テレワークで必須のセキュリティ対策10選！事故事例や問題点・気を付けることを解説

テレワーク普及の背景とセキュリティ対策の重要性

まず、テレワークが普及した背景とセキュリティ対策の重要性を確認しておきましょう。

前提として、テレワークは「Tele」と「Work」の2語から構成される造語で、「オフィスから離れて働く」という働き方を指す用語です。

テレワークは情報通信技術の進歩によって導入が可能となり、業務効率やワークライフバランスの向上というメリットから導入が進み、さらに2020年に流行した感染症を契機として急速に普及が進んできました。

もちろんテレワークが普及すること自体は望ましいことですが、テレワークの導入で従来の情報セキュリティ対策では対応できないことも当然考えられます。

▷テレワークは当たり前になる？今後の変化と未来の働き方について

テレワークにおけるセキュリティ体制

独立行政法人情報処理推進機構（IPA）が2021年1月に発表した「情報セキュリティ10大区用意2021年（組織）」では、ランサムウェア・標的型攻撃に続き、3位に「テレワーク等のニューノーマルな働き方を狙った攻撃」がランクインしています。

この結果から、テレワークのセキュリティの脆さを狙った攻撃は非常に増加しているのです。

しかし、テレワークのセキュリティ体制が整っている企業は非常に少なく、対策の強化が急務となっています。

出典：独立行政法人情報処理推進機構「情報セキュリティ10大脅威2021」

▷テレワークとはどんな働き方？日本の現状や導入メリットをわかりやすく解説

テレワークのセキュリティリスクや問題・事故事例

テレワーク導入に際しセキュリティ対策を考えるうえで、実際のどのようなセキュリティリスクがあるのかを把握しておかなければなりません。

そこで、テレワークで懸念されているセキュリティリスクについて紹介していきます。

1.使用端末の盗難・紛失

まず挙げられるのが、テレワークで使用している端末の盗難や紛失です。

テレワークをしない場合、つまりオフィスに設置しているPCで業務を行う場合はPCの盗難や紛失に遭うことは非常に稀だと言えるでしょう。

一方で、テレワークで使用する端末は従業員の私用または貸与したPCやスマホ、ノートPC、タブレットなどです。

例えば、サテライトオフィスにノートPCを忘れてしまったり、カフェで離席した際にノートPCが盗まれてしまったりする可能性があります。

すると転売されたり、機密情報にアクセスされたりして業務への支障や信頼の失墜、損害賠償責任を負うという具体的被害につながるのです。

2.パスワードの流出

不正アクセスなどにより、パスワードが流出してしまうリスクもあります。テレワークでは、メールやチャット、オンライン会議、ファイル共有等の目的でクラウドサービスを利用する機会が増えます。

そのクラウドサービスにログインする際に用いるパスワードが次のようだと、情報を窃取されてしまうリスクが高いため注意が必要です。

• 他のサービスのパスワードと同じものを使いまわしている
• パスワードの強度が低い(簡単な文字列)

そのほか、ログインID(ユーザー名)やパスワードなどの認証情報を覗き見されるショルダーハッキングにも注意する必要があります。

3.個人情報の流出

テレワークによって個人情報が流出した事例も少なくありません。

実際に個人情報保護委員会は2021年2月8日、テレワークにおける個人情報漏洩に関して注意喚起を行っています。

最近、従業員の様々な働き方に合わせてクラウドサービスやテレワーク環境などを導入する企業が増えています。一方、これらのシステム環境を狙ったサイバー攻撃も増加しており、個人情報保護委員会には、これらのシステム環境等において発生した個人情報の漏洩事案が多数報告されています。

[出典：個人情報保護委員会「クラウドサービスやテレワーク環境を利用する際の個人情報の漏えいに関する注意喚起」]

例えば、クラウドサービス導入時にファイアウォールのアクセス制限設定やデータアクセス許可の設定が正しく行えていないために、クラウドサービスに保存した個人情報が誰でも閲覧可能となっていた事案があります。

4.ハッキングやなりすまし

ハッキングやなりすましには注意が必要です。なおハッキングは本来別の意味を持ちますが、ここではセキュリティにおける他者からの攻撃を意味しています。

また、なりすましとはログインIDやパスワードなどの認証情報を窃取した攻撃者が従業員になりすましてデータにアクセスすることです。

2020年5月には、私用端末を乗っ取られ、その端末で不正にリモートアクセスが行われた結果、180社以上に影響が生じたとみられる事故事例もありました。

このように、テレワーク端末を踏み台として不正アクセスが行われる場合もあるため、私用端末にもファイアウォールの設定や不要ポートの閉鎖などの対策が必要と言えます。

5.Wi-Fiを経由した傍受・盗聴

Wi-Fi(無線LAN)を経由した傍受や盗聴も問題視されています。特に公衆無線LANを利用した攻撃が多く、他にも偽のアクセスポイント、APフィッシングなどと呼ばれる攻撃方法が確認されています。

Wi-Fi(無線LAN)は便利ですが、特に公衆無線LANは本当に信頼できる正規のものかなどを確認することが重要です。

▷テレワークに最適なWi-Fiおすすめ10選！必要なスペックや選び方も解説

6.端末のウイルス感染

テレワーク利用端末がウイルス(マルウェア)に感染してしまうリスクもあります。メールの添付ファイルや悪意のあるウェブサイトの閲覧などが原因となることが多いですが、マルウェアによる攻撃は高度化していることに注意が必要です。

セキュリティ対策ソフトの導入と共に、ウイルス定義ファイルの更新など、適切な設定を行う必要があります。

7.各ツールやアプリからの情報漏洩

各ツールやアプリからの情報漏洩にも注意が必要です。テレワークで利用するツールやアプリには、セキュリティ上の欠点(脆弱性)がある可能性もあります。

利用するツールやアプリが多いほど、さらに私用端末の利用を許している場合はさらにセキュリティリスクが高くなってしまいます。

脆弱性が見つかるとアップデートが配信されますが、このアップデートを適用できるような仕組みの構築が必要です。

▷テレワークで生産性は向上するのか？低いと感じる原因や改善策を解説

8.フィッシングメールによる詐欺

近年ではメールやSMSをはじめとした、フィッシングメール詐欺も増加している傾向があります。

受け取ったメールに添付されているURLをクリックしてしまうと、情報を抜き取られてしまい、個人情報や企業の情報などが流出してしまうリスクがあるので注意が必要です。

9.RDP（リモートデスクトップ）への不正アクセス

RDP（リモートデスクトップ）とはテレワーク中の端末から組織内で設置しているネットワーク上のサーバーにアクセスし、作業を行う仕組みです。

テレワークによってRDPが急激に普及していることにより、その状況を狙った不正なアクセスが増加しているので注意しておく必要があります。

▷テレワーク導入でよくある課題や問題点とは？実践できる解決策も紹介

テレワークで必須のセキュリティ対策10選

テレワークで必須のセキュリティ対策を10選紹介します。

総務省が公表するテレワークセキュリティガイドラインの内容をもとに紹介していきますので、自社で実践していないものがあればぜひ実践することを検討してみてください。

1.テレワーク時のルールを共有・徹底する

セキュリティ対策としてまず挙げられるものが、ルールの整備です。具体的には、「ガバナンス・リスク管理」として次のような対策を求められています。

• 経営者は、セキュリティポリシー(基本方針)の策定や見直しをする
• システム・セキュリティ管理者は、情報セキュリティ関連規定(対策基準や実施内容)を定めて周知する

つまり、経営者がシステム・セキュリティ管理者とともに基本方針(セキュリティポリシー)を定め、システム・セキュリティ管理者が対策基準(セキュリティスタンダード)や実施内容(セキュリティプロシージャ)を定めます。

もちろん、セキュリティに関するルールは新たな脅威の発生などに応じて定期的に見直すことが重要です。

▷テレワークにクラウドが不可欠な理由とは？活用メリットや人気ツールを解説

2.セキュリティ研修を実施する

セキュリティ対策に関するルールを整備するだけで、ルールが遵守されなければ意味がありません。そこで、セキュリティへの理解と意識向上を図るためにセキュリティ研修を実施しましょう。

もっとも、研修は一時的で終わるのではなく、継続的なものとすべきです。社内ポータルサイトやチャットツール、メールでセキュリティ情報を意識させることも行いましょう。

3.セキュリティ対策ソフトを導入する

テレワーク導入にあたっては、テレワーク端末にセキュリティ対策ソフト(ウイルス対策ソフト)を導入することが重要です。

テレワークではインターネットを利用することが多いため、インターネット上の悪意のあるウェブサイトなどを通じ、マルウェア(ウイルスなど)の脅威にさらされるリスクがあります。

そのため、セキュリティ対策ソフトをテレワーク端末にインストールし、ウイルス定義ファイルの自動更新やリアルタイムスキャンの実施、さらにはフィルタリング機能の活用を行いましょう。

なお、一般的に認識されるセキュリティ対策ソフトでは不可能な、感染後の検出や修復が可能なEDR(Endpoint Detection and Response)ソリューションもあります。

▷【最新】テレワークに役立つおすすめITツール18選！カテゴリ別に紹介！

4.データを暗号化する

情報漏洩自体を防ぐだけでなく、万が一不正にアクセスされた際や端末の紛失や盗難があったときに備えて、データを暗号化しておくことが重要です。

USBメモリやテレワーク端末のHDDやSSDなどの記録媒体が暗号化の対象となります。具体的には、端末管理ツールや文書管理システムその他の暗号化ソリューションによって暗号化を行いますが、従業員が容易に設定を変更できない仕組みにすることが重要です。

なお、端末の譲渡や廃棄時には、フォーマットや初期化操作だけでは復元されてしまう可能性があることに注意しておきましょう。

▷テレワークによって発生する12つの弊害とは？企業が取るべき対策法も紹介！

5.安全なネットワーク環境を使用する

テレワーク導入にあたっては、安全なネットワーク環境を使用(構築)することが求められます。

前述した公衆無線LANの利用を制限することはもちろん、さまざまなテレワーク方式があるなかで特性を比較しつつ、自社に適した方式を選びましょう。

6.端末認証を徹底する

テレワークにおいては、ユーザーIDやパスワードなどの認証情報はもちろん、許可している端末でアクセスしようとしているかもチェックする必要があります。

そのため、端末認証を徹底することが重要です。その他、認証管理については次のような認証方法を採用することも検討してみましょう。

• 2段階認証(多要素認証)
• SSO認証

7.USBメモリなどの管理を徹底する

USBメモリはPCやスマホよりも紛失しやすいため、管理を徹底するようにしましょう。具体的には、持ち出し許可基準を定め、持ち出す回数や情報を最小限に抑えることが重要です。

また、万が一紛失してしまったときのためにも、前述したデータ暗号化などの対策を取っておく必要があります。

8.最新のソフトウェアで作業する

セキュリティ対策では、ソフトウェアを最新に保つことが重要です。利用しているソフトウェアは完全なものではなく、セキュリティ上の欠陥となる脆弱性(セキュリティホール)を有していることがあります。

攻撃側の手法も時を経るごとに変化していきますので、それに応じて穴を埋めることが重要です。常に最新のアップデートを適用できる仕組みを構築しましょう。

9.覗き防止を心がける

テレワーク時に外部から覗き見されないための対策も重要です。覗き見は、セキュリティ対策ソフトや強度の高いパスワードの設定などソフト面の対策では対策しきれない部分があります。

肩越しに見られるショルダーハッキングもあるため、覗き見防止フィルタの貼付けやスクリーンロックの徹底なども行いましょう。

10.デジタルファイル以外の管理も徹底する

デジタルファイルだけでなく、デジタルファイル以外の管理も徹底しましょう。デジタルファイルは暗号化が可能ですが、紙媒体はデータの暗号化が難しい特徴があります。また、紙媒体の紛失時には「どこに行ったか」を追跡することが難しいです。

そのため、例えばデジタルファイルを紙媒体にプリントアウトすることに制限をかけたり、紙媒体は電子化後に暗号化して保存したりするなどの管理を行いましょう。

▷テレワークに監視は必要？監視方法や注意点・おすすめ監視ツールを解説

セキュリティ対策が万全なテレワークツール4選

セキュリティ対策が万全なテレワークツール(クラウドサービス)4選を紹介します。ぜひ自社に合ったテレワークツール選びの参考としてください。

1.Chatwork

Chatworkは、導入企業343,000社を突破する国内利用者数No.1(Nielsen NetView 及びNielsen Mobile NetView 2021年4月度調べ月次利用者調査)の中小企業向けビジネスチャットです。

機能はわかりやすくシンプルで特に中小企業向けではあるものの、実は大企業や官公庁も導入できるセキュリティ水準を誇っています。

具体的には、通信のすべてをSSL/TLSによって暗号化しているため、第三者が通信内容を確認することはできません。Chatwork上でやり取りされるファイルも最高レベルの暗号化(AES256)を行っています。

国際規格ISO27001(ISMS)認証を取得しており、厳格なセキュリティ基準で運用を行うだけでなく、24時間体制でサーバーの監視を行っている点もポイントです。

2.Zoom

Zoomはさまざまなソリューションを提供していますが、そのなかでも代表的なものが「Zoom Meetings」です。

Zoom Meetingsはビデオミーティングシステムと説明されており、一般的にもWeb会議システムとして認識されているソリューションです。

Zoomはセキュリティに関して問題が指摘された時期もありますが、現在はアップデートを重ねてセキュリティが向上しています。

Chatworkと同様にAES256によって通信は暗号化されており、認証方法も2要素認証などセキュリティに関するさまざまな設定が可能です。

3.セキュアSAMBA

セキュアSAMBAは、特に中小企業から人気のある法人向けのオンラインストレージサービスです。

セキュアSAMBA(クラウドストレージ)を利用すると、ファイルのやり取りをメールで行う必要はなくクラウド上でやり取りすることができます。

通信はSSL暗号化通信であり、グローバルIPアドレスや端末の制限、パスワードポリシー設定、ログ取得などセキュリティ機能が標準搭載されています。

4.ジョブカン勤怠管理

ジョブカン勤怠管理は、シリーズ累計で導入実績が15万社を超える人気のクラウド勤怠管理システムです。

変形労働やフレックス、裁量労働などあらゆる勤務形態に対応しており、必要な機能だけを自由に組み合わせて使うことが可能です。

暗号化通信についてはSHA256に対応し、国際規格ISO27001(ISMS)認証も取得している点が安心ポイントと言えます。

リスクを把握してセキュリティ対策を講じることが大切

テレワークは積極的に導入し業務効率やワークライフバランスの向上などに役立てるべきものです。一方で、テレワークを導入するとセキュリティリスクも高くなる傾向にあります。

そのため、テレワークを導入する際にはリスクを把握して適切なセキュリティ対策を講じることが大切です。

ぜひこの記事でテレワークにおけるセキュリティ対策の重要性や対策を知り、大切な自社の従業員や取引先を守るために実践してみてください。

▷【在宅勤務】テレワークでやる気がでない原因と対処法10選

▷テレワークにクラウドが不可欠な理由とは？活用メリットや人気ツールを解説

▷テレワーク中のサボりはバレる？バレる理由やバレたときのリスクについて