【新型コロナウイルス】リモートワーク最大の注意点はセキュリティ

新型コロナウイルスでリモートワークに舵を切った企業・組織も多いのではないでしょうか。
リモートワークは成果をベースにした新しい仕事の進め方です。今回のコロナショックで拍車が一気にかかりましたが、今後は一般的なワークスタイルになってくるのは確実です。
しかし、遠隔でインターネット越しに働くがゆえに弱点もいくつかあります。
その最大の注意点はセキュリティです。
今回は、リモートワークのセキュリティの注意点についてまとめます。

当社UPFでは、Pマーク（プライバシーマーク）の取得コンサルを行っている会社ですが、最近お客様より『リモートワークについての注意点を教えてください』というお問合せをよく頂きます。
このブログがすこしでも皆様のヒントになれば幸いです♪

｜日ごろから心がけたい

・不審なパソコンをソフトウェアで検出

VPNに対して、不審なパソコンが接続されていないか常にソフトウェアで監視する必要があります。
専門のセキュリティソフトウェアがありますので、ネットワークのOSI参照モデルにおける低レイヤー層を監視する必要があります。

・ウイルス対策ソフトでガード

そして、パソコンはソフトウェアでガードする必要もあります。コンピュータウイルス専門のアプリを使って、侵入されたら悪さをする前にガードしましょう。

・つねに最新版にアップデートを欠かさない

そして、OSもソフトウェアもセキュリティソフトも、常に最新版にアップグレードしてセキュリティホールを塞いでおく必要があります。そうしないと、過去のバージョンには弱点があるケースが多々存在するからです。

自動アップデートでも構いませんので、常に最新版にリフレッシュしておきます。

｜ コンピュータセキュリティ

・スクリーンセイバー

コンピュータそのものにもセキュリティが必要です。たとえば、リモートワークで離席したとき、家族や周りの人に仕事の画面をみられないようにするためのスクリーンセイバー。そもそもスクリーンセイバーは、液晶ディスプレイが登場する前の時代の、画面の焼き付けを防ぐものでしたが、目隠しにも使われています。

・ログインIDとパスワード

ログインIDとパスワードは、ふせんに書いてデスクに貼ってはいけません。家族で共用パソコンだったらなおさらです。できればChromeに覚えさせて、家族でも別々のGoogleIDを使うべきです。Googleは家族でIDを複数持てまし、理論上は無限にアカウントを発行できます。

できる限り使い分けることを周知徹底していきます。

・デスクロック

物理的にもワイヤーロックでPCをデスクに固定しましょう。

どれだけセキュリティを凝らしても、物理的に盗まれては意味がありません。ワイヤーはAmazonでも1,000円もあれば買えますので、ぜひロックする習慣をつけてください。

最近ではカフェやコワーキングスペースでお仕事をなされる方も多いと思いますが、これは会社でも家でもカフェでもコワーキングスペースでも同様です。
むきだしでデスクに置いたまま席を離れるのはセキュリティ上の問題が生じます。無くなってからでは遅いのです。

｜ 物理セキュリティ

・口に出さない

ここからは、物理的なセキュリティです。まず、話をしないということ。守秘義務を重んじて、とくに固有名詞を口に出すのを避けます。そうしないと、「●●社の売上が・・・」とか「△△さんの人事評価が…」といった、極めて重大な情報が漏洩してしまいます。聞いた周りの方々もぎょっとするでしょうし、まだ無関係な人ならまだしも、関係者が聞いていたら大変な事態に発展してしまいます。

とにかく口に出さないこと。誰が聞いているかわからないという意識を持って、常に緊張感を持っていく必要があります。

・USBは厳禁

USBメモリも全社的に禁止しましょう。USBメモリは物理的に持ち外しが可能で、セキュリティ事故の最も大きな要因となりえます。なぜなら、データを誰が持ち出したかわからず、紛失リスクも大きいからです。

USBメモリは、情報が持ち出され、転売されたり不正に利用されたりで、もうさんざんな目にあいますから、そもそも使うことそのものを禁止したほうが無難です。カフェにおいておいて、離席した時に盗まれた、道で落とした、どこかでなくした・・・そういった事例は無限にでてきます。

・自宅でシュレッダーは必須

さらに、リモートワークで自宅にて仕事をする場合、各社員にシュレッダーを必須にしておきましょう。そうしないと、機密情報がそのままゴミの日に出されて、外部に流出する恐れがあります。
個人情報保護てあれ（シュレッダー手当？）などの予算をとってもいいと思います。
『そこまでやるの？』
と声が聞こえてきそうですが、実はここからの漏えい事故は大企業でも結構起きているんです。
ようは悪意のある人は悪いことをするんです。一人につき3,000円程度手当を出すことで防げるリスクはあるのです。

情報を狙っている人は、ゴミあさりぐらい平気でやりますので、そこは予防が命です。
家でもどこでもシュレッダーを仕事終わりや土日には必ず稼働してもらって、重要書類や社外秘のマークのついた書類を裁断するよう、絶対に社員に銘じなければなりません。

｜ 担当者セキュリティ

・ログ保管

セキュリティ担当者のレベルで必要なことをみていきます。
まず、ログ保管。これは万が一のことがあった際に、ログをたどることで犯人を突き止められます。ログは消してはいけませんし、いつも以上にしっかりとチェックする必要があります。

そうしないと、不審なコンピュータが入ってきたとき、BANすることはすぐできますが、何をされたかはわからなくなるからです。くれぐれもログを消さないようにしましょう。

・共有の停止

さらに、共有モードはすべて停止する必要があります。不用意にフォルダを外部に公開すると、会社の資料が丸見えになってしまいます。すべて非公開にして、必要に応じて、IDつきで公開という形がいいでしょう。

Google Documentなども、共有モードで使っている場合は、すべて「メールアドレスを指定して共有」モードに変更し「URLを知っている人すべてに公開」というモードは絶対に使わないようにしましょう。

・VPN

VPNも大事です。社内のネットワークにつなげる場合、今のところVPNしかありえません。不用意にポートを開放してログインを許すことはやってはいけないのです。そこからセキュリティ問題につながってしまいます。

VPNはIDとパスワードもさることながら、高度なセキュリティで守られた優れたバーチャルネットワークです。直接ローカルIPアドレスを配布するわけではないので、万が一の際もすぐに切断できます。

｜ ネットワークセキュリティ

・フリーWi-fiはNG

ネットワークの話がでたところで、ネットワークセキュリティも重要です。まず、フリーWi-fiでつながないように周知徹底する必要があります。フリーWi-fiでつないでいる場合、セキュリティ上の問題が往々にして発生します。

最近では至る所でフリーWi-Fiが使える環境が整ってきておりますが、そこに甘んじることなく外で仕事するときは、フリーWi-fiに頼るのではなく、せめてポケットWi-Fiを持ち歩いて、そちらからアクセスすることを会社として推奨しておきましょう。

・暗号化は必須

そして、ネットワークは暗号化してなければなりません。平文のデータがネットワークを通っていると、まず不正にみられていると思っていいでしょう。基本的に、ネットワークは外部からの脅威にさらされている前提で動いた方が無難です。

よって、万が一のことを避けるため、暗号化は必須です。

・パスワードを複雑に

さらに、パスワードは絶対に複雑にしてください。誰でも推測できるような「abcabcabc」みたいなのはやめましょう。パスワードもまた、どこかで流出しているとの前提で動いた方がよく、何度もパスワードの順番にアタックをされていると考えたほうがいいのです。

パスワードジェネレーターがGoogle Chrome等についていますので、そちらを利用して、複雑かつ長いパスワードを使うようにしてください。また当たり前ですがパスワードをメールで送るのも禁止としましょう。パスワードの意味が全くありません。

｜最後に

リモートワークはセキュリティが命です。特に組織の場合は、社員から脆弱性が生まれると思って行動したほうがよいでしょう。大勢のメンバーが同時にリモートアクセスすることで、セキュリティ上の負荷もかかります。

しかし、それでも前に進まねばならないのですから、これを機にいっきにセキュリティリテラシーを高めてください。

また、最後になりますが、当社UPFでは、Pマーク（プライバシーマーク）の取得コンサルを行っています。Pマーク認証を取りたいのであれば、ぜひどうぞ。

■こちらの記事もおすすめです

>>【テレワークで今こそ覚えたい【ネットワークのセキュリティ対策】】