これだけは知っておきたい！
テレワークのセキュリティリスクと対応策

テレワークの勤務形態は3種類

テレワークとは、オフィス以外で就業する働き方を指します。テレワークをおこう場所として自宅（在宅勤務）やサテライトオフィス、そのほかカフェやファミレスがあります。それぞれ、メリットとデメリットが発生します。

1.自宅（在宅勤務）

慣れ親しんだ自宅を職場にでき、育児・介護などによる時短勤務の希望者や通勤困難者にも適しています。一方で、仕事とプライベートの区別がつけにくかったり、モチベーションを保つのが難しかったりといった一面があるため、自分をしっかりと律する必要があります。そのほかにも、始業・終業時間を「自己申告」に頼らざるを得ないケースが多く、サービス残業の増加や不正な「中抜け時間」の発生など、勤怠管理が難しくなるという側面もあります。

2.サテライトオフィス

会社以外の施設を利用する働き方です。企業が設置した施設を利用するケースもあれば、複数企業が利用できるシェアオフィスを利用することもあります。通勤時間がかからないなどのメリットがある一方、本社とのコミュニケーション不足がないように気をつける必要があります。また、不特定多数の人が出入りする場合は、情報漏えいや盗難など、必然的にセキュリティリスクが高まります。

3.自宅・サテライトオフィス以外

スマホやノートパソコンなどモバイル端末を駆使することで、カフェやファミレス、移動中のバス、電車の中などで業務をおこなうことができます。それにより隙間時間を有効活用できます。しかし、オフィスや自宅以外で業務をおこなうため、Wi-Fiが完備されていない場所ではオフライン作業しかできなかったり、公衆Wi-Fiは通信が暗号化されていなかったりなど、セキュリティ環境が整っていない場所で業務をおこなうリスクも懸念されます。また、機器の盗難や破損といったリスク管理も必要でしょう。

テレワークに潜むセキュリティリスク

テレワークが原因で、顧客情報や機密情報の漏えいなどの事態を回避するためには、テレワークにどのようなセキュリティリスクが潜んでいるかを理解しなくてはなりません。考えられるのは、ネットワーク上のリスクと人の手によるリスクです。

ネットワーク上のリスク

業種によりますが、現代ビジネスにおいてネットワークを利用しないケースは稀です。特に、テレワークではネットワーク通信により情報のやり取りをおこなうことが多いため、さまざまなリスクに晒されることが考えられます。

－ ウイルス感染

よく知られるコンピューターウイルスでは、マルウェアやワーム、トロイの木馬などが挙げられます。これらのウイルスに感染してしまうと、重要なデータの消失や改ざん、パソコンの乗っ取りなどさまざまな被害に遭うリスクがあります。テレワークでは、個人の端末を業務に利用するケースがほとんどです。適切なウイルス対策をしていない場合は感染してしまう可能性があります。

さらにおそろしいのは、感染した個人の端末を会社に持ち込み、感染が拡大してしまうケースです。会社の重要なシステムに進入され、大きな被害をもたらすおそれもあります。ウイルスには潜伏機能を有するものもあるため、気づかずにこうした事態を引き起こすことも考えられるのです。

－ 公衆Wi-Fiや家庭内ネットワークの悪用

ホテルやカフェ、コンビニなど、現在ではさまざまな場所で公衆Wi-Fiを利用できます。テレワークでも公衆Wi-Fiを利用するケースは少なくありませんが、さまざまなリスクが潜んでいることを理解しなくてはいけません。

公衆Wi-Fiは、通信が暗号化されていないケースもあり、情報の漏洩や破壊、改ざんなどのリスクがあります。パソコンやタブレット端末の機種には、接続しようとしているWi-Fiが暗号化されているかどうか確認できるものもあるため、必ずチェックしましょう。

また、家庭内ネットワークの利用でも注意が必要です。ネットワークセキュリティが万全でないと、ウイルスへの感染や進入を許してしまうおそれがあります。そこから社内ネットワークへ侵入されることもあるため、注意しましょう。具体的には、ルータのフォームウェアが最新になっているか、管理楊IDとパスワードを購入したままの状態で使用していないか、WEPによる暗号化方式を利用していないかなどがチェックポイントとなります。

人の手によるリスク

ネットワークリスク以外では、人の手による物理的なリスクが考えられます。パソコンや端末を盗まれる、のぞき見されて情報が漏えいするなどのほか、社員へ必要以上に権限を付与することで内部不正が発生するおそれもあります。

－ 盗難・紛失

オフィス以外の場所で業務をおこなうテレワークでは、盗難や紛失のリスクがつきまといます。たとえば、カフェにパソコンや端末を置き忘れてしまい紛失する、目を離したすきに盗まれる、といった被害が考えられます。

機密情報の入ったパソコンや重要な書類を紛失すると、悪用されてしまうかもしれません。顧客情報が詐欺グループに渡る、取引先やクライアントが詐欺、恐喝などの被害に遭うといったリスクも考えられます。

端末や文書に留まらず、USBやCDなどのメディア媒体にも注意が必要です。持ち運びしやすいだけに紛失しやすく、なくしてもすぐに気づけません。

－ のぞき見・盗聴

オフィスでの業務なら、周りにいるのは社内の人間がほとんどです。しかし、サテライトオフィスでの勤務やモバイルワークの場合、周りには不特定多数の人がいます。他人にパソコンやタブレットの画面を見られてしまい、そこから情報漏洩につながるおそれがあるため注意が必要です。

また、端末を利用してWeb会議をおこなう場合には、盗聴に気をつけなくてはなりません。重要な機密情報が絡む会議なら、周りに他人がいるときは控えたほうがよいでしょう。

在宅勤務では、家族に情報が漏洩してしまうケースがあります。自宅は気が緩みやすく、パソコンや端末をそのまま放置してしまうことも考えられます。そのため、家族に重要な情報を見られてしまい、結果的に情報が多方面へ漏洩してしまうおそれも考えられるのです。

－ 内部不正

外部の人間ばかりが危険なわけではありません。場合によっては、社員がリスク要因となる可能性があります。たとえば、社員に必要以上のアクセス権限を与えているケースでは、自社のシステムへ勝手にアクセスされ、不正を働かれてしまうおそれがあるのです。

オフィス勤務においては、このようなリスクはそこまで高くありません。上司や部下、同僚など周りの目があるからです。しかし、テレワークとなれば周りに誰もおらず、自分を監視する人はいません。このような環境下だからこそ不正が発生しやすくなるのです。

テレワークの安全性を高める対策

テレワークを導入し、業務効率の向上を実現しても、安全性が低ければいずれ情報漏洩や内部不正などが生じることもあります。安全性を高めるには、ハードとソフト双方からの対策を進めなくてはなりません。具体的な対策を見ていきましょう。

ハード面の対策

全社員がテレワークで生じるセキュリティリスクを理解できていても、ハード面の対策が疎かでは意味がありません。データ保護やアクセス権限の強化、端末のセキュリティレベルアップなど、ハード面を強固にする対策を進めましょう。

－ データの保護

万が一、端末の紛失や盗難に遭ってもデータを取り出せないように、ハードディスクを暗号化しましょう。ハードディスクのデータは、ドライブやフォルダ、ファイル単位で暗号化が可能なため、重要度の高さに応じて対策してください。

また、安全な回線を利用することも大切です。暗号化されていない可能性がある、公衆Wi-Fiの利用を禁止するルールを設けましょう。万が一、ウイルスに感染した場合にはデータの消失や改ざんが生じる可能性があるため、定期的なバックアップをルール化することも大切です。

－ アクセス制限や不正ログイン防止、端末の管理強化

まず、関係者外のアクセス制限が重要です。社内サーバの情報にアクセスすることが可能な対象を制限するために「IP制限」、「VPN接続の設定」などをおこなうことが効果的です。その上で社員に対しても必要以上のアクセス権限を付与しないことがヒューマンエラー防止になります。一律でアクセス権限を付与してしまうと、誰でも重要な情報へアクセスできてしまうからです。面倒でも、ファイルやフォルダごとにアクセス権限を適切に設定し、重要な情報には限られた社員だけアクセスできる状態にしましょう。

社内で利用しているITサービスのログインには、多要素認証を導入すると不正ログイン防止策となり、セキュリティレベルを高められます。多要素認証では生体認証や、パスワード認証など、複数の異なる認証要件を組み合わせます。そのため、パスワードの使い回しや外部からのサイバー攻撃により、IDとパスワードが外部に流出してしまったとしても、生体認証やワンタイムパスワードなど本人しか提供しえない情報で認証が要求されるため、外部の人間が勝手にログインするリスクを軽減できます。

また、個人のIDと業務に使用している端末を紐づけて管理すれば、誰がどの端末で作業しているのかを正確に把握できます。これなら万が一不正が起きたときも、個人の特定が容易です。

－ 端末のセキュリティレベルをアップ

パソコンやスマホ、タブレット端末など、テレワークで用いるすべての端末でセキュリティレベルを高める必要があります。端末そのもののセキュリティレベルが低いと、容易にウイルス感染してしまうリスクがあるからです。以下をチェックしましょう。特に会社支給以外で個人の端末を業務に利用する場合には端末の初期設定が甘くなっている場合がありますので要チェックです。

• まずは利用しているパソコンのOSがサポート対象となっているかです。Windows 7、Windows Vista、Windows XPなどはすでに脆弱性等に対するサポート対象が終了しているため、ウイルス（マルウェア）に感染するリスクが高くなります。
• 次に、ウイルス対策ソフトは、Wi-Fiの安全性判定やフィルタリングなど、アンチウイルス以外の機能も備えたものを選びましょう。端末のセキュリティレベルをトータルで底上げできます。インストール後も、新バージョンがリリースされたら必ずバージョンアップすることを忘れないでください。

また、カフェや電車の中などでは周りの人に端末の画面をのぞかれないよう、のぞき見防止シートを利用するとよいでしょう。しかし、のぞき見防止シートを利用した場合でも後ろからなど利用者と同じ目線からはのぞき見に対応はしておらず、万全とは言えないので注意が必要です。

－ クラウドサービスの利用

テレワークでは、データをメールで送受信するケースが少なくありません。しかし、メールでは誤送信や外部からの攻撃による情報の漏えいなどのリスクが考えられます。持ち運びに便利なUSBにしても、紛失や盗難のおそれがあります。そのようなリスクを排除するためには、クラウドストレージサービスの利用がおすすめです。

クラウドストレージなら、インターネット環境があれば社員同士でいつでもどこからでもファイルの共有・編集ができるようになります。メール経由での情報共有が不要になるので、送信など人為的なミスや添付ファイルによるウイルス感染の可能性が低減します。セキュリティリスクを軽減し、業務効率の向上も期待できるため、導入を検討してみましょう。

また、近年注目を集めているクラウド型VDI（仮想デスクトップ）の導入もおすすめです。VDIを導入すると、手元に接続用の端末とネットワークさえあれば、社内端末のデスクトップ環境をいつでもどこでからでも呼び出して利用でき、テレワークを実現する方法として注目されています。データは手元の端末ではなくサーバー側のデスクトップ環境に保存されるため、端末の盗難や紛失等による情報漏えいのリスクを軽減できます。デスクトップ環境はサーバーに集約され、管理も一元化できるためセキュリティの強化ができます。 VDIにはオンプレ型とクラウド型があり、近年はクラウド型が主流になっています。クラウド型ではサーバー・ネットワーク・仮想化を実現するソフトウェア等はすべて提供元が手配するため、初期コストを抑えることもできます。また。構築済の環境が利用することから、申込みから利用開始までの期間が短くてすみます。オンプレ型とクラウド型それぞれのメリット・デメリットがあるため利用の際には自社にあったタイプを選択しましょう。

ソフト面の対策

ハード面だけを強化しても、ソフト面の対策ができていなければリスクを軽減できません。ソフト面の対策で重要なのは、運用ルールの作成と社員へのセキュリティ教育です。

－ 運用ルールの作成

テレワーク下におけるルールを定めましょう。在宅勤務での作業環境やデータの保存方法などをルール化します。ルールを定めるだけでなく、テレワークに携わる全社員へ周知徹底させることも重要です。必要に応じて、研修も実施しましょう。運用後には、社員の反応やセキュリティ面での効果などを測定しながら、適宜修正を加えアップデートすることも大事です。

－ ひとり一人へのセキュリティ教育

どれほど強固なセキュリティ体制を整えていても、社員のセキュリティ意識が低いと意味がありません。年々巧妙化しているサイバー攻撃の手口に対抗するためにも、社員一人ひとりがセキュリティに関する意識を高め、新しい情報を取り入れる必要があります。

一方的に押し付けるのではなく、どうしてセキュリティ対策が必要なのか、どのようなメリットがあるのかなどを、丁寧かつ論理的に説明し、尊守する必要性をよく理解してもらうことが大事です。定期的にセキュリティに関するテストを社員に対して実施することも有効です。

まとめ

コロナ禍によって急激に普及しはじめたテレワークですが、アフターコロナであっても業種業態を問わずに、あらゆる企業にとってますます重要になっていくのは間違いありません。テレワークは、生産性の向上による企業の競争力の強化はもとより、個人のライフスタイルに応じた働き方の実現に貢献します。また雇用創出やBCP対策などにも大きなインパクトを与える可能性を秘めており、テレワークに向けた取り組みは加速化していくでしょう。そんな中で、自社におけるセキュリティ対策を見直すことは重要な施策です。テレワークで考えられるリスクには、ネットワーク上と人の手によるものがあり、どちらも正しく対策をしなければなりません。ハード面とソフト面の双方におけるセキュリティ対策を強化し、リスクが起こりにくい体制を整えることが求められます。現状のセキュリティ対策がどの程度実施されているか、また不足しているポイントを見極めながらテレワークの環境の整備を進めていきましょう。