コロナ禍以降、外出自粛などによって急速にリモートワークが広まりました。しかし、在宅でのリモートワークだけだと変わらない日常で精神的に疲労が貯まってしまいます。その中でワーケーションという働き方が注目。ここではワーケーションに関する注意点としてセキュリティに着目をして紹介します。
ワーケーションがあまり普及しない理由にセキュリティの問題が掲げられることも多く、セキュリティ対策に費用がかかるということが企業側のデメリットとなっています。具体的にセキュリティ対策を取る企業事例も参考にしてみてください。
ワーケーションで情報セキュリティにきをつけなければならない理由
ワーケーションとは観光地やリゾート地でリモートワークと休暇を同時に行うことを言います。普段とは異なる環境で作業を行うことで精神的なリフレッシュを行うことができます。
しかし、ワーケーションでは場所が制限されないということでオフィスで仕事をしている場合と異なり、様々なセキュリティリスクが生じます。
例えば、誤ってパブリックネットワークに接続してしまうとセキュリティが担保されていなく盗聴されてしまう可能性があります。人為的な例では、カフェで作業していて背後からパスワードを盗み見られる、パソコン自体が盗難されるなどの可能性もあります。
したがって、ワーケーションでは企業としても労働者としても情報セキュリティは念入りに対策を行う必要があります。
ワーケーションでの情報セキュリティの対策
ここではワーケーションでの情報セキュリティで気を付けるべき点を企業側・労働者側・施設側の3つに切り分けて紹介します。いずれの場合にも情報漏洩やインシデントを起こさない対策はもちろん必要ですが、企業側と労働者側は特に情報漏洩やインシデントが起こってしまった場合の対処法も明確にしておくことが大切です。
企業側が気を付けること
ここでは企業側が行う対策として重要な点を3つ紹介いたします。
紙の資料やUSBメモリなどパソコン以外の持ち出しルールを明確にする
パソコンに関しては業務で利用することが多く、十分な対策をしているケースが多いですが、紙媒体やUSBメモリに関してもルールを明確にするようにしましょう。例えば、持ち出し申請を行いどこに持ち出すのか明確にするなどの方法があります。
セキュリティソフトを導入するなどの設定を行う
パソコンに関しては従業員がパブリックネットワークに接続してしまう可能性等も考慮にいれセキュリティソフトは必ず入れるようにしましょう。また、リモートワーク促進のためにVPNを導入する場合には情報漏洩が発生しないように十分に検証をするようにしましょう。
情報セキュリティの教育を定期的に行うなど従業員への周知を徹底する
企業側がルールを決めても従業員への周知が徹底されていなければ意味がありません。対策を従業員への周知を徹底するとともに、インシデントが発生した場合のコミュニケーションパスや対応策を明確にして教育するようにしましょう。
労働者が気を付けること
労働者が注意する点もあります。労働者が注意するべき点は主に以下の3つと言えるでしょう。
パブリックネットワークは使わないようにする
カフェのフリーWi-Fiなど、パブリックネットワークは多数の人が利用しているため盗聴やウィルスの流入のリスクがあります。インターネットへの接続が必要な場合にはポケットWi-Fiなどを用意するようにしましょう。
パソコンや紙媒体の管理を徹底する
特にパソコンは部品だけでも転売が可能であるため盗難されるリスクが高いです。パソコンはセキュリティケーブルを必ずつけて利用するなど、ものの管理を徹底するようにしましょう。また、お酒を飲む場合や騒がしいところに行く場合には会社関連のものは持ち込みしないようにするなどの対策も有効です。
インシデントが発生した場合の対策とコミュニケーションパスを押さえておく
気を付けていてもインシデントが発生してしまう可能性があります。発生した場合の対応を明確にしておきましょう。パソコンがウィルスに感染した場合にはネットワークに接続せず、情報部門に連絡する。盗難が発生したら、気づいた時点で上司に連絡するなど企業でのルールを決めておくことで冷静な対応ができます。
施設側が行うこと
ここでは施設側が行う対策として重要な点を2つ紹介します。また、この2点を明確にアピールすることで、ワーケーションを検討している人の目に付きやすくなり、施設の利用者が増えるでしょう。
個別スペースを確保しておく
ワーケーションといってもリモートワークのため、リモート会議は発生します。利用者の中にはクライアントの会議や機密な会議などもあるでしょう。そのような方が利用しやすいように音漏れが発生しない個室を用意しておくと、利用者も安心して利用ができるでしょう。
ネットワークの脆弱性診断を行う
リモートワークの場合、企業側は必ずしも完全なネットワーク対策を行えるわけではありません。施設側でもWi-Fi 診断を受けることなどがおすすめです。コワーキングスペースに設置した無線 LAN ルーターやアクセスポイントなどの Wi-Fi 機器の設定、暗号・電波状態、構成などの脆弱性について確認しておくといいでしょう。
ポケットWi-Fiなどを配布して、リモートワークを支援している企業も少数ですので、施設側で安全性を担保することで利用者はその施設を利用しやすくなっておすすめです。
参考:https://www.cybertrust.co.jp/case/securitydiagnosis-yugafinn.html
過去のトラブル例
ここではワーケーションでのセキュリティインシデントの例として2つ紹介。いずれも従業員の不注意や認識不足によって発生したケースになりますが、企業側が対策できたケースもあります。ここでは対策例も合わせて紹介しますので参考にしてください。
参考:https://business.ntt-east.co.jp/content/cloudsolution/column-275.html#section-01
事例1:パソコンが乗っ取られる
パソコンの乗っ取りは情報流出や金銭要求など様々なリスクにさらされるため、重大なセキュリティインシデントと言えます。この事例では大きな被害はありませんでしたが一歩間違えればニュースになるような事象です。
従業員がパソコン利用中にウィルス感染を伝えるポップアップ表示が発生しました。従業員はウィルスに感染したことを認識し、ポップアップの手順に従ったところ、第3者にパソコンを乗っ取られ、金銭要求をするメッセージが表示。この時点で乗っ取りを認識し、インターネットとの接続を遮断し、対応および情報部への連絡を行ったということです。
このケースではアドウェアというプログラムをダウンロードしたことで、このようなメッセージが発生してしまいました。
事例1の問題点と対策
この場合の問題点は次の2つと考えられます。
- ウィルス感染した場合のセキュリティソフトの内容を従業員が認識していなかった
- ウィルス感染を検知したのにも関わらず、インターネットとの接続をすぐに遮断しなかった
対策としては、以下のことを徹底させる必要があるでしょう。
- 企業側はセキュリティソフトがウィルスを検知した場合のメッセージ内容を明確に周知する。
- 従業員はセキュリティルールを認識し、ポップアップが発生した時点でインターネットと切断、情報部への連絡をする。
事例2:パソコンにウィルスが感染したことで個人情報が流出
個人情報はクライアントの情報や顧客情報を流出させてしまうと、甚大な影響を周囲に与えてしまうので、特に気を付けなければならないインシデントになります。今回のケースでは自社社員の情報やサーバーログの流出のみであったため、大きな被害にはならなかった事例です。
発生した事象としては、従業員が会社から配布されたパソコンでSNSにアクセスをし、第3者からファイルを受け取った結果、ウィルスに感染したしました。また、ウィルスに感染した状態で社内ネットワークにもアクセスしたため、他のパソコンにも感染し、情報が抜き取られてしまいました。
事例2の問題点と対策
事例2の問題点は以下の2つです。
- ウィルス感染対策がしっかりとなされていなかった
- 会社のパソコンでSNSに接続してしまうなど、情報セキュリティに対する認識が甘かった
対策としては、企業側と従業員側での対策が必要です。
- 企業側は高精度のセキュリティソフトを入れる、社員にパソコン利用時のルールを周知する等対策を入念に実施。
- 従業員側は会社のパソコンでSNSにアクセスしないようにルールを認識し、遵守する。
ワーケーションのセキュリティ対策をしっかり取っている企業事例
ここでワーケーションを導入して、セキュリティ対策もしっかりとした対策をしている企業例についてもご紹介します。セキュリティに費用が掛かるということで、ワーケーション導入がうまくできていない、問題を抱えている企業が多い中、しっかりと対策を取っている企業事例も参考にしてみるといいでしょう。
日本航空株式会社
例えば、日本航空株式会社では、コロナ禍以降テレワークも進んでいる企業です。そのため、サイバー攻撃に対するリスクも重要視して対策を取っています。具体的には、在宅環境におけるITセキュリティを強化し、社外で重要情報と取り扱うルールも再整備しています。
また、最近ではサーバーリスクへの脅威が大きくなっているため、社外で安全に利用できる新しいセキュリティ対策を入れた会社端末の導入を図っているのが特徴です。
さらに、インシデント発生に備えて、年に2回以上の訓練を実施。また、サイバー事故を含む賠償リスクのための補償の保険にも加入しています。また、ウイルスメールやビジネスメール詐欺による被害を防止するため、標的型メール訓練を毎年複数回実施して実際に備えているのも特徴と言えるでしょう。
参考:https://www.jal.com/ja/sustainability/governance/riskmanagement/information-security/
まとめ
急速にリモートワークやワーケーションが広まったことで情報セキュリティの対策が遅れているケースも少なくないでしょう。対策が遅れてしまうと重大な被害が発生する可能性もあります。しかし、従業員の認識不足で情報が漏洩しているケースも少なくありません。まずは社外で作業をする場合どのようなリスクがあるのかを従業員に認識してもらい、企業側はネットワーク基盤の整備などを進めるようにすると良いです。
また、施設側もワーケーションが広まっていることは施設を利用してもらうチャンスでもあります。安心して利用できる環境を整えてアピールしていくと良いでしょう。
ワーケーションによって、幅広いICT環境に注意を払うことが大切な状況となっています。環境整備をし、そしてセキュリティに関する徹底した意識を深めていくことが重要になってきている時代と言えます。