在宅勤務“特有”のセキュリティリスクとは

この記事をtweetする このエントリーをはてなブックマークに追加

掲載日 2011/11/04

ザ・キーマンインタビュー 情報漏洩に気付いていない可能性も… 在宅勤務“特有”のセキュリティリスクとは?

震災後、大きな注目を集めた「在宅勤務」。うまく活用できればメリットも大きいが、本格的に導入するにあたっては様々な不安があるという企業は少なくない。そのうちの1つが「セキュリティ」だ。そこで、今回はNPO日本ネットワークセキュリティ協会へ在宅勤務に関するインタビューを実施。同協会の会員企業であり、「在宅勤務における情報セキュリティ対策検討ワーキンググループ」に参加しているみずほ情報総研の冨田高樹氏、小川博久氏に対応いただいた。

NPO日本ネットワークセキュリティ協会 企業サイトへ

冨田 高樹氏

みずほ情報総研株式会社
情報・コミュニケーション部
シニアマネジャー 冨田 高樹氏

小川 博久氏

みずほ情報総研株式会社
情報・コミュニケーション部
マネジャー 小川 博久氏

最も大きな変化は社会的な理解が進んだこと

Question

従来から在宅勤務を取り入れている企業はありましたが、ごく一部にとどまっていたように思います。以前に在宅勤務の導入検討を行ったものの様々な理由で断念したという企業が、震災をきっかけとして再検討するといったケースも少なくないと思いますが、以前と比べて、在宅勤務を取り巻く状況自体に変化などはありますでしょうか?

Answer

みずほ情報総研株式会社:冨田 高樹氏

【冨田】たしかに、震災前は、ワークライフバランスやダイバーシティに積極的に取り組んでいる一部の企業だけが在宅勤務を実施していたと言ってもいいでしょう。その後、どう変わったかということですが、状況として1つ挙げられるのは、各社が在宅勤務制度を導入していることが報道などを通じて知られてきたことで、導入の敷居が下がってきたという点です。例えば、在宅勤務を実施した場合、ある担当者宛てに電話がかかってきた際に「オフィスとは別のところで仕事をしている」とは答えにくいと感じていた企業も少なくないでしょう。しかし、多くの企業が在宅勤務を体験したり、災害時や節電対応への有効な対策の1つとして「在宅勤務」という働き方が広く紹介されたことで、社会的な理解が進んだ、理解が深まったと言えます。

 既に、震災後の在宅勤務に関する調査結果は出ていますが、在宅勤務の状況は着実に増えているとは言え、特に際立っているわけではなく、まだ導入が始まったというレベルでしょう。そして、その原因としては、やはりセキュリティに関する不安が多いと考えています。今後の動向は不透明ではあるものの、今回の震災をきっかけに在宅勤務を導入する企業は少しずつ増え始めており、更にそれが前述のような相乗効果となって、在宅勤務の導入が徐々に増えていく可能性もあるでしょう。


みずほ情報総研株式会社:小川 博久氏

【小川】震災の際には、いきなり外出先から社内へ接続しないといけない、そうしないと仕事ができないという時に、遠隔で業務を行うためには事前に稟議書への押印が必要だという社内ルールがあって困ったという事例もあったようです。急なことで事前に申請しているわけはないし、電車も動いていないのにどうやって稟議書を渡せばいいんですか、という…。そういうケースはちょっとシステム側と旧来からの業務の流れが釣り合っていないことがあらわになったかたちで、緊急時にはどういうふうに在宅勤務の許諾を出すのか、電話1本でいいのかというBCPにも考慮したルールを設定しておくべきだったのかなと思います。

Question

現在、在宅勤務の導入を進めている企業は、どういった規模のところが多くなっているのでしょうか?

Answer

【冨田】両極端と言えるのではないでしょうか。大企業、そして、一方では逆に、小規模な会社から始まっているように思います。大企業では節電への取り組み、あるいは新しいワークスタイルの導入といった観点でシンクライアントを導入するなど、在宅勤務に向けた環境整備を以前から試験的に(あるいは本格的に)行っていたケースも少なくないでしょう。

 また、SOHOレベルの小さな会社ではオフィス勤務へのこだわりも少なく、もともと個人個人で在宅勤務に近い働き方を行っているところも多いでしょうから、経営者も社員もすんなりと受け入れられる。ルール徹底やセキュリティ対策も、少人数であればさほど問題なく、実施していくことができるかもしれません。

 難しいのは中小規模の企業でしょうか。全般的にまとまった設備投資は難しいということもあるでしょうし、とりわけ在宅勤務というものは生産性が上がる部分ももちろんあるのですが、下がる部分もありますので、そういったところをどのようにカバーしていけばよいかというところが導入をためらう要因になりがちです。ただ、これは一般論であり、当然、中小企業の中にも在宅勤務を積極的に導入しているところはあります。

図1 テレワーク実施による効果
図1 テレワーク実施による効果
出典:NPO日本ネットワークセキュリティ協会(2011年7月)

このページの先頭へ

社員の意識を高めるためには、日常的なセルフチェックを実施すべき

Question

以前と比べて、様々な脅威の出現で在宅勤務のセキュリティリスクは高くなっていると言えるでしょうか? それとも、ツールなどの整備で逆に低くなっていると言えるのでしょうか?

Answer

【冨田】正直に言って、最近報道を賑わせている「標的型攻撃」に対しては、在宅勤務は弱い面があります。例えば、別人を装ったメールが届いた時など、変だなと思っても気軽に相談できる相手が近くにいない場合、「まあ、いいか」と開いてしまう可能性があるわけです。オフィスでは近くに複数の社員がいるでしょうから、まずは「何か変なメールが届いたんだけど…」などとすぐに声をかけたりできるのですが、自宅ではそうもいかない。だから、在宅勤務を行う従業員に対しては特に、こうした脅威があることを事前に十分に教育しておく、理解してもらう必要があると言えるでしょう。

Question

在宅勤務でセキュリティ面での問題(情報漏洩など)が生じた実例などを耳にする機会はあまりないのですが、実際には多いのでしょうか? あるいはやはり少ないと言える状況なのでしょうか?

Answer

【冨田】在宅勤務を導入している企業自体がまだまだ少ないですから、そうした例も多くないと言えます。ただ、非常に深刻な話ですが、情報漏洩などが生じたことに誰も気づいていないというケースもありえるでしょう。しかし、在宅勤務に取り組む企業の多くは、当然ながらセキュリティ対策は必要だと考えており、完璧ではないにしても、費用対効果において合理的な範囲で何らかのセキュリティ対策を実施していますから、セキュリティ面での問題が生じる可能性もある程度は抑えられていると思います。

Question

在宅勤務の導入にあたっては、やはり何らかのセキュリティ対策製品の導入が必要ということになりますでしょうか? あるいは、在宅勤務を行う社員に対するルールの徹底が重要ということになりますでしょうか?

Answer

【冨田】例えばVPNのように、職場との通信手段そのものが自ずとセキュリティ対策になるものもありますので、セキュリティ対策製品の導入に関しては必須というわけではありません。社員に対しては、ルールの徹底も重要ですが、自律的に情報セキュリティ対策を行えるようになってもらうための教育や、自宅で困った時の相談先の整備なども必要になります。また、社員に日常的にセキュリティを意識させる方法としては、セルフチェックの実施も有効です。

図2 セルフチェックの運用フロー
図2 セルフチェックの運用フロー
出典:NPO日本ネットワークセキュリティ協会(2011年7月)

このページの先頭へ

自宅はオフィスほど物理的なセキュリティが高くないことにも留意

Question

在宅勤務を導入する企業がまず検討を行ったり、準備しなければならないことはありますでしょうか?

Answer

【冨田】事前準備として最も重要なのは、ルールを決めることです。どのようなセキュリティ対策製品を導入すべきかも、ルールの内容に応じて変わってきます。在宅勤務のルールを決めるにあたっては、社内ルールを決めるのと大きな違いはありませんが、建前だけのルールとならないようにしたほうがよいでしょう。実際に守れるルールにすることが重要です。

Question

在宅勤務で生じるセキュリティリスクには、オフィス勤務の際と同じものもあると思いますが、特にオフィス勤務で生じるものとはまったく異なるようなセキュリティリスクがあればお教えいただけますでしょうか?

Answer

みずほ情報総研株式会社:冨田 高樹氏

【冨田】オフィスでは端末の前に不審者が座っていればすぐに分かりますが、在宅勤務の場合、端末の前に本人が座っているかどうかを見て判断することはできません。このようにリスクとして、在宅勤務では端末を乗っ取られたり、なりすまされたりする可能性があります。このほか、シンクライアントを用いる場合のように、実質的に職場から情報を持ち出すことなく仕事ができる環境であればよいのですが、持ち出して自宅で仕事を行う場合はその情報資産の管理を在宅勤務者が行う必要があります。その管理上のリスクも在宅勤務に特有のものであると言えます。

Question

つまり、端末のセキュリティに関しては、オフィス内にある機器以上に強固にしなければならないと言うことでしょうか?

Answer

【冨田】一般論としてはそうだと思います。

Question

在宅勤務を導入する場合、どの程度の対策を行えばよいのかというのは各企業の判断となるのでしょうが、第三者が在宅勤務におけるセキュリティ対策の合否を判定して認定マークを与えるといった仕組みなども必要になってくるでしょうか?

Answer

【冨田】どうでしょうか。むしろ、情報セキュリティマネジメントシステム(ISMS)の一環とも言えますので、既にISMSの構築に取り組んでいたり、認定を受けている企業であれば、自ずと在宅勤務に関しても、それらに則ったルール策定やセキュリティ対策を行うことになるのではないでしょうか。

Question

IT領域以外のセキュリティリスク(紙の書類、電話の利用)もあるかと思いますが、それらの対策はどのようにすればよろしいでしょうか?

Answer

【冨田】シンクライアントによる在宅勤務を導入している企業では、紙文書の持ち出しを禁止しているところもあります。まだまだプリンタで印刷した紙の書類を見ながら仕事をしたほうがやりやすいという意識を持つ社員が多い中、かなり思い切ったやり方に思えるかも知れません。日頃の慣れた仕事のしかたができないのは不便でしょうが、リスクを考えた割り切りのしかたとしては適切と言えるでしょう。

 電子データのメリットとして、厳重な暗号化を施していれば、何らかのミスでデータが流出してしまっても、暗号解除キーが分からなければ中身が分からないようにすることができます。電話に関しては、社員が外出先で携帯電話を紛失したり、大声で話して会話内容が外部に伝わったりというリスクのほうが問題になりやすく、在宅勤務において制限している例はないようです。


●ありがとうございました。


取材協力

特定非営利活動法人 日本ネットワークセキュリティ協会 企業サイトへ

ネットワークセキュリティ製品を提供しているベンダ、システムインテグレータ、インターネットプロバイダなど、ネットワークセキュリティシステムに携わるベンダが結集して、ネットワークセキュリティの必要性を社会にアピールし、かつ、諸問題を解決していく場として設立された特定非営利活動法人(NPO)。 ネットワーク社会の情報セキュリティレベルの維持・向上、日本における情報セキュリティ意識の啓発に努めるとともに、最新の情報セキュリティ技術や脅威に関する情報提供などを行うことで、情報化社会へ貢献することを目的としている。


このページの先頭へ



◆関連記事を探す

在宅勤務/在宅勤務“特有”のセキュリティリスクとは」関連の情報を、チョイスしてお届けします

※キーマンズネット内の「在宅勤務」関連情報をランダムに表示しています。

在宅勤務」関連の製品

Web会議システム Cisco WebEx 【ネットワンパートナーズ】 事例で検証! Office 365 は頻繁な組織変更にも対応できるか? 【ソフトバンク・テクノロジー/日本マイクロソフト】 クラウド型Webフィルタリングサービス InterSafe CATS 【アルプス システム インテグレーション】
Web会議 グループウェア フィルタリング
パソコンやスマートフォン、タブレット端末などを活用して、どこでもミーティングが可能なWeb会議システム。 なぜ Office 365 は急な組織変更にも迅速に対応できるのか? クラウド型だから、初期投資が不要で運用管理もラク
マルチデバイスにWebフィルタリングをかけ、不要or危険サイトへのアクセスを制限し、ウイルス感染や情報漏洩を防止

在宅勤務」関連の特集


2007年以降、急成長中の「Web会議システム」は各種端末との連携がトレンド!?デジタルペンやタブレ…



347人対象に導入状況や導入方式、勤怠管理での苦労など、勤怠管理状況を調査!ASP・SaaS型の導入…



デル株式会社にワークスタイル変革に必要なインフラとは?ITベンダとしての提供価値とは?執行役員の原田…


在宅勤務」関連のセミナー

マイクロソフト、富士通のワークスタイル変革セミナー 【富士通】  

開催日 12月5日(月)   開催地 東京都   参加費 無料

==============================================================================マイ…

「ネットワークセキュリティ」関連 製品レポート一覧

このページの先頭へ

Myリストへ 印刷用ページへ

この記事をtweetする このエントリーをはてなブックマークに追加


この記事に掲載している情報は、掲載日時点のものです。変更となる場合がございますのでご了承下さい。


30004348


IT・IT製品TOP > BCP最適化プロジェクト > ネットワークセキュリティ > その他ネットワークセキュリティ関連 > その他ネットワークセキュリティ関連のIT特集 > 特集詳細

このページの先頭へ

キーマンズネットとは

ページトップへ