どうなるテレワーク？！テレワークの運用を【継続】させるために必要なセキュリティ対策とは？

　先日、久しぶりに外出を伴う仕事の用事があり通勤時間帯の電車に乗りました。上り列車で座席はほぼ満席でしたが、立ち乗車はちらほら。乗車率は肌感で１２０％程でしたでしょうか。

　緊急事態宣言も昨年から3回の発令。政府は出勤者数の７割減を呼びかけテレワークの普及も進んでいます。
　今後、感染症対策としてではなくスタンダードな働き方としてテレワークが【継続】していくために必要なセキュリティ対策のポイントを考えてみました。

テレワークの基本的なセキュリティ対策

　まず基本的な考えとして、一般的にテレワークを行う際に注意するポイントとはどのようなものでしょうか。IPA(独立行政法人情報処理推進機構)より公表されているこちらのページが参考になります。

出典：テレワークを行う際のセキュリティ上の注意事項

　ポイントは以下の切り口でシンプルにわかりやすく記載されています。

・テレワークを行う「デバイス」（パソコン、スマートデバイス）の提供が企業からある場合とない場合における基本マナーと注意点

・テレワークを行う「場所」毎における基本マナーと注意点

これを前提とした上で、以下のページを参照しています。

出典：日常における情報セキュリティ対策

　こちらも以下の切り口（立場毎の観点）でわかりやすく記載されています。

・組織のシステム管理者向け

・組織の利用者向け

・家庭の利用者向け

　これらは2019年4月が最終更新日となっており、コロナ禍前に発表された内容です。しかし、セキュリティのポイントとしては重要な内容が記載されています。

https://youtu.be/zDs88SLymwo

　この映像の中では、以下のポイントを紹介しています。

基本的な情報セキュリティ対策
■OSやソフトウェアは常に最新の状態にしよう！
　ルータのファームウェアを確認
■ウィルス対策ソフトを導入しよう！
■パスワードを強化しよう！
■共有設定を見直そう！
　業務用ユーザーアカウントを作る
■脅威や攻撃の手口を知ろう！

公共の場でテレワークを行う場合
■画面を覗かれないように
■Web会議を行う場合は、話し声が他の人に聞こえないように
■モバイルWi-Fiルータやスマホのテザリング機能を使用
■紙の処理等の管理にも注意

Web会議開催時の注意点
■非公開が原則
■パスワード付きのミーティングを作成
■会議開催の案内ではURLとパスワードを別経路で伝達
■待合室機能を有効にする
■書類などの画面共有はしないほうが良い

　これらはIPA（独立行政法人情報処理推進機構）が紹介・推進するテレワークの基本的なセキュリティ対策であり、決して難しいものばかりではありません。まずはテレワークの普及という観点で、できることから取り組んでいただくことをお勧めします。

テレワークを継続させるためのセキュリティ対策

　では、テレワークを継続させるために考慮すべきセキュリティ対策としてどのようなものがあるでしょうか？

　テレワークのルールを作ってみたはいいものの、運用の中で利便性を損ねたり、ルール自体が形骸化したり、結果生産性を損なう等、マイナスの要素を生み出してしまう可能性もあります。

　しかしながら、当然ですが一定の制約も必要です。生産性や利便性を重視した結果、テレワークでセキュリティインシデントが発生してしまっては元も子もありません。

　利便性とセキュリティのバランスをとりながら、テレワークを継続するためにどのようなセキュリティ対策をとるべきでしょうか？筆者は以下の4点をポイントとしてあげさせていただきます。

①一元管理が可能なセキュリティソフト

　従来のセキュリティソフトは個別のパソコンにインストールし、パソコンのセキュリティ状況を利用者のみに通知していました。もしパソコンに脆弱な設定やウィルス感染があった場合、全てを利用者で行う必要がありますが、利用者のリテラシーによっては完全に対処できないケースもあります。
　最近ではセキュリティソフトをインストールしたパソコンの状態を管理者が一元的に管理できる機能が多くのセキュリティソフトに実装されています。
　この機能があれば、セキュリティソフトの面倒な設定や更新、OSのパッチ適用状況、原因分析、感染時の切り離しなどの対処、USBデバイスなど外部デバイスの接続制御等を一元的に行うことができる為、利用者の負担は大幅に削減できるでしょう。また一元的な管理機能は一般的にはシンプルなインターフェースで提供されますので管理者の負担軽減も期待が持てます。
　※一元的な管理機能には製品によって管理できる機能差がありますのでご注意ください。

②デバイスの情報を可視化

　インターネットアクセスに必要な情報として「IPアドレス」というものがあります。従来のオフィス環境であれば、IPアドレスと利用者を紐付けて管理する手法が一般的でした。しかしこれはテレワークのようにインターネット環境が分散している環境ではIPアドレスは固有情報ではなく重複する性質がある為、通用しません。（IPv4+NAT環境の場合）
　そこで、全てのパソコンやスマートデバイスは変更不可能なシリアル番号（MACアドレス）といった固有の情報を持っています。この情報を管理の軸とすることで、どの状況でもデバイスが特定できます。これらは情報資産管理ツール等に用いられる情報として役立ちます。

③パスワード認証の排除

　いきなり全てのパスワードを排除することはできませんが、IDaaSサービスが進化した昨今では可能な限り統合認証環境での運用を推奨します。
　また最近では指紋、虹彩、顔認識認証の機能がパソコンやデバイスに実装が普及しつつあります。安全な運用を継続するためには、管理する認証の回数（パスワードの数）を減らすかが管理者、利用者の負荷をポイントになると考えます。

④セキュリティ教育よりも「もっと便利になるため」のディスカッション

　よく言われるのが、情報セキュリティの社内教育を行い、利用者のリテラシー向上に努める対策です。これも必要な対策の一つです。

　このようなリテラシー教育に加え、「もっと便利に利用するために」をテーマにフリーなディスカッションをしてみることをお勧めします。または「不便に感じたこと」でもいいと思います。

　一方的な知識の詰め込みよりも、管理者と利用者の間で「できること」「できないこと」話し合われることで、相互理解と当事者意識を持つことが継続する上で大きなポイントと考えます。

まとめ

　いかがでしょうか。テレワークが始まって1年経つといった管理者の方が多いのではないでしょうか。
　当初は2020 年夏に予定されていた東京オリンピック開催時の首都圏混雑緩和策としてのテレワークでしたが、新型コロナウイルス感染症対策として、そしてデジタルトランスフォーメーション（DX）や、新しい働き方改革の一環としてテレワークのあるべき姿も変容を遂げてきました。
　テレワークは確実に私たちのライフスタイルに変化をもたらしています。これまで変わらなかった制度や仕組み、業務プロセスを見直し、よりよいものに変えていく良い機会でもあります。

　是非、今一度テレワークのセキュリティ対策を見直してみてはいかがでしょうか？