中小企業診断士事務所 ハッシュタグ
中小企業と情報の懸け橋に
  1. TOP
  2. IT・デジタル・DXの強化
  3. 中小企業テレワークのセキュリティ

中小企業テレワークのセキュリティ

IT・デジタル・DXの強化

中小企業がテレワークを実施する上で、セキュリティは重要不可欠なトピックです。一見、どうやって業務のやりとりをするかなどのコミュニケーションに関する問題の方が優先度が高いように思えますが、情報漏洩や重要情報の消失などのセキュリティ・インシデントの発生は、顧客、受発注元の地元企業、金融機関などからの信頼を一挙に失います。ぜひ本記事の内容を参考にセキュリティ対策について考えていただきたく思います。

目次

テレワーク導入によるセキュリティ課題

中小企業のテレワーク実施状況 に関する調査 によると、2021年5月時点の中小企業のテレワーク実施率は38.4%です。サイボウズチームワーク総研の調査では、新成人の理想の働き方は、「通勤出社とテレワークどちらも」というハイブリッドワークが7割とするデータもあります。

このようなテレワークの普及は、新型コロナウイルスの影響が大きいと考えて間違いないでしょう。しかし社会からの要請により急ピッチでテレワークを実施した結果、セキュリティの脆弱性と脅威が拡大しています(下図)。

セキュリティ脅威には大きく「情報漏洩」、「重要情報の消失」、「作業中断」の3つに分けることができます。どれも企業にとっては避けたいリスクでしょう。

情報漏洩の発生

情報漏洩は、セキュリティ脅威として最も一般的なものです。情報漏洩が起こる要因は、デバイスの紛失やマルウェア感染、内部不正など、さまざまです。情報漏洩の発生は、利害関係者からの信頼を直ちに毀損します。それによって生じた損害に対する賠償責任を負う可能性も低くありません。情報漏洩を防ぐには、VPNの利用やBYOD(Bring Your Own Device)のルール整備、シャドーITの撲滅など、網羅的なセキュリティ対策が求められます。

重要情報の消失

重要情報の消失は、バックアップの未実施やログイン方法の失念など、ヒューマンエラーが原因になって起こることが多いです。業務に不可欠なデータを失うと事業の継続が難しくなったり、法令遵守の上での課題に発展することも多く注意が必要です。重要情報の消失を防ぐには社員一人ひとりに高いセキュリティ意識が必要です。

作業中断

作業中断は、近年増えているランサムウェア(身代金型ウイルス)への感染によりしばしば発生します。ランサムウェアに感染すると、デバイスやシステムがロックされ身代金が要求されます。身代金の支払いはサイバー保険の適用外となることが多く、身代金を支払ってもロックが解除される保証がないため、プロアクティブな対策が急務です。

テレワーク時代のゼロトラスト・セキュリティ

最近になりセキュリティの文脈で「ゼロトラスト」という言葉を聞くことが増えています。従来のセキュリティ対策は、安全な社内ネットワークと危険な社外ネットワークという二分論から両者の間を境界と捉えて対策を講じる境界型防御という考え方が主流でした。

しかし、テレワークやクラウドの普及、攻撃の高度化などの影響により、境界型防御のように内側と外側を区別することなく、全てのアクセスを信頼しないことを前提とするゼロトラストというセキュリティの考え方が広まっています。

ゼロトラスト・セキュリティの基本的な考え方は以下の4点です。

  1. ネットワークの内外という基準でアクセスを信頼しない
  2. どこからのアクセスであっても認証認可を行う
  3. ユーザー/デバイスに応じたアプリ、データを最小権限許可
  4. 振る舞いやログを常時モニタリングし対策を自動化する

セキュリティ人材・予算の限られる中小企業であっても、サイバー攻撃の高度化のトレンドへの対応は急務であり、ゼロトラストの導入は顧客やユーザー、パートナー企業などからの信頼維持のために必要な施策です。

中小企業テレワークのセキュリティ対策

ゼロトラスト・セキュリティを中小企業が実践する上では、総務省が公開している『テレワークセキュリティガイドライン[第五版]』がとても参考になります。ただし、やや抽象度が高く、具体性を欠く記述も多いため、気づきはあっても行動に移せない中小企業経営者の方も多いと思います。

中小企業経営者がすぐに実践できるセキュリティ対策の早道を知りたい場合は、同じく総務省公開の『中小企業等担当者向け テレワークセキュリティの手引き[第二版]』を参照するとよいでしょう。こちらは、下記のチェックリストに基づき、自社の状況を知った上で、具体的にどのようなアクションをすべきか明確に書かれているため、非常に実践的です。

出典:『中小企業等担当者向け テレワークセキュリティの手引き[第二版]
  • 方式①:会社支給のテレワーク端末からオフィスネットワークへVPN/リモートデスクトップ接続して業務を実施する。
  • 方式②:会社支給のテレワーク端末からインターネット上のクラウドサービスに接続して業務を実施する。
  • 方式③:会社支給のテレワーク端末にデータを保存しておき(外部記録媒体で持ち運ぶ場合を含む)、テレワーク中は保存しておいたデータを処理することで業務を実施する。
  • 方式④:会社支給のテレワーク端末から特別なインターネットブラウザ(セキュアブラウザ)を利用し、オフィスネットワーク内のシステムやクラウドサービスで提供されるアプリケーションに接続して業務を実施する
  • 方式⑤:個人所有のテレワーク端末からオフィスネットワークへVPN/リモートデスクトップ接続して業務を実施する。
  • 方式⑥:個人所有のテレワーク端末からインターネット上のクラウドサービスに接続して業務を実施する。
  • 方式⑦:個人所有のテレワーク端末に外部記録媒体等でデータを持ち運び、テレワーク中は保存しておいたデータを処理することで業務を実施する。

自社のテレワーク方式が①〜⑦のうちどれに該当するかを確かめたら、必要な対策を講じます。

まとめ:テレワーク時代のゼロトラスト・セキュリティ

本記事では、中小企業テレワークのセキュリティに関して俯瞰しました。中小企業であってもハイブリッド型を中心にテレワークへ取り組むことが求められています。その際に、ゼロトラスト・セキュリティの考え方を知り、総務省のガイドラインから必要な対策を講じることは、中長期的に顧客やユーザー、パートナー企業などからの信頼を維持して、競争優位性につなげるために不可欠です。総務省のガイドラインを読んでも理解することが難しい、分量が多くて読む時間がない中小企業経営者の方がいらっしゃいましたら、ぜひお問い合わせください。

執筆:師田賢人

IT・デジタル・DXの強化
よかったらシェアお願いします!
  • URLをコピーしました!

この記事を書いた人

師田 賢人のアバター 師田 賢人

【Harmonic Society株式会社 CEO】
外資系コンサル、Webエンジニア、Webライター、フォトグラファーを経て、2023年にHarmonic Society株式会社を設立。企業の経営の悩みを言葉で解決している。一橋大学商学部卒。

関連記事

目次