従業員の在宅勤務時に
事業をサイバー攻撃から
守るためのヒント

クラウドやブロードバンド接続の普及により、テレワークを導入しやすい環境が整いつつあります。しかし、この環境変化はサイバーリスクを確実に増大させます。従業員が不慣れなソフトウェアを使用したり、セキュリティの低いIT機器でネットワークにアクセスしたりしてしまうことをサイバー攻撃の攻撃者はよくわかっています。そして、この新しい環境で働く人が増えれば増えるほど、機密情報や個人情報へ不正にアクセスする機会を攻撃者は得られるのです。

経営者やリスクマネジメントの責任者は、テレワークの実施と共に、強力なサイバーセキュリティの構築や在宅勤務に関する明確な方針およびルールを策定する必要があります。そのルールを実行することで、自社がサイバー攻撃の標的になるリスクを軽減することができます。以下にいくつかのヒントを挙げましょう。

次のことを実行することで、強固なサイバーセキュリティの基盤づくりが可能です。

• ソフトウェアやネットワークを常に最新の状態に保つ 

リモートアクセスの技術は、ハッキングに対して特に脆弱です。テレワークに利用するIT機器の状態を常に更新し、最新のセキュリティ設定やパッチの適用を行わなければなりません。また、必要に応じて、旧式のIT機器を交換する必要があります。

• 会社支給のIT機器を使用する

可能な限り、従業員には会社支給のPCや携帯電話などのIT機器以外は、業務に使用させないという対応が推奨されます。

• 在宅勤務従業員のサポートに十分なITの人材を配置する

従業員が在宅勤務中、安全に社内ネットワークやインターネットにアクセスできる環境を確保するためには、十分なIT人材の配置が重要となります。また、ネットワーク帯域幅やデータ保存容量の増大、データ処理能力の改善などの対策も求められます。

• セキュリティ上の例外対応について検討しておく

IT人材の十分な確保が叶わないまま従業員が在宅勤務しなくてはならない状況を強いられることがあります。そのような場合に、事業主は、事業を円滑に継続するために、どこまでサイバーセキュリティに関する方針に例外を認め、それをモニタリングすべきかについても計画しておくことが重要です。

• 最悪のケースに備える

強固なサイバーセキュリティを実装すると同時に、サイバー攻撃を受けた際に迅速な復旧ができるための対応手段（サイバー事故対応計画）を策定しておくことが重要です。サイバー事故対応計画は、自社の全般的な事業継続計画 (BCP) と一致しているべきです。

残念ながら、サイバー攻撃で最も狙われやすい標的の代表は従業員です。たった1人の従業員が脆弱なパスワードを使用していることが、たった1回の不正リンクへのクリックが、サイバー攻撃への防御を突破され、巨額な損害を伴うサイバー事故へとつながりかねません。

テレワーク環境下では、事業主は従業員ひとりひとりがサイバー攻撃に対する警戒心を高めた上で業務に従事するよう、次の対応を強調して伝えることが肝要です。

• 安全に接続する

従業員は、常に会社が提供するバーチャルプライベートネットワーク（VPN）を介して、社内ネットワークに接続しなければなりません。 

• 強固なパスワードを使用する

従業員は、社内ネットワークやデータなどにアクセスする際には、独自かつ複雑なパスワードを使用する必要があります。パスワードを強固なものにして変更していくには、パスワード管理ソフトが役立ちます。

• 送信元が不確かなメールでの依頼に対応しない

従業員が、送信元が不確かなメールでの依頼に応じないよう常に注意喚起することが重要です。攻撃者は、信頼できる送信元に巧妙になりすまし、機密情報や認証情報等を盗取しようとすることを、従業員に常に意識させる必要があります。

• リンクのクリック、添付ファイルの開封、ソフトのダウンロードは細心の注意を持って行う

攻撃者は、不正サイトへのリンクや添付ファイル付きのメールを送信し、社内ネットワークやデータへアクセスしようと試みてきます。疑わしい場合には常に送信元を確認する、リンクをクリックせずURLを直接タイプするなどの防御策を従業員に意識づけさせる必要があります。

さらに、従業員には、入社時にサイバーセキュリティに関するトレーニングを行うだけではなく、その後も最低年1回の継続的な教育を実施すべきです。サイバーセキュリティ研修プログラムの実施を人事評価の項目に含めることも効果的です。