新型コロナウイルスの影響で以前から拡大の勢いを見せていたテレワークが、急速に広まっています。会社とは異なる場所で働くからこそ出てくるセキュリティ上のリスクの把握や対策が急務となっています。今回は、テレワークの基本的な説明とそのメリット・デメリットを整理し、デメリットについてはどのような対策を行うべきかを紹介します。
テレワークとは
まず、急速に広まったテレワークですが、正しく意味を理解しているでしょうか。今回の新型コロナウイルスの拡大に置いては、自宅で仕事を実施する在宅勤務が広がりを見せていますが、テレワークが意味する働き方は、在宅勤務だけではありません。Teleは、英語で「遠くの」を意味する言葉で、国語辞典では下記のように説明されています。
テレワーク(名)〔telework〕
コンピューターで本社と〈自宅/サテライトオフィス〉を結んで勤務する形態。在宅勤務。
三省堂国語辞典第7版(小型版)より
総務省のガイドラインによると、テレワークは、情報通信技術(ICT)の利用により時間・空間を有効に活用する多様な就労・作業形態を指し、具体的なテレワークの形態として、総務省は以下の3つに分類しています。
在宅勤務
所属するオフィスに出勤せずに自宅を就業場所とする働き方です。会社から持ち帰ったPCや自宅のPCから会社のPCを遠隔操作して仕事をします。通勤の負担が軽減されることや通勤時間の有効活用することが出来ます。
また、終日在宅勤務と部分在宅勤務という大きな2つの働き方があります。
モバイル
ケータイ電話やスマートフォン、タブレット端末を使って電車やバスの車内、カフェやホテルのラウンジといった場所で仕事をします。具体的には、営業職の方が移動の合間を効率的に活用する業務の実施方法です。
生産性向上の観点で非常に有効な働き方といえます。
サテライトオフィス
会社が用意した本社の周りにあるオフィスを利用して仕事をします。サテライトオフィスの種類は、本社と別に都市部に設置される「都市型」、子育てや介護などと仕事を両立しやすいように、ベッドタウンに設置される「郊外型」、地方創生や自治体の誘致などによって設置される「地方型」があります。
在宅勤務同様に通勤時間の削減に効果的と言えます。
テレワークとリモートワークは違いがあるの?
テレワークという表現だけでなく、リモートワークという表現が活用されるケースも目立っています。テレワークは約30年前に日本の電機メーカーが導入した制度です。一方で、リモートワークは最近登場した言葉になります。意味としてはテレワークとほぼ同義で、違いはほとんどありません。
テレワークもデメリットがある
場所に縛られずに働けることで、生産性の向上や通勤時間の削減、通勤時のストレス軽減などのメリットが存在します。また、企業が全社員分のオフィスのスペースを確保する必要もなく、フリーアドレスの導入等で固定費や交通費の削減などのメリットも考えられます。
しかし、テレワークの実施は、メリットもありますがデメリットも存在します。
・労働実態が不透明になり、管理が難しくなる
社員が働いている様子が見えなくなることで、勤務態度を評価をしていた従来の評価基準を見直す必要が出てきます。あるいは、在宅勤務で仕事のオンオフの切り替えが難しくなり、始業時間や終業時刻を守らずに勤務してしまう場合があります。勤務の実態が見えなくなることで、残業代を正しく計算することも難しくなります。
・組織力・チーム力の低下
グループチャットやビデオ会議など複数人でコミュニケーションを取る場所はあっても、直接顔を合わせるのとは違う使い勝手が意思疎通の停滞を招くおそれがあります。業務効率や生産性低下にもつながるため、対策が必要です。
・情報漏洩リスクが高まる
社内用のパソコンが各家庭に散り散りになると、外部に情報が洩れるリスクが増大します。各家庭によってネットワーク上のセキュリティの強度が異なることや、勤務者のセキュリティリテラシーの高さによって漏洩リスクは変動します。
これらを一律にコントロールできなければ、一か所で情報が漏洩したとしても取るべき対策がケースごとに違ってくるため、手間とコストが膨大になってしまいます。セキュリティ対策に場当たり的な施策を行い続けると、水槽から漏れる水を両手両足で抑えつつ、新しい水漏れの穴を抑えなければならず、非効率的な対策といわざるをえません。このような点から、セキュリティ対策は万全を期して考える必要があります。
テレワークの環境で生産性を担保することは、テレワーク推進時に経営層やマネジメント層が一番に直面する課題と言えそうです。新たなテクノロジーの活用や仕組み化、経験(慣れ)によって、ある程度改善が期待されます。
しかし、最後に紹介したセキュリティ対策は、一つの大きな事故が発生してしまうと、取り返しのつかないことになってしまう可能性もあります。よって、より一層注意をする必要性があります。
デメリットの解決!必要なセキュリティ対策
今後のテレワークの推進の足かせにもなりかねないセキュリティ対策は、どのように取り組めばよいのでしょうか。
テレワークは普段のオフィスでの勤務と異なり、社内の情報がインターネットを介して遠隔でやりとりされます。外部の目に触れることのなかった情報が、第三者が立ち入れる場所でやり取りされることにより情報漏洩リスクが高まります。
たとえば、偽メールに添付されたリンクをクリックし、マルウェアへの感染、ログインパスワードのメモ書きを第三者が見える場所に放置したことで不正アクセスにあうなどが考えられます。こうした脅威が情報漏洩や情報の消失に繋がり、企業にとって大きな損害を被るリスクとなります。
「ルール」「人」「技術」のバランスが重要
総務省はテレワークを安全に行うにあたって、「ルール」「人」「技術」の三位一体の取り組みが必要だと説明しています。具体的には、どのような取り組みなのでしょうか。
「ルール」
仕事を安全に進めるやり方をルールとして定めることで、ケースごとに対応する労力を減らし効率的に安全にテレワークを行うことができます。
「人」
ルールを定めても、テレワーク勤務者が守らなければルールが効果を発揮することはできません。テレワークは経営者や管理者から目の届きにくい場所で実施されるため、企業としてルールが遵守されているか確認することは大変難しいです。対策としては、テレワーク勤務者などにルールを守る大切さを教えるために研修や勉強会を開くなどして、セキュリティに対する認識の向上をはかることがあげられます。
「技術」
技術的な対策は「ルール」や「人」では対応できない部分をカバーするものです。情報漏洩のリスクをあらかじめ検知するシステム、機密性の高い情報にアクセスをするために「認証」制度を設けたりアクセス権限を制限したりするなど、ネット上や外部に存在する脅威から自社の情報を守るための技術が必要となります。
ルールの策定や技術部分の強化は、多くの情報システム部門が対応を行っていると考えられます。しかし、突然の新型コロナウイルスの拡大で十分な教育を行うことなく、テレワークの推進が行われたのも事実です。そのような意味でも、「人」の観点は非常に重要な要因となります。
「人」の部分で情報が漏洩した実例
実際に、「人」の部分で情報が漏洩した実例もあります。
2010年4月にアメリカのテクノロジー企業であるアップルに勤務する男性エンジニアが、カリフォルニアのバーに未発表だったiPhone4の試作機を置き忘れ、ガジェット系ブログに売却されるという事件が起きました。
ガジェット系ブログは試作機を分解したうえ、ネット上に掲載しました。鉄壁と言われるアップルのセキュリティでも、会社員の置き忘れの前には成すすべがなかったのです。
実際、アップルが試作機を開発するにあたっては収納されている部屋には定期的にパスワードが変わるロックがかかっており、試作機もワイヤーで固定されるなどの対策が取られていました。それほどの対策を取っていても、アップルは新製品を流出させてしまいました。
「ルール」や「技術」に着目し、テレワーク実施の環境を急ピッチでテレワーク環境を整えたという企業も多いのではないでしょうか。社員同士が遠隔になったということもあり、「人」へのセキュリティ対策の対応が見落とされている可能性があります。
情報セキュリティの理解度チェックで漏洩を防ぐ
そこでおすすめしたいのは、従業員それぞれが情報セキュリティについての理解度を図れる無料ツールを活用して、現状を把握することも出来ます。
NPO日本ネットワークセキュリティ協会は「情報セキュリティ理解度チェック」というサービスを実施しています。情報セキュリティに関するクイズに答えることで回答者の理解度をチェックすることができます。
※情報セキュリティ理解度チェックのTOPページ
ITパスポートの試験でも出題されるような問題も掲載されており、しっかりとした知識が必要な問題とも言えます。回答終了後には、自動で採点が行われ理解度についてのチャートが表示され、強み弱みが一目瞭然です。
また、従業員3000人以上の企業用には、独自問題を追加したりマイナンバーに対応した問題を出題できるプレミアム機能が用意されていたり、従業員3000人未満の企業であれば、無料で団体登録することができ、無料のセルフチェックバージョンもあるので、柔軟なチェック体制を構築することが可能です。
まとめ
東京オリンピックの交通機関の円滑な運営を目的に推進されてきたテレワークが、新型コロナウイルス感染拡大という未曾有の事態を前にして、急遽多くの企業が取り組まざる得ない状況になっています。十分なセキュリティ対策や予行演習を行わず、更に市場環境が急激に変化する中で急ぎの仕事が多く発生している環境下では、「人」のミスによりインシデントが発生してしまう可能性も高くなります。
総務省の提唱する「ルール」「人」「技術」のバランスが整ったセキュリティ対策を行うこと、また見落としがちな「人」へのセキュリティ対策を行い、インシデントが発生しないように最善を尽くしていきましょう。
参考資料
テレワークセキュリティガイドライン(総務省)
テレワーク導入手順書(総務省)
情報セキュリティ理解度チェック(NPO日本ネットワークセキュリティ協会)
デジタルリスクラボ編集部
デジタルリスクラボは、株式会社エルテスが、デジタルリスクから「企業成長」と「個人のキャリア」を守るためのメディアとして運営。株式会社エルテスが提供するデジタルリスク対策サービスは、こちら。
