5つの観点でリスクを整理

社内専用PCを利用する環境が社内から社外に変わることで、どのようなリスクの変化があり、どのような注意を払わないといけないのだろうか? 5つの観点から考えてみる。「移動範囲」「PC操作者」「利用デバイス」「ネットワーク」「コミュニケーション」である。

写真を拡大 図1. 環境とリスクの変化

1. 移動範囲

社内専用PCを自宅に持ち帰ってテレワークを行う場合、会社から自宅へのPCの運搬、自宅での保管、サテライト環境での利用、自宅から会社へのPCの運搬などを考慮しなければならない。

特に運搬の際には、盗難や紛失といったリスクがある。PCが盗難・紛失に遭った場合、PCにログインされて情報を盗まれる、PCからHDDやSSDを抜かれて情報を盗まれるといったことが発生する。カフェやホテルなどのサテライト環境での利用を許可する場合も、同様のリスクがある。

PCはパスワードでロックされているのか? HDDやSSDは暗号化されているのか?を確認・徹底するとともに、運搬には電車・バス・タクシーを利用するのか、配送業者に依頼するのか?など決めておかなければならない。

2. PC操作者

自宅などでテレワークを行う場合、従業員以外の人物がPCに触る可能性がある。そのため、「1. 移動範囲」でも記載したが、第一にPCのパスワードによるロックは必須だ。

それ以外にも注意を払うべきことがある。「ショルダーハッキング」という手法である。PCにログインする時のキーボード操作を背後から盗み見てパスワードなどの情報を窃取し、後でPCにログインする、または、背後から画面に表示されている業務情報を盗み見るという行為だ。

家族だから大丈夫なのかというと、そうでもない。例えば、芸能関係の情報や国家機密、新製品情報など、家族としても興味がある。こういった情報を家族が手に入れ、SNSや会話の中で情報をうっかり漏らしてしまうかもしれない。情報の漏えいは、特にSNSであればすぐに発覚し、場合によっては賠償問題につながる。家族でなくても、従業員自身がスマートフォンで機密情報に関する書類やPC画面を撮影し、それをSNSに投稿するといったことも十分に考えられるだろう。

印刷も気を付けなくてはいけない。印刷物をどこかに置き忘れてしまったり、そのままゴミに出してしまったりすることで、家族だけではなく第三者にも情報を知られてしまう可能性がある。テレワーク時の印刷は、原則行わないようにすることをお勧めする。

3. 利用デバイス

PCにはあらゆるデバイスを接続できる。USBメモリーや外付けHDDなど外部デバイスの利用を禁止している企業・団体は多いと思うが、スマートフォンのUSBケーブル接続やBluetooth接続についてはどうだろうか。そこまでは禁止していないという企業・団体もあるだろう。
テレワーク中は、原則外部デバイスの利用はしない方がいいだろう。外部デバイスを利用すると、情報の持ち出しができてしまい、その外部デバイスを紛失する可能性がある。また、私物PCやスマートフォンなどを利用することでマルウェア感染の可能性が高まることも考えられる。

また、「2. PC操作者」でも記載したように印刷はリスクがあるため、プリンターについても原則利用を禁止することをお勧めする。