1. HOME
  2. ブログ
  3. Special Edition
  4. ゼロから学ぶサイバーセキュリティ
  5. テレワークにおけるセキュリティ対策とは?よくあるトラブルも紹介!

テレワークにおけるセキュリティ対策とは?よくあるトラブルも紹介!

ゼロから学ぶサイバーセキュリティ, 編集部

働き方改革やコロナウイルスの感染拡大に伴って、急速に普及したテレワーク。

業務効率や生産性、コストの面から従業員にとっても企業にとってもメリットの多い働き方として注目されていますが、従来とは異なる懸念点や問題点が生じていることも事実です。

中でも問題視されているのが、セキュリティリスクについてです。

企業は、業務の効率化と並行して、情報漏洩やサイバー攻撃から重要な情報を守るための工夫をしていかなければなりません。

そこで今回は、テレワークにおける具体的なセキュリティ対策と、起こりやすいトラブルについて詳しく解説していきます。

テレワークでセキュリティ対策が求められる理由

オフィス勤務では、企業が構築したネットワーク環境を通じて業務を遂行できるため、一定のセキュリティ性を担保できます。

一方、テレワークの場合は自宅やカフェなどのWi-Fi、それから私物端末を使うケースも多く、これまで以上に情報漏洩やサイバー攻撃のリスクに備えなければなりません。

同時に、第三者の目に触れやすい環境や、公私混同によるヒューマンエラーなども懸念されます。

このようなリスクに備えるためにも、万全なセキュリティ体制を構築しておかなければならないのです。

テレワークにおけるセキュリティリスクとは?

さまざまな効果に期待できるテレワークですが、以下のようなセキュリティリスクも存在しています。

・情報漏洩
・内部不正
・サイバー攻撃

それぞれについて、詳しく見ていきましょう。

情報漏洩

テレワークを導入する際は、情報漏洩に注意しなければなりません。

ひとたび情報漏洩が起こると、顧客や取引先の信用を失うだけでなく、法的責任を追及されたり、損害賠償を請求されたりといった大きなトラブルに発展しやすくなります。

テレワーク中の情報漏洩の原因として最も多いのは、ネットワークの脆弱性です。

自宅やカフェのWi-Fiなどは、十分に暗号化されていない場合もあり、第三者による不正アクセスのリスクが高まります。

また、端末の紛失や盗難による情報流出のリスクもあるため、注意が必要です。

内部不正

テレワークは、上司や部下、同僚といった周りの目がないため、どうしても気が緩みがちです。

その結果、内部不正に繋がってしまうこともあります。

よくあるのは、社内情報を故意あるいは過失によってSNSに流してしまったり、ログを不正に改ざんしたりといったケースです。

ちなみに、2020年に情報処理推進機構が実施した「情報セキュリティ10大脅威2020」では、組織が脅威だと感じていることの第二位に「社内不正」(内部不正)がランクインしています。

それだけ多くの企業が脅威だと感じているということですので、事前にしっかりと対策をしておかなければなりません。

サイバー攻撃

テレワーク環境では、従業員一人ひとりがサイバー攻撃の標的になり得ます。

ネットリテラシーやセキュリティーリテラシーが低いと、ランサムウェアや不正侵入の被害を受ける可能性が高まります。

サイバー攻撃の手口は年々高度化・巧妙化しているため、一人ひとりのセキュリティ意識を高める努力をしていかなければなりません。

テレワークにおけるトラブル事例

テレワークでは、以下のようなセキュリティトラブルが想定されます。

・フィッシング詐欺
・マルウェア感染
・USBメモリの紛失

それぞれについて、詳しく見ていきましょう。

フィッシング詐欺

テレワークでは、従業員が社外のネットワーク環境で業務を行うため、フィッシング詐欺のリスクが高まります。

特に、取引先を装ったメールや偽のクラウドサービスのログイン画面に誘導され、IDやパスワード、機密情報などを盗まれるケースが多発しています。

社内ネットワークとは違い、不審なアクセスを検知あるいは遮断する仕組みがないことも多く、被害に気付きにくいため注意が必要です。

マルウェア感染

従業員が自前のPCあるいはスマートフォンを使って業務を行う場合、マルウェア感染に注意しなければなりません。

マルウェアに感染すると、情報漏洩だけでなく、社内システムへの侵入やランサムウェアによる業務停止など深刻な被害に発展します。

このようなトラブルを避けるためには、

・会社支給の端末を使用させる
・信用できるウイルス対策ソフトを導入させる
・定期的なアップデートを義務付ける

といった、基本的なセキュリティ対策を徹底することが大切です。

USBメモリーの紛失

テレワークでは、業務で使用するデータや情報をUSBに入れて持ち運ぶことも多いです。

USBメモリは、片手に収まるほどコンパクトなサイズ感であり、さまざまな情報を保存できるため利便性はとても高いですが、その分紛失のリスクがあるため注意しなければなりません。

特にカフェや電車内といった移動中、あるいは外出先での紛失が目立ちます。

対策としては、

・USBメモリの使用を制限する
・強制的に暗号化を行うポリシーを設ける
・クラウドストレージでデータ共有を行う

といった方法が挙げられます。

テレワークのセキュリティ対策で重要な3つの要素

テレワークは、オフィスと環境が大きく異なるため、これまでと同じような対策では意味がありません。

総務省が発表している「テレワークセキュリティガイドライン第4版」では、総合的なセキュリティ対策の柱となるのは以下3つだと記載されています。

・人
・ルール
・技術

それぞれについて、詳しく見ていきましょう。

情報漏洩やフィッシング詐欺の多くは、ユーザーの不注意や知識不足に起因します。

テレワーク環境では、従業員一人ひとりがセキュリティリスクの第一線に立つため、人的要素の強化が不可欠です。

特に、不審なメールを開いたり、怪しいリンクをクリックしたりといったことがトラブルの原因になります。

このような事態を避けるためにも、企業はセキュリティリテラシーを高めるための教育や訓練を定期的に実施し、全従業員の意識を高めていく必要があります。

ルール

テレワークにおいては、明確なセキュリティルールの整備と運用が必要です。

例えば、自宅ネットワーク利用時のVPN接続を義務化したり、端末の持ち出しに関する制限を設けたりすることで、セキュリティ水準を維持しやすくなります。

加えて、万が一のインシデント発生に備えた対応フローも整備しておくべきです。

これにより、組織として一貫した対処が可能となります。

技術

セキュリティ技術の導入も、テレワークの安全性を確保する上で必要不可欠です。

マルウェア対策ソフトやエンドポイント管理ツール、通信の暗号化技術(VPN・SSL)や多要素認証などを活用することで、外部からの攻撃や内部不正のリスクを大幅に軽減できます。

近年では、クラウドサービスを利用する企業が増えてきましたが、この場合もアクセス制限やログ監視機能を適切に設定することで、安全な業務環境を維持しやすくなります。

テレワークを導入している企業が実施すべきセキュリティ対策9選!

テレワークを導入している企業は、さまざまな角度からセキュリティ対策を行わなければなりません。

以下、企業が実施すべき代表的なセキュリティ対策を紹介しますので、ぜひ参考にしてみてください。

端末状況の確認

テレワークでは、従業員が使用するPCやスマートフォンなどの端末が分散されるため、各端末のセキュリティ状況を定期的に確認することが大切です。

セキュリティパッチの適用状況や、ウイルス対策ソフトの稼働状況、ストレージの暗号化設定の有無などを定期的にチェックすることで、不測の事態を避けられるようになります。

また、不要なソフトウェアが導入されていないかも確認対象となります。

テレワークは、従業員の自由度が上がる魅力的な働き方であると同時に、管理の目が行き届きにくい働き方でもありますので、企業はしっかりと対策をしておかなければなりません。

アクセス制限の実施

社内システムや重要情報へのアクセスを全従業員に一律で許可していると、不正アクセスが発覚した際に被害が拡大しやすくなります。

そのため、アクセス権限は業務内容や役職に応じて細かく分けておきましょう。

また、IP制限や時間帯制限、国別ブロックなどを設定することで、悪意ある外部からのアクセスを防ぎやすくなります。

ネットワークの安全性確保

在宅勤務では、自宅や公共のWi-Fiを使うケースが増えるため、ネットワークの安全性が下がります。

常に安全な環境を維持するためには、VPN(仮想プライベートネットワーク)の利用がマストといえるでしょう。

加えて、社内端末に通信の暗号化設定を施し、通信内容が第三者に傍受されるリスクを最小限に抑えることも大切です。

多要素認証の活用

IDやパスワードだけのログインでは、パスワード漏洩やリスト型攻撃のリスクを回避しきれません。

上記のリスクを回避するためには、多要素認証を導入するのがおすすめです。

スマホへのワンタイムパスワード送信や、生体認証などを活用することで、本人確認の精度を一気に高められます。

情報セキュリティポリシーの策定

テレワークを導入している、あるいはこれから導入する企業は、テレワークに特化したセキュリティポリシーを作成しましょう。

・どのようなデバイス・ソフトの利用が許可されるのか
・情報の持ち出しは可能なのか
・インシデントが発生したときはどうすればいいのか

といったことを明確に定めておくことで、従業員の意識を統一しやすくなります。

ウイルス対策ソフトの導入

各端末には、必ずウイルス対策ソフトをインストールしてください。

先ほども解説したように、テレワークは監視や管理が行き届きにくいため、ツールを使ったセキュリティ対策が欠かせません。

ただし、私用デバイスを使われてしまうと、ウイルス対策ソフトの意味が無くなってしまうため、不安な場合は「業務に使用できるのは支給した端末のみ」というルールを定めておくのがおすすめです。

マニュアル策定

セキュリティポリシーを補完する形で、実務ベースのマニュアルを作るのも良いでしょう。

例えば、

・公衆Wi-Fiの使用は禁止
・業務中の画面共有時はデスクトップを整理する

といった具体的な注意点や、トラブル発生時の報告手順を明記することで、従業員の判断ミスや迷いを減らせます。

情報セキュリティ教育の実施

セキュリティ対策における最後の砦は、紛れもなく「人」です。

フィッシング詐欺や不審なメールへの対応、適切なパスワード管理など、日常業務に直結する内容を中心とした教育を実施することで、従業員一人ひとりのリテラシーが高まります。

ソフトのアップデート

使用しているOSやアプリ、ブラウザなどのソフトウェアを常に最新版に保つことも、セキュリティ対策における基本です。

システムの脆弱性を突く攻撃は日々進化しており、アップデートを怠るとすぐにターゲットになる恐れがあります。

アップデートについては、各従業員に行ってもらうのも1つの方法ですが、システムで一括更新を行うのもおすすめです。

そうすることで、アップデート忘れによる被害を回避しやすくなります。

まとめ

テレワークの普及により、従来に比べて働き方の自由度が高まりました。

この働き方は、従業員だけでなく、企業にとっても大きなメリットがあり、上手に活用することで固定費の削減や業務効率の向上に繋げられます。

一方で、セキュリティの甘さからサイバー攻撃の被害に遭ったり、情報漏洩に繋がったりすることもあるため注意が必要です。

テレワークの効果を最大限に引き出すためにも、今回紹介したことを参考にしながら、企業として行える最大限の対策を行いましょう。

関連記事