地上基地応答なし

まあなんやてきとーに。

在宅勤務における情報セキュリティリスクを考える

5月25日に緊急事態宣言が全国で解除されました。しかし、職場への出勤等については、引き続き事業者に対して、在宅勤務(テレワーク)、時差出勤等、人との接触を低減する取組が推奨されており、私も6月いっぱいは在宅勤務が続きます。

 

働き方改革」の一環としてテレワークが推進されてきた

IT関連の職種は、オフィス勤務の場合でもパソコンに向かっての仕事が多いので、もともとテレワークに向いています。実際、私の会社では、今回の新型コロナウイルスの感染拡大が始まる以前から、希望者にはテレワーク勤務できるような制度もありました。契機は、今年開催される予定だった東京オリンピックに向けて実施された「テレワーク・デイズ」ですかね。

teleworkdays.go.jp

テレワークの実施により、企業には生産性の向上、就業者にはワークライフバランスの向上、社会には高齢者、障がい者、遠方居住者などの新規雇用の創出 、様々な効果(メリット)をもたらすことが期待されていました。

 

テレワーク推進によるデメリットも

一方、コミュニケーション不足により部下の仕事が見えない、仕事を自宅に持ち帰ることにより重要な情報が漏れるリスクがある、などのデメリットもあります。コミュニケーション不足については、ZoomなどのWEB会議システムや、Slackなどのチャットツールなどの導入により、各企業において解消に向けた対策が取られているようです。しかし、外部への情報漏洩などの情報セキュリテイリスクについては、軽視されているのが現状ではないでしょうか。

 

在宅勤務における情報セキュリティリスクとは

在宅勤務におけるテレワークでは、通常は自宅から会社のネットワークに接続し、社内のファイルサーバーに保管されている資料を参照したり、社内システムを使ったりして業務を遂行します。当然、社内ネットワークにある資料やシステムから取り出せるデータは、業務を行うために参照するものであり、外部に公開しているものではありません。普段なら会社のオフィスに出勤し、自席のパソコンからでないとアクセスできないもののはずです。それらの情報に、インターネット経由で自宅からアクセスできるということは……社外の全く関係のない第三者からも、アクセスできてしまう、ということではないですか?

 

いえ、そこは、外部の人間からは社内の情報にアクセスできないような対策が取られているはずです。オフィス勤務だった人間が在宅勤務をする時に、今まで会社で使っていたノートパソコンを持ち帰って、家から会社のネットワークにつないで業務を行なっている方も多いのではないでしょうか?

しかし、会社で使っていたパソコンを持って帰ったからといって、それでそのまま社内の仕事ができるわけではありません。在宅勤務が始まる前に、情報システム部門の人から、何か新しいソフトをインストールするような指示があったはず。自宅でパソコンを立ち上げたら、まずそのソフトを起動して、ユーザー名とパスワードを入れてください、と。

例えばこんな感じ。Windowsログイン後、「接続」する。

f:id:ziwaimerw:20200607212131p:plain

するとユーザー名とパスワードの入力画面が表示され、

f:id:ziwaimerw:20200607212155p:plain

会社のネットワークに接続できました!

f:id:ziwaimerw:20200607212207p:plain

これは「Sophos VPN クライアント」を使った事例ですが、VPNとはVirtual Private Networkの略で、インターネット上に仮想のネットワークを設定し、特定の人のみが利用できるようにしたものです。これにより、自宅から安全に社内ネットワークに接続することができます。

f:id:ziwaimerw:20200611214509p:plain

インターネット経由で自宅から本社オフィスから接続するときの例

 

PC本体に保存しているファイルが流出してしまう恐れが

なんだ、誰でも外部から社内ネットワークにつなげるわけではなくて、ユーザー名とパスワードがなければダメなんだったら、安全じゃね? そう思われる方もいらっしゃるかもしれません。確かに、社内ネットワークに入れなければ、その中にある情報にもアクセスすることはできませんし、情報漏洩の心配もありません。

しかし。

社外に持ち出している、PC本体に保存しているファイルには、社内ネットワークに接続しなくても、簡単にアクセスできてしまうのではないですか?

 

 もし、社外に持ち出しているPCが盗難にあってしまったら?

よく重要な顧客情報が流出した! とかって新聞沙汰になるときにありがちなのが、「重要ファイルを保存していたPC本体が盗難にあい、そこから流出してしまった」というものです。もし、持ち出しPCのWindowsにサインインするパスワードを設定していなければ、PCを入手した人なら誰でも簡単に、本体に保存されているファイルにアクセスできます。これは困りますね。

 

PC本体には、業務で使うファイルは保存しない!

PC本体に保存しているファイルからの情報流出を防ぐには、どうしたらいいでしょうか? もっともシンプルで確実な対策が一つ。

PC本体には、業務で使うファイルは保存しないこと。

もっとも簡単な対策は、ファイルの編集は常にファイルサーバーに保存されているものに対して直接行い、PC本体のほうにはファイルを持ってこないこと。簡単です。ただ、とは言っても社内のファイルサーバーには個人が自由に使える領域が限られている場合も多く、個人で必要なファイルはPC本体に保存せざるをえないこともあるかもしれません。また、使ったあとはファイルを削除しておけばいいのですが、人間がやることなので、うっかり消し忘れもあるかも。

 

そういう時は、こんな製品もあるようです。

www.i-site.co.jp

リモートで社内にアクセスしても、画面転送方式の為、接続元PCへのデータの書出し、保存は出来ない仕組みだとか。確かに、システム的にローカルPC本体にファイルを残さないようになっているのならば、安心かもしれません。