労働力人口が減少し、人材確保が難しくなっていく中で、労働生産性の向上は企業にとって大きな課題となっています。こうした背景のもと、モバイルや、クラウド、ソーシャル技術などを活用し、多様な働き方を実現し、社員の生産性をさらに高めていく「働き方改革」が注目されています。あなたの会社では働き方改革に取り組めているでしょうか。

ホワイトペーパー

操作ログはセキュリティ対策だけでなく「働き方改革」にも活用できる！その方法をご紹介します。
「働き方改革対策のホ?イントは業務改善」

働き方改革により、外出先で仕事をする機会はますます増えていきます。社員が持つデバイスも多様化しており「いつでも」「どこからでも」ネットワークにアクセス可能な環境が進んでいく中で、企業はどのように利便性を高めつつ、セキュリティを確保すればよいのでしょうか。そこで、今回は、働き方改革に欠かせない「エンドポイント対策」の重要性について改めて説明します。

働き方改革とテレワーク

テレワークなど、ワークスタイルの多様化に対応し、社員の生産性を高める「働き方改革」の取り組みが進んでいます。テクノロジーを活用し、「いつでも」「どこでも」働ける環境を整備することで、仕事と家庭の両立や、仕事と生活の調和（ワーク・ライフ・バランス）の実現、就業機会の拡大などのメリットをもたらし、社員の生産性向上にもつながることから、政府もテレワークの推進に積極的に取り組んでいます。

一方で、テレワークを活用して社外で仕事をする機会が増えると、セキュリティ面でのリスクも高まります。これまで、企業で管理する重要データの多くは組織の内部で管理されていましたが、テレワークを行う場合には、クラウド上にそうしたデータを置いて外出先からアクセスできるようにしたり、ノートPCやタブレット、スマートフォンなどのモバイル機器で利用できるようにする必要があります。

そこで、外部からのサイバー攻撃や内部不正などにより、重要データが漏えいする可能性があるのです。総務省では2018年4月に「テレワークセキュリティガイドライン（第4版）」を公表、その中で「情報資産を守るためには、『ルール』・『人』・『技術』の三位一体のバランスがとれた対策を実施し、全体のレベルを落とさないようにすることがポイント」だと指摘しています。

特に、「技術」を活用したセキュリティ対策では、モバイル機器の操作ログ取得やWebアクセス管理、デバイス制御といったテクノロジーが必要になってきます。操作ログ取得による内部不正対策の防止については、本記事の後半でご紹介します。

働き方改革と勤怠管理

また、働き方改革を進める上で見落とされがちなのが「勤怠管理」です。せっかくテレワークの仕組みを導入しても、勤怠管理の仕組みが整備されていないと、社員が何時間働いたのかを会社が正確に把握することができず、結果として長時間労働を助長してしまったという事態を引き起こしかねません。

これまでのように、オフィスで働くことを前提とした勤怠管理は、タイムカードの打刻やICカードの読み取りなどによって社員の出退勤時刻を把握することができました。しかし、テレワーク導入によって、働く場所にとらわれない働き方が可能となった結果、「いつ働き始めたか？」「いつまで働いたか？」を客観的に把握することがますます難しくなっています。

そこで、テクノロジーを活用し、客観的なデータとして始業（出勤）、終業（退勤）時刻を把握することが重要です。たとえば、パソコンの電源オン、オフなどの端末管理機能と連動して出退勤を記録、管理するようなエンドポイント管理ツールの導入などです。

外部からのサイバー攻撃の脅威

テレワークの導入などによって、社員が使うデバイスは多様化し、業務のモビリティは高まるばかりです。こうした状況の中でサイバー攻撃の被害を最小限に防ぐためには、モバイル機器をはじめとするデバイスの脆弱性のリスクを最小限に抑えるための「パッチマネジメント」と、マルウェア感染を未然に防ぐための「アンチウィルスの機能」、そして、実際にインシデントが起きた際の「インシデント対応」の3点です。

とくに、セキュリティインシデントに対して迅速な対応を行うためには、「社員に支給しているパソコン、モバイル機器は何台あるか？」「それらに最新のセキュリティパッチは適用されているか？」「不正なリンクをクリックした社員はいるか？」「いた場合には、それによって影響を受けるコンピューター台数はどれくらいあるか？」という状況を可視化していく必要があります。

最近では、パソコンやモバイル機器だけでなく、オフィス複合機などにもネットワーク接続機能が備わり、さらには「IoT」によりあらゆる「モノ」にネットワーク接続機能が備わっていくようになりました。こうした「モノ」はどこが主管部署となって管理し、さらに、これらのモノに搭載されるOSを、どのように最新の状態に保つかというのは、これから企業にとってますます大きな課題となるでしょう。

「パッチマネジメント」「アンチウィルスの機能」「インシデント対応」といった機能が統合された「エンドポイントマネジメント」の仕組みを導入するなど、テクノロジーの活用は有効な選択肢の一つとなります。

「内部要因」対策として操作ログ取得やアラーム管理が有効

働く場所を問わないテレワークでは、これまで以上に情報の持ち出しが容易になります。悪意ある関係者による不正な情報の持ち出しや、誤操作／誤送信などが原因となって引き起こされる情報漏えいもあとを絶ちません。

不正な情報の持ち出しを防ぐために、社員が使うデバイスの操作ログやプリントログ、Webアクセスログ、メール送信ログなどの取得、管理や、デバイスの利用状況を記録・保管し、検索、分析することで不正アクセスや不正行動などの問題を素早く発見するエンドポイント対策が有効です。目の届かない環境でも常に「見られている」という抑止効果により、不正操作を抑制することができます。

また、ヒューマン・エラーに起因する漏えいを防ぐには、デバイスやデータの利用実態の把握と、従業員や関係者のリテラシーやセキュリティコンプライアンス教育の徹底が不可欠です。

企業は、適切なツールの導入に加え、セキュリティと利便性、生産性のバランスの取れた業務ルールとセキュリティポリシーを作り、ルール違反を素早く発見し、繰り返し教育を徹底していくことが大事なのです。

まとめ ― 働き方改革を実現するために

外部、内部からの情報漏えいをはじめとするセキュリティインシデントを未然に防ぐには、従業員が利用する機器（エンドポイント）の適切な管理が欠かせません。

エンドポイントを適切に管理することができれば、利便性が高く、かつセキュアな環境でリモートワークを中心とした働き方改革を実現することが可能となるでしょう。