サテライトオフィスを活用したテレワークは、感染症対策に対応した就業形態の一つです。かねてより使用していたオフィス以外で業務を行う場合、セキュリティ対策がネックとなります。自社でサテライトオフィスの導入を検討している人の中には、セキュリティ対策について不安を感じている人もいるのではないでしょうか。
本稿では、そのような人のためにサテライトオフィスでのセキュリティ対策について解説します。
サテライトオフィスに潜む情報漏えいリスク
サテライトオフィスで作業を行う場合、ファイアーウォールやIPS(不正侵入防止システム)で守られた本社オフィスのネット環境とは違い、セキュリティが脆弱なケースがあります。「IDやパスワードの漏えい」「フィッシングサイトへの誘導」などが発生すると、会社側が従業員に社会的な責任を求める事態にも発展しかねません。
サイバー攻撃を行うマルウェアの感染経路の一つにWi-Fiが選ばれるケースもあります。サテライトオフィスで使用されるWi-Fiルーターなどにマルウェア(不正ソフトウェアの総称)が仕込まれている場合、WEB接続をするだけで情報が抜き取られてしまう可能性があるのです。サテライトオフィスで共用スペースを利用していた場合は「パソコンをのぞき見られる」「USBメモリや重要書類の窃盗」など物理的なセキュリティリスクも発生するでしょう。
サテライトオフィスでは「ルール・人・技術」が揃ったセキュリティ対策が必要
2018年に総務省より改訂された「テレワークセキュリティガイドライン第4版」によると、テレワークにおけるセキュリティ対策では「ルール」「人」「技術」のバランスを取る必要があるとされています。どれか一つでも弱点があると、そこから突破されてセキュリティが崩れてしまうのです。
ルール
情報セキュリティの安全性を逐一確認する必要がないような仕組み作りを指します。あらかじめ専門家にガイドラインを策定してもらうことができればセキュリティ管理に必要な時間を削減でき、通常業務も効率良く進めることが可能です。サテライトオフィスは普段のオフィスと異なるため、新たにセキュリティルールを作る必要があるでしょう。
人
実際に勤務をしてシステムや重要情報を管理するのは「従業員」です。サテライトオフィスで働く従業員は、本社の管理職から目の届きにくい場所にいるため「セキュリティ対策がしっかりと行われているか」についての判断が難しい側面があります。テレワーク従事者にもセキュリティに対する意識向上や必要な知識の獲得が求められます。
技術
これは「ルール」や「人」では対策が難しい部分を補完するために必要になります。例えば、人がチェックしていては膨大な時間がかかる「ファイルの認証」「ウイルスの検知と防御」などを自動化することです。サテライトオフィスの環境によって、求められる技術的なセキュリティ対策は異なってくるでしょう。
IT面から見たサテライトオフィスのセキュリティ対策
IT的な側面から実施可能なサテライトオフィスのセキュリティ対策は主に以下の4つです。
- ウイルスソフトの導入
- パスワードを複雑なものにする
- データ暗号化
- 安全なネット回線の使用
以下より、それぞれ個別に解説します。
次世代ウイルス対策ソフトの導入
「ウイルス対策ソフト」の導入は、テレワークを行ううえで必須です。しかし近年標的型攻撃に用いられているマルウェアは、そのほとんどが従来のウイルス対策ソフトでは検出されません。そこで導入を推奨されるのが「次世代ウイルス対策ソフト」です。従来のウイルス対策ソフトは、マルウェアの特徴をパターンとして記憶し検知を行っていました。
一方で次世代ウイルスソフトの場合は、PC内で動くアプリケーション全体を監視し怪しい挙動があれば報告、もしくは動作停止の措置が取れます。
マスターパスワードの使用
社内システムなどへアクセスするためのパスワード設定で、短く簡単なものを使用したり異なるサービス間で使い回したりしてしまうとそれだけ情報漏えいのリスクが高まります。しかしサービスごとに複雑なパスワードを使用していては、管理が大変になります。そこでおすすめなのが「マスターパスワード」の設定です。
マスターとして使用するパスワードの文字列を一つ作成し、サービスごとに語尾に文字列を付け足して保存すると管理の手間を減らしつつセキュリティ対策も行えます。語尾に付け足した追加分の文字列だけならメモなどで保存しておいても、マスターパスワードさえ秘匿しておけば安全にパスワード管理が可能です。
(例)
マスター:e@80zo7um3e →秘匿にする(※メモなどで保存しない)
A:マスター + az01 →付け足した部分のみメモなどで保存
B:マスター + bz02 →付け足した部分のみメモなどで保存
C:マスター + cz03 →付け足した部分のみメモなどで保存
データの暗号化
サテライトオフィスで使用するパソコンやスマホなどデバイスは紛失した場合に備えデータを暗号化しておくことも重要です。デバイスの認証を複雑化していたとしても、それを突破されてしまうケースもあるため、ハードディスク内のデータは暗号化しておきましょう。データを暗号化する場合、デバイス内に作成した安全エリアで閲覧するデータをすべて暗号化するツール「セキュアコンテナ」の導入が必要です。セキュアコンテナでは、データファイルが補完されているフォルダそのものを暗号化します。
ウェブアプリを安全に使用するためには「セキュアブラウザ」という、不正アクセスや情報漏洩防止対策が施されたブラウザを使用しましょう。
安全なネット回線の使用
サテライトオフィスでは、ネット回線や機器にもセキュリティ面での不安が残ります。そのためより安全な回線を採用し、公衆無線LAN(Wi-Fi)は使用しないことが賢明です。プライベートネットワークに接続する際には、暗号化通信を使用しルーターは通信キャリアが提供するもののみを使用しましょう。
物理的な側面から見たサテライトオフィスのセキュリティ対策
サテライトオフィス勤務では、インターネット経由でのセキュリティ対策だけでなく以下のような物理的な対策も必要です。
- 隔離された作業スペース
- 情報資産の盗難管理
次項より、個別にご説明します。
隔離された作業スペース
サテライトオフィスでは、環境次第では第三者が容易に入れてしまう、あるいは共用のスペースで作業する場合もあるでしょう。そのような場所においてもできるだけ隔離された作業スペースを用意するのが望ましいです。難しい場合は「デバイスの画面にプライバシーフィルターを装着する」「作業場所を選ぶ」など重要情報ののぞき見防止に努めましょう。
第三者が同じ空間内で作業していると、重要情報を肩越しに見られる「ショルダーハッキング」など簡単なことでも大切な情報が漏えいしかねません。
デバイスや紙の書類の管理を徹底する
PCそのものを盗むのは難しくてもスマホや紙媒体などは、簡単に持ち出せてしまいます。そのため業務の間だけでなく休憩時間や就業時間外などもデバイスや重要書類の管理を徹底することが必要です。サテライトオフィス外に情報資産を持ち出す場合は、「原本を厳重に保管しておく」「台帳などを使って会社からの貸与デバイスの所在を管理する」など物品の盗難に備えましょう。
IT面、物理面、両方でセキュリティ対策を
サテライトオフィスは、インターネット環境が社内に比べ脆弱であるケースが多々あります。IT面から見たセキュリティ対策は「データ情報の暗号化」「ウイルス対策ソフトの導入」などをサテライトオフィスの環境に応じて導入することが必要です。また紙の書類やデバイスの管理を徹底するなど物理面でのセキュリティ対策も忘れてはいけません。
自社で活用するサテライトオフィスが決まったら、重要データを守るためのセキュリティマニュアルを作成し、従業員間で徹底する仕組み作りを行いましょう。(提供:spacible)
