中小企業によくある課題

テレワークで個人PCを使っている際のセキュリティレベルの上げ方は?

中小企業によくある課題 Common Challenges

コロナ禍の影響でテレワークを実施する企業が増え、東京都では3月後半時点の調査で56.4%と半数以上の企業で行われています

しかしテレワークと一言で言っても内実は様々で、会社からテレワーク用の端末が支給されるケースもあれば、社員の個人PCを利用してテレワークを実施している企業もあります。

特に体力のない中小企業ではテレワーク時に予算の関係で、社員の個人PCを利用してもらうケースが出てきます。

しかし会社で管理できている端末とは異なり個人PCは環境が統一されていないため情シス担当者としてはセキュリティレベルに不安が残るのが実状です。

こうした個人PC利用時のセキュリティレベルの上げ方について本稿でまとめていきます。

テレワークで個人PCを使わざるを得ない理由

ある調査によると、テレワークで個人PCを利用したことがある人は44.7%と、ほぼ半数が仕事に個人PCを利用したことがあるようです。

理由は様々あると思いますが、中小企業では予算不足、社長の方針、セキュリティ意識が高くないなどテレワークに際して端末を追加購入することを避けるケースがあります。

確かに「端末を揃える」とだけ書いてしまうと簡単に思えますが、業務用のソフトウェアのライセンスなども含めると人数分そろえるだけで、かなり高額な投資となってしまうことも一要因です。

また、最近は落ち着いているとはいえテレワークの実施率が一気に伸びた2020年前半などはPCを発注しても納期がかなり先になってしまうためそもそも端末を揃えること自体が難しかった背景もあります。

結果として適切とはいえないとわかりつつも、社員に個人PCの利用をお願いせざるを得なかったというのが実状と思われます。

個人PCを業務利用するリスク

とは言え、個人PCの利用には様々なリスクが含まれています。
企業が自社の業務利用のために選定したものと異なり、あくまでも個々人が自身のために利用することが前提のため、環境が人によってまちまちとなっているのが要因です。

情シス担当者としては信じられないかもしれませんが、中にはサポート期限切れのOSを使用しているケースや、セキュリティソフトを入れずに利用しているケースもありえます。

先ほど紹介したある調査の続きで、テレワーク時に使用したPCのうち、27.2%はセキュリティソフトをインストールしていなかったとの回答があるのです。

「期限切れOS、セキュリティソフトなしの端末に会社のデータをダウンロードし業務を行う。」この文章を読んだだけでも冷汗が出てきそうです。

今回は深く言及しませんが、無線LANルータの設定なども初期設定、工場出荷状態のまま利用していたりするので、テレワーク時の侵入経路は複数存在する可能性が高いと考えたほうが良いでしょう。

考えておくべきセキュリティの観点

原則としては社内の情報セキュリティと同じ観点で、通信に関わる全ての経路を対象とするべきです。

ただしコントロール可能な領域と不可能な領域があるのでヒアリングを行ったうえで現実的な範囲でのセキュリティ対応を行う必要があります。

例えば無線LANルータについて、賃貸住宅で大家がすでに回線契約していて利用料が家賃に含まれているケースなどはそもそも借り手に設定変更権限がなく作業依頼を行っても対応することは困難です。

また、古いOSを利用していたとしても会社として個人の端末に対して買い替えを指示することは難しいのが現状です。

こうしたケースは無数に発生するため画一的な対応方法リストを作成することは難しいのですが、企業としてのセキュリティ方針や担当業務と照らし合わせて現実的な落としどころを見つけていきましょう。

何から手を付ければよいのかわからない場合、まずは総務省が公表している「中小企業等担当者向けテレワークセキュリティの手引き(チェックリスト)(初版)」などを参考に、自社のテレワーク形態などに合わせてチェックするのをお勧めします。

ネットワークの観点から見たセキュリティ

重要情報、機密情報を取り扱うためには通信の盗聴が行われないよう極力暗号化通信を行うようにするべきです。

VPNによる暗号化で傍受を防いだり、リモートデスクトップによる会社端末へのアクセスでデータ自体をローカル上で取り扱わないようにしたりすることなどが推奨されます。

可能であれば無線LANの通信方式のセキュリティを上げたり、MACアドレス認証やアクセスポイントをステルス化したりすることで、外部からのアクセスを防ぐようなやり方ができればより安心できます。

ただしネットワーク設定は各従業員が自宅で行う必要があり、かつ回線環境や使用しているルータなどによっても対応が変わるため従業員のリテラシーレベルに応じて検討を行わないといけません。

作業手順書を書いたとしても「うちのルータにアクセスするURL(IPアドレス)がわかりません」といった内容の質問も当然来ます。

MACアドレス認証を行う場合は家庭内の他の機器の登録もすべて行わないといけないなどユーザー側でかなり大変な作業が発生することも想定されます。

この辺りはリテラシーレベルとして対応できそうか、作業を許容できそうなメンバーかなどをある程度相談したうえで方針を定めるようにしましょう。

端末保護の観点から見たセキュリティ

一番の本命が個人端末自体のセキュリティです。

サポートがあるOS利用の推奨やアップデートの実施、セキュリティソフトの導入など最低限の対応については情シス担当者としてヘルプデスク対応も行いつつ対応する必要があります。
セキュリティソフトについても有料のものを使ってもらうのか無料のものを使ってもらうのか、有料のものを使う場合その費用は誰が支払うのかなど情シスのみでは完結できない問題も発生します。

とは言え、ここをおろそかにするのは非常に危険なので、忍耐強く対応しましょう。
無料のセキュリティソフトも様々なものがあるので、利用する場合は情シス担当者側として推奨するものがどれかなどなるべく具体的に指定してあげるのが良いと思われます。

まずはきちんとベースのセキュリティレベルを高めることを考えましょう。

運用の観点から見たセキュリティ

端末のセキュリティレベルを高めても、端末を取り扱う従業員にセキュリティ意識がなければEMOTETなどのマルウェアに感染し、情報漏洩や不正アクセスの被害にあってしまいます。

テレワーク中は何かおかしいことがあっても出社時と同じ感じで気軽に声をかけるということに対してハードルが上がります。
その結果「まあ、とりあえずこのくらいならいいか」で見過ごされた内容がセキュリティインシデントとなってしまうケースもあるのです。

情シス担当者はこの事態を避けるために声がけしやすい環境を意識して作るのと同時に、実際の作業を行う社員ひとりひとりに対して情報セキュリティの講習等で教育を行う必要があります。

IPAがユーザー向けの資料を作ってくれているので参考にしつつ、社内教育を行うと良いかもしれません。

情シスとして社員教育と同時にセキュリティ対策のソリューション検討を

情シス担当者としてテレワークかつ社員の個人PCを使用する場合のセキュリティレベルを、出社時と同じレベルにすることは非常に難易度の高い課題です。

しかし、その中でもできることを探し、セキュリティを担保した体制を構築するのが与えられた役割でもあります。
今回ご紹介した内容を体制構築や懸念点の洗い出しの参考にしていただければと思います。

また、人数が少ない体制なのであればソリューションも効率化の観点を含めて検討を行い、外部のリソースやツールを使いつつ全体のレベル向上に努めましょう。

SOMPOリスクマネジメントからのご提案

テレワークで個人端末を使わざるを得ない事情は様々です。
こうした環境下において、セキュリティインシデントを発生させないようにするためには、セキュリティソフト単体での防御に加えた多層防御が効果的です。

SOMPOリスクマネジメントではウイルス対策ソフトをすり抜けてくるウイルスを見つけて駆除する常駐型監視サービスをご提供しております。

テレワーク実施時のセキュリティに不安がある企業様はぜひ一度ご検討ください。

月額550円(税込)/台で使えるウイルスの解析検知・復旧支援サービス

SOMPOリスクマネジメントがご提供するSOMPO SHERIFFは、送信ログ、ディレクトリ作成履歴などを監視し、不審な挙動をチェック。
さらにウイルス対策ソフトをすり抜けてくる新種のウイルスも解析し検知します。
加えて、標準プランでは、検知したウイルスをハンティング(駆除)も可能です。

まずはSOMPO SHERIFF 体験版をお試しいただける『パソコン無料セキュリティ診断』からご利用ください。

SOMPO SHERIFF(標準プラン)は独立行政法人情報処理推進機構(IPA)が中小企業向けのサイバーセキュリティサービスとして制定した「サイバーセキュリティお助け隊サービス基準」を満たすサービスとして登録され「サイバーセキュリティお助け隊サービスマーク」を付与されました。 ※詳細はこちら