テレワークにおけるセキュリティの基本概要

テレワークにおけるセキュリティを検討するときに、押さえておきたい基本概要を、以下の3点から解説します。

1つずつ見ていきましょう。

テレワークの環境とセキュリティの必要性

テレワークの環境にセキュリティが必要な理由は、セキュリティが整備されたオフィスとオフィス以外の場所では、環境が大きく異なることが挙げられます。情報処理推進機構（IPA）による2023年のセキュリティ被害TOP3には、1位に「ランサムウェアによる被害」、2位に「サプライチェーンの弱点を悪用した攻撃」、3位に「標的型攻撃による機密情報の窃取」が挙げられます。これらを起こさないようオフィスにおいてはさまざまな対策が取られています。しかし、テレワークの環境では、セキュリティ対策に脆弱性が生まれる懸念があるのです。

たとえば、自宅のWi-Fiに企業から貸与されたPCを接続した場合、不特定多数の人とインターネット環境を共有することになります。また、カフェなどで仕事をしていれば、公共のインターネットに接続することもあります。このような状況でセキュリティ事故が起これば、企業は社会的責任を問われることになるでしょう。

テレワークでは、オフィスで行う業務をそのままオフィス以外の場所で行うことになります。多くの業務には社外秘の情報が含まれるため、外敵から情報を守るためにも、万全なセキュリティ対策が必要なのです。

総務省の「セキュリティガイドライン」

テレワークを行うにあたり、総務省から「テレワークセキュリティガイドライン」が出ています。このガイドラインでは、テレワークを導入・活用するために必要となるセキュリティ対策等について示しています。この中で「情報資産を守るためには、『ルール』・『人』・『技術』のバランスがとれた対策を実施し、全体のレベルを落とさないようにすることが重要」とあり、バランスが良いことは、セキュリティレベルの維持につながるということがわかります。また、テレワークを実施するにあたり経営層・システム管理者・テレワーク実施者がそれぞれの立場でセキュリティの確保に関して必要な役割を認識し担うことが重要とされています。

テレワークでの企業のセキュリティ体制

総務省において、「テレワークのセキュリティに係る実態調査（2次実態調査）」を行いました。その中にある「テレワークの実施に当たり、テレワークセキュリティ対策について検討・実施したこと」の順位が挙げられています。1位は「セキュリティに関する注意事項の周知」、2位「テレワーク利用に特化したルールの新設」、3位「セキュリティポリシーなどのルールの整備変更」です。多くの企業ではセキュリティに関するルールを策定し、周知や教育を行っていることがわかります。また、すでにあるルールに対しても、テレワーク環境に合わせて変更を行っている企業が多くあるといえます。しかし、コロナウイルス感染症拡大にともなう緊急事態宣言解除後は、新たなセキュリティ対策を設けず、テレワークを実施する企業が増加しています。緊急措置として行ったテレワークがそのまま定着した結果といえます。

テレワークのセキュリティについては、まだ対策が進んでいない企業もあり、今後導入する企業だけでなく、すでに導入済みの企業においても対策を講じることが求められています。

テレワークで起こり得る5大セキュリティリスク

テレワークでは、自社の環境よりもセキュリティリスクの不安が高まります。情報処理推進機構（IPA）の資料を参考に、セキュリティリスクが引き起こした被害について、以下の5点から解説します。

1つずつ見ていきましょう。

紛失・盗難

テレワークで起こり得るセキュリティリスクの1つ目は、紛失・盗難です。たとえば、自宅以外の場所で業務を行っている最中に、少し席を外している間に企業から貸与されたPCやモバイル端末などが盗難されたり、置き忘れなどによる紛失が起きたりする危険性があります。企業から貸与されたPCやモバイル端末には、重要な顧客の個人情報・社外秘の機密情報などが入っていることが多く、情報漏えいのリスクが高まります。

ウイルス感染

テレワークで起こり得るセキュリティリスクの2つ目は、ウイルス感染です。自宅や出先のカフェなどのインターネット環境では、不特定多数と回線を共有するため、ウイルス感染のリスクが高まります。また、私物端末を使用した場合、セキュリティ対策が十分でないことが多く、その場合マルウェア感染のリスクが高まります。マルウェアとは、端末に悪影響をもたらす悪意のあるプログラム・ソフトウェアを指します。マルウェアに感染することで、個人情報を抜き取られたり、情報が流出したりして、企業に大きな影響を与えます。

情報漏えい

テレワークで起こり得るセキュリティリスクの3つ目は、情報漏えいです。情報漏えいには、セキュリティを突破されたときの情報の流出や盗難・盗み見などから起こるものが考えられます。カフェなどで仕事をするときにつなげてしまいがちな公衆Wi-Fiの中には、通信の暗号化が行われないもの・通信傍受を目的としたものがあり、セキュリティリスクが高いといえます。また、自宅への侵入者による盗難、そして、サテライトオフィスなどで仕事をする場合に後ろから情報をみられたりなど、さまざまなケースでの情報漏えいが考えられます。

不正アクセス

テレワークで起こり得るセキュリティリスクの4つ目は、不正アクセスです。近年増えているのが、Windows OSに付随するサービスである「リモートデスクトップ」への攻撃です。テレワークの普及で利用が増えると同時に、その状況を狙った不正アクセスが増加しているのです。不正アクセスが行われると、ID・パスワードの本来の所有者になりすまし、さらに所有者の権限を悪用してデータの改ざんなどが行われる危険があります。

フィッシング詐欺

テレワークで起こり得るセキュリティリスクの5つ目は、フィッシング詐欺です。フィッシング詐欺とは、有名企業と称してメールを送り、本文にあるURLをクリックさせ偽サイトに誘導します。そして、不正にID・パスワードなどを盗み取ることを指します。近年は手口が巧妙化しており、本物のように見せて誘導されるケースが増えています。本物のサイトか偽物のサイトかを見破ることが難しくなっており、今後も被害が拡大する懸念があります。

テレワークのセキュリティ強化のためにやるべきこと

テレワークのセキュリティリスクを回避するための、セキュリティ強化策は個人で対応できるものから法人として対応すべきものまで、幅広くあります。ここでは、情報処理推進機構（IPA）が公開している「日常における情報セキュリティ対策」から、テレワークのセキュリティ強化のためにやるべきことを、以下の7点から解説します。

1つずつ見ていきましょう。

ロック画面の設定

テレワークのセキュリティ強化のためにやるべきことの1つ目は、ロック画面の設定です。在宅勤務・サテライトオフィスなど自社に関係のない第三者に情報を見られたり、操作されたりしないように、PCやスマートフォン・タブレット等にはパソコンやスマートフォン等に画面ロックを設定しましょう。離席するときなどは、たとえ家族だけが周りにいる場面であっても、画面ロックをすることが大切です。

最新バージョンのOSの利用

テレワークのセキュリティ強化のためにやるべきことの2つ目は、最新バージョンのOSの利用です。使用するPC・スマートフォン・タブレットのOSは最新の状態にしておきます。OSの更新や修正は随時行われるため、自動で行われるよう設定しておくことがおすすめです。

セキュリティソフトの導入

テレワークのセキュリティ強化のためにやるべきことの3つ目は、セキュリティソフトの導入です。使用するPC・スマートフォン・タブレットにセキュリティソフトを導入し、常に最新な状態になるよう設定しておきましょう。また、万が一、自動更新されていない場合を想定して、最新の状態になっているかを定期的に確認しましょう。

適切なパスワード設定と管理

テレワークのセキュリティ強化のためにやるべきことの4つ目は、適切なパスワード設定と管理です。パスワードは、アルファベットの大文字・小文字・数字・記号などを含めて複雑な長い文字列を設定しましょう。最低でも10文字が推奨されています。また、他のサービスと同じパスワードを使いまわさないことが重要です。他にも初期設定のパスワードをそのまま使用し続けることは避けましょう。

不審メールへの警戒

テレワークのセキュリティ強化のためにやるべきことの5つ目は、不審メールへの警戒です。日々届くメールのなかには、ウイルスが含まれたファイルが添付されていたり、ウイルスが仕掛けられたサイトに誘導するようなURLが記載されていたりする可能性があります。これらをクリックすることで、大きな被害につながる懸念があります。少しでもあやしいと感じたら、上司とシステム管理者に報告を行うようなルールを作りましょう。また、一見すると不審なメールなのかそうでないのかを見抜きにくいメールもあります。その場合も、システム管理者に連絡し、必要に応じて送信元に確認を取るなどの対応をしましょう。

外部記録媒体の取り扱いへの注意

テレワークのセキュリティ強化のためにやるべきことの6つ目は、外部記録媒体の取り扱いへの注意です。USBなどの外部記録媒体はウイルス感染の可能性を高めます。そのため、許可された外部記録媒体以外は、接続しないようにする必要があります。

社内規定の遵守

テレワークのセキュリティ強化のためにやるべきことの7つ目は、社内規定の遵守です。企業から従業員に貸与するデバイスには、セキュリティを導入するだけではなく、セキュリティに関する規定が守られるようにしましょう。たとえば、外部記録媒体をPCに接続すると上司にメールが飛ぶようにしたり、上司を含まない外部へのメール発信についても、上司に警告が届くようにするなどの設定がおすすめです。また、企業が貸与するデバイス以外の機器を持ち込む場合には、システム管理者に許可を得ることを必須としましょう。

まとめ

今回は、テレワークにおけるセキュリティの基本概要・テレワークで起こり得る5大リスク・セキュリティ強化のためにやるべきことについて解説しました。テレワークを導入し推進するためには、オフィス以外の場所でのセキュアな環境の確保が欠かせません。そのため、企業はテレワーク時のセキュリティルールを策定し、従業員がルールを守りながら業務が進められるよう、継続的に啓蒙することが必要です。テレワークを狙ったサイバー攻撃も常に進化しているため、いつでも対処できるような体制・環境を整えましょう。