国土交通省が2017年に行ったテレワーク人口実態調査によると、企業などに雇用されている正社員・派遣社員・契約社員などの「雇用型」労働者においても、テレワークが増加している実態が明らかになりました。雇用型労働者のうち、15歳~29歳男性の21.9%、30~39歳男性の21.6%、40歳~49歳男性の20.6%がテレワークを利用して働いている「テレワーカー」と見なされており、働き方改革の推進を受けて今後も増加が見込まれています。今回は、テレワークを推進するうえでのポイントの1つである「情報セキュリティ」についてお伝えします。
BYODを許可するか否か
テレワークを進める上で、最初に議論すべき点があります。それは、BYOD (Bring Your Own Device: 私物端末の業務利用)を許可するか否か、という点です。BYODを許可する場合、私物端末に対しても、会社が提供している端末と同様のセキュリティを保つ必要があります。また、業務情報にアクセス可能な端末を特定して、その端末からのみアクセスを許可するのか、それとも端末を特定せずに全ての私物端末からのアクセスを許可するのか、という大方針を決める必要があります。
従業員からすると、私物端末を業務利用できると「会社から毎度パソコンを持って帰らなくてもよい」「慣れ親しんだ私物端末で仕事できる」といったメリットがあります。会社にとっても「新たにテレワーク用の端末を購入せずに済みコストを節約できる」というメリットもあるため、どちらにとってもメリットが大きいと言えます。しかし、セキュリティという面になると、また別な問題があります。会社側は「業務情報にアクセスする端末は、会社支給端末と同程度のセキュリティレベルが必要」と考えます。しかし、従業員からすると「私物端末に会社が指定するセキュリティ製品を導入するのは、私物端末を私用で利用する際も監視されている」と感じます。
「これだけは気を付けておきたい」5つのポイント
重要なのは、従業員が監視されていると感じないレベルでのセキュリティを維持し、不必要な情報を取得しないこと。そして、それでも会社が必要な以下のセキュリティは確保することです。
1. セキュリティリスクが高い環境で働くことを考慮
テレワークを導入する、ということは、「社員がどのような環境で働くかを会社が管理できない」ことを意味します。例えば、社員はカフェから仕事し、トイレに行くためにパソコンをそのままにして数分席を外してしまうことも考えられます。また、業務で利用するID・パスワードをパソコンに付箋で貼っているなど、オフィスと比べて、セキュリティレベルが低い環境におかれるため、そのリスクを考慮しなければなりません。
その対策として最近、多く用いられるようになってきているのが「多要素認証」です。ID・パスワードに加えて、もう1つ別な要素の認証を必要にして、セキュリティレベルを上げるという方法です。例えば、ID・パスワード認証を行った後に「クライアント証明書」「ワンタイムパスワード」「生体認証(指紋など)」を併用するというものです。多要素認証を用いると万が一、カフェでID・パスワードがハッキングされたり、漏えいした場合でも「もう一つの認証」を入力しなければ、各サービス・システムにログインできないので、認証における安全性が飛躍的に高まります。
2. 業務情報にアクセスする端末は、会社が認めた端末のみ
テレワークで、業務情報にアクセスする端末を会社が認めた端末のみにする場合に用いられるのが「クライアント証明書」です。一般的には、メールや会社のシステム、会社が提供するストレージなどにアクセスする際に用いられるのは「パスワード認証」ですが、それだけでは、会社が認めた端末からアクセスしているかを判別することはできません。
クライアント証明書は、世界でも限られた発行元から発行される電子証明書で、パソコンやスマートフォンの中に保存して利用します。パスワード認証を行う際に、あわせてクライアント証明書の認証を行います。つまり、「正しい証明書がインストールされている端末=会社がアクセスを許可した端末かどうか」の確認を行い、証明書があれば業務情報へのアクセスが可能となります。
3. 私物端末にID・パスワードを保存させない
BYODを導入した際、テレワークにおけるパスワード管理は難しいものとなります。例えば、業務で利用するクラウドサービスA、B、CにそれぞれID・パスワードを入力した場合、このID・パスワードは私物端末のブラウザに保存されてしまうためです。従業員が退職した後でも、このID・パスワードは私物端末に残り続けてしまうため、物理的に「不正アクセス」ができてしまう環境になります。
このため、私物端末にID・パスワードを残さずに各種サービス・システムにアクセスできる仕組みが必要となります。具体的には、「IDaaS (Identity as a Service: クラウド型シングルサインオンサービス)」と呼ばれるサービスの導入が増えています。
4. 盗難にあった場合の漏洩対策
先ほど例として挙げた「カフェでテレワーク中に席を外す」といった場合、端末が盗まれてしまう可能性もあります。端末が盗まれることはすなわち、端末の中にある情報が盗まれて悪用され、会社や顧客に損害が生じる可能性が出ることを意味します。
これを防ぐには、テレワークに利用するパソコンやスマートフォン、タブレットが暗号化されている必要があります。仮にHDDやSSD、そしてスマートフォン内部のメモリを抜き出されたとしても、暗号化されていれば情報が漏えいすることはありません。
5. 私物端末にもウイルスソフトを導入
企業が従業員に与えるパソコンやスマートフォンには、ウイルス対策製品が導入されているのが一般的ですが、問題なのはBYODで利用する端末です。BYODの私物端末にウイルスが混入していた場合、私物端末から業務情報が流出する可能性があります。よって、従業員の私物端末であっても、テレワークに利用する端末であればウイルスソフトの導入を検討すべきです。
テレワークは「どう導入するか」を検討する時代へ
テレワークはいわば「国策」として導入が推進されています。多くの企業が安全にテレワークを導入することで、従業員にも多様な働き方が広がっていきます。人手不足の時代に良い人材を確保する上でも、テレワークを「導入するか否か」ではなく「どのように導入するか」を考える時代になっています。
関連リンク