキュリティの考え方を取り入れることで、セキュリティリスクを抑えます。その重要な要素として挙げられるのがアクセス制御です。
具体的にはシステムの利用者をいくつかの権限で分類、ネットワーク内のデータやクラウドサービスの個々のサービス利用について従業員に権限を付与していきます。特定のサービス利用の権限付与を認可と呼び、ゼロトラストセキュリティの考え方においてあらゆるサービスはシステム管理者による認可が必要とされます。
⑦特権管理
システム管理者はあらゆるサービスに対してアクセス可能な特権IDを持ちます。この権限は通常の従業員に付与する権限とは明確に分けて管理することが望ましいです。理想的には従業員のID管理と特権管理者の帳簿はデータベースを分離して保存し、特権管理者のIDについては企業のネットワークからも遮断されたサーバーに保存することが推奨されます。
⑧ログ収集
操作ログ・認証ログ・エラーログ・通信ログ。収集できるログの種類は多岐にわたります。EDRでも説明したように、不正の早期検知はセキュリティリスクを抑えることにつながります。有事の際の原因追求、事後調査への利用など、ログの活用はセキュリティ対策において重要な要素です。
確かに行き過ぎた監視は従業員からの反発を招きます。しかし会社のセキュリティポリシーに沿って、端末の操作ログや特定のクラウドサービスへの接続ログを管理して、マルウェア感染や情報流出リスクを避けることは、会社全体の危機意識を高めることにも効果的です。
6. テレワーク下の企業のセキュリティ対策事例
テレワーク下におけるセキュリティ対策の事例をご紹介しましょう。
①株式会社アウトソーシングビジネスサービス
株式会社アウトソーシングビジネスサービスは人材派遣事業を運営する企業です。グループ企業であるアウトソーシンググループは従業員の9割が障碍者でもあります。出社が難しい従業員も多いことから、2018年より在宅勤務を導入したものの、経理や人事など企業の機密情報を扱う業務が多いことから、セキュリティ対策と業務の両立が大きな課題となっていました。
そこで同社ではNTT東日本の「クラウド導入・運用サービス」を活用し、「クラウド型VDI」を導入。セキュアなテレワーク環境で業務を円滑に行えるようになりました。
「クラウド型VDI」ではデータ保存が従業員の端末にされません。データはすべてクラウド上のサーバーに保存され、物理的にもセキュリティが担保されていることから、機密性の高い個人情報を扱う業務についても在宅勤務で対応が可能となりました。
このような環境が準備されていたこともあり、新型コロナウイルス感染症の影響で全社的に在宅勤務が導入されたタイミングでも、勤務体制の移行がスムーズに行えました。
7. まとめ:セキュアなテレワーク運用ならアウトソースもおすすめ
ここまでご紹介したようにテレワークの運用とセキュリティ対策の両立のためには、多くの課題をクリアする必要があります。システム担当者がこれらのセキュリティリスクをすべて把握しコントロールすることは容易ではありません。そんな際には、アウトソーシングサービスの活用をおすすめします。
自社で対応できているセキュリティ対策と、テレワークの導入で新たに対応を求められている対策。それぞれの課題をうまく切り分けつつ、企業のセキュリティリスクを最小限に抑える方法を検討いただければと思います。
※「Safari」は、米国およびその他の国で登録されたApple Inc.の商標です。
※「Google Chrome」は、Google LLC の商標または登録商標です。
※「Zoom(ズーム)」は、Zoomビデオコミュニケーションズの商標または登録商標です。
※「Trello」はFog Creek SoftwareのFog Creek Softwareの商標または登録商標です。