今のテレワークの運用で大丈夫?情報漏洩のリスクや管理するべきこと
2022.06.22
テレワークにおける情報漏洩リスクとは?
新型コロナウイルス(COVID-19)感染拡大の影響で、組織はテレワークを実現するツールやインフラ整備を進めた状況ではないでしょうか。テレワークは感染症対策だけではなく、場所と時間に囚われない柔軟な働き方を実現し、多様で効率的な業務を進めることにも有効です。
総務省の情報通信白書令和3年版によると、1回目の緊急事態宣言時にはテレワーク実施率は17.6%から56.4%へと上昇し、その後、緊急事態宣言解除後には低下するものの、2回目の緊急事態宣言時には38.4%に再上昇しており、テレワークの一定レベルの定着傾向が見て取れます。
しかし、テレワーク環境の構築によって、様々な課題が見つかり多くの情シス担当者の方からご相談をいただいています。ご相談によると、テレワーク環境整備を急いでしまったために、情報漏洩のリスクが高まっているのではないかという懸念の声があります。
そこで、今回はテレワーク時の内部不正による情報漏洩のリスクと対策について紹介します。
「ルール」「人」「技術」のバランスが必要だが、「人」への対策が最も難しい
総務省が公表している「テレワークセキュリティガイドライン(第5版)」は、テレワークを安全に実現するための具体的なセキュリティ対策について紹介しており、この中でも、テレワークにおいて検討すべきこととして、「ルール」「人」「技術」のバランスがとれた対策を挙げています。
出典:「総務省テレワークセキュリティガイドライン(第5版)(総務省)
当ガイドラインでは、最も対策が難しいのは「人」としており、「ルールを定めても、実際に従業員がそれを守らなければ、ルールによる効果が発揮されることはありません。」と記載されています。
テレワーク時は、物理的な会社設備のセキュリティや職場の周りの人の目による監視が無いため、従業員自身のモラルに委ねざるを得ません。そのため、内部不正やセキュリティルールを破る機会が増えて、内部情報漏洩のリスクは出社時よりも高くなる可能性があります。
そうならないためにも、従業員がルールを順守できるようにし、守っていない場合は上司や周りが気付いてフォローできる仕組みが必要です。
従業員の心身や会社への不満により内部不正が起こる
テレワークは、本来であれば勤務中の表情や挙動で気付き声がけをできていたことも、相手の状況が見えづらくなりフォローする機会や同僚への情報が減少します。
内閣府の調査によるテレワークのデメリットとして、「社内での気軽な相談や報告が困難」、「画面を通じた情報のみによるコミュニケーション不足やストレス」が上位なことから、テレワークにより従業員がストレスを抱えやすいことが考えられます。
出典:「第4回 新型コロナウイルス感染症の影響下における生活意識・行動の変化に関する調査(内閣府)
ストレスを抱えた状態であると、心身への悪影響や働く意欲の低下により、会社への不満に繋がることが懸念されます。
会社への不満を放置したままにすると社内のルールを守る意識が低下し、内部不正の動機に繋がる可能性が高くなるため、対策が必要です。対策としては、ルールの意識が低下した場合でも内部不正を起こさないためのITシステムの導入、会社への不満を解消しやすい組織の仕組みを構築することが重要となります。
社内ルールを定めて業務を管理することで、テレワーク時の情報漏洩を対策
テレワークに必要な内部不正による情報漏洩の対策は、社内のセキュリティポリシー(ルール)を定め、順守する教育や周知を従業員(人)に行うこと。そして、「ルール」「人」の対策では足りない部分をITシステム(技術)で補うことができます。
「ルール」「人」「技術」の対策の中でも「人」への対策は、ルールを順守してもらうための仕組みを見直す必要があり、対応が比較的長期に及ぶでしょう。また、テレワークによる業務はメンバーからの目が届かないため、組織側から行動を制御することがより難しくなります。
そのため、「人」に対する対策として、ITシステムを活用しルールの徹底、ログによる業務の可視化が効果的となります。ログによる業務の可視化により、ルール違反となる行為を管理者から注意を行い改善を促すことが可能となります。
対策例1.「人」単位での監視・制御を「システム」により徹底する
テレワーク時に起こる内部不正に対しては、「人」単位での監視・制御を行い、社内のセキュリティポリシーに違反していないかを検知できるITシステムが有効です。
内部不正による情報漏洩の対策ソフト「CWAT」は、端末ではなく「人」単位(ログインユーザ単位)でのセキュリティポリシーを設定することが可能です。例えば、社内のセキュリティポリシーで禁止されているクラウドストレージの利用を「人」単位で許可を行うことができます。
※CWATポリシー適用画面(CWAT監視、制御例)
「CWAT」は以下のような内部不正による情報漏洩の対策を実施します。違反操作を実施した際には、リアルタイムに管理画面への通知、および、上長へのメール送信が可能です。
<違反操作の例>
- ・自宅プリンタからの印刷を禁止する。
- ・私用USBメモリを利用させない。
- ・許可されていないクラウドへのアップロードを禁止する。
- ・ファイルを暗号化し、特定の端末でしか復号できないようする。
- ・スクリーンショット取得をさせない。
- ・許可されていないSSIDへの接続を禁止する。
対策例2.従業員の業務状況をログで可視化し、管理とフォローをおこなう
ITシステムのログを活用して従業員がどのような業務を実施しているのか、ルール違反をしていないか等を可視化したうえで、管理者が1on1面談などの業務の相談や社内ルールを周知する機会を作ることが有効です。
ITシステムのログについては、ログ量が膨大となるケースが多く、また、一人でも複数台の端末をテレワーク用と社内用に分けて利用したりと、ログから必要な情報を把握することに、手間がかかります。
そのため、注視すべきルール違反操作や、注意が必要な操作のログを抽出して、かつ、「人」単位で効率的に業務状況を把握する必要があります。
※CWAT警告ログ一覧画面
まとめ|「人」へのフォローができるテレワーク運用、管理が大切
テレワークは上司や同僚とのコミュニケーションが減り、良好なチームワークが築けないことが原因で会社への不満も発生しやすくなります。会社への不満が蓄積されると社内のルールを守る意識が低下し、内部不正による情報漏洩が発生する原因となってしまう可能性があります。
情報漏洩を発生させないためにも、ルールの意識が低下した場合でも内部不正を起こさないためのITシステムの導入、会社への不満を解消しやすくするために業務を可視化し業務の相談を行える機会を作ることが必要です。業務を可視化した後、各メンバーへ普段の業務に関する相談を受けられる仕組みづくりを行い、不安や悩み事を受け入れて力を添えられるような組織を目指すべきではないでしょうか。
従業員に社内ルールを順守してもらうためには、可視化を行いつつ、規則を周知し「人」と「ルール」を同時に守る、ITシステムと組織作りがテレワークによる働き方で求められています。