働き方改革の推進などを目的として、テレワークの導入を検討する企業は少なくありません。しかし、テレワークには様々なセキュリティリスクがあり、適切な対策をしないと情報漏えいなどの被害につながるため十分な注意が必要です。
この記事では、テレワークにおけるセキュリティリスクの内容や対策について解説します。
目次
テレワーク導入企業はセキュリティ対策が必須
テレワークとは、オフィスから離れた場所で仕事をすることを指し「リモートワーク」とも呼ばれます。自宅で仕事をする在宅勤務だけでなく、オフィスとは違う場所での勤務は基本的にテレワーク・リモートワークに含まれます。
テレワークは新しい働き方を生み出し、メリットも多いですが、セキュリティリスクがつきものです。テレワーク導入企業は、セキュリティ対策を取り入れる必要があります。
セキュリティ事故の件数はコロナ禍前より増加
セキュリティ事故の件数は、コロナ禍前と比較すると増加傾向にあります。期間別のインシデント件数の推移をまとめます。
【期間別】インシデント件数の推移
年 | 1~3月合計 | 4~6月合計 | 7~9月合計 | 10~12月合計 |
---|---|---|---|---|
2019 | 4,972件 | 4,213件 | 5,733件 | 5,385件 |
2020 | 5,509件 | 7,123件 | 8,386件 | 7,429件 |
2021 | 7,108件 | 6,977件 | 8,786件 | 9,807件 |
2022 | 9,369件 | 12,723件 | 10,656件 | 8,425件 |
2023 | 8,459件 | 7,925件 | ― | ― |
セキュリティ事故が増加した背景として、コロナ禍による急なテレワーク導入によるセキュリティ対策の不徹底があります。テレワークの前提条件となるVPNの脆弱性や、従業員のネットワーク設定の問題などが発生しました。
また、従業員への情報セキュリティ教育の不足により、標的型攻撃やセキュリティアップデートの怠慢がセキュリティ事故増加の要因になりました。オンライン犯罪や企業をターゲットとした様々な詐欺・攻撃が増えたことも背景にあります。
テレワーク導入におけるセキュリティリスク
テレワーク導入による主なセキュリティリスクには、以下のようなものがあります。
- マルウェア感染した家庭用PCからの情報漏えい
- 家庭用ネットワークなどに対する不正侵入・盗聴
- PCやUSBメモリなど記録装置の紛失・盗難
- フィッシング詐欺による情報漏えい
- 従業員による不正な情報の持ち出し
マルウェア感染した家庭用PCからの情報漏えい
個人のPCはオフィス用PCと比べてセキュリティが不足しているケースが多くあります。セキュリティ対策が不十分なPCでは、マルウェア感染のリスクが高まります。
マルウェアは標的型攻撃メールの添付ファイルや偽装されたフリーソフト、CD-ROMなどの経路で感染を広げていきます。家庭用PCのセキュリティチェックリストなどを作成し、感染リスクを抑える対策が必要です。
家庭用ネットワークなどに対する不正侵入・盗聴
自宅でテレワークをする場合、自宅のインターネット回線を使用して社内ネットワークに接続します。自宅に設置されているルーターやWi-Fiのセキュリティが十分ではない場合、悪意のある攻撃者が不正侵入したり、マルウェア感染を引き起こしたりするリスクがあります。
第三者の攻撃拠点になる可能性もあるため、ネットワークのセキュリティ対策が必要になります。
PCやUSBメモリなど記録装置の紛失・盗難
テレワークの実施によって、業務上必要な書類やデータを社外に持ち出す機会が増えました。それによって、紙の書類の紛失や大切なデータが入ったUSBメモリ・ノートPCなどを置き忘れるセキュリティ事故が発生するリスクが高まります。
大切な情報を持ち運ぶ際には、注意深く取り扱い、データの暗号化やバックアップなどのセキュリティ対策も怠らないよう注意が必要です。
フィッシング詐欺による情報漏えい
テレワークの増加に伴い、オンライン犯罪が増加しています。取引先や公的機関を装ったフィッシングサイトによる詐欺被害も増加しています。フィッシング詐欺によって情報漏洩が起こるセキュリティリスクが考えられるでしょう。
従業員による不正な情報の持ち出し
従業員による不正な情報の持ち出しは、深刻なセキュリティリスクであり、機密情報の漏洩や情報が悪用される可能性があります。従業員が情報にアクセスする制御やデータの暗号化、セキュリティ教育・行動モニタリングなどのセキュリティ対策が重要です。
実際にあった!テレワーク中のセキュリティ事故事例
テレワーク中に実際にあったセキュリティ事故の事例を紹介します。これらの事例を知ることでセキュリティへの意識が高まり、セキュリティリスクの理解が進みます。
- カフェで作業後に業務で使うUSBを置き忘れて紛失した
- 知恵袋からダウンロードしたファイルにウィルスが隠れていた
- 自宅外の公衆無線LANスポットに接続して顧客情報が流出した
カフェで作業後に業務で使うUSBを置き忘れて紛失した
とある会社の社員が自宅ではなくカフェでテレワークをしていました。会社の就業時間になり帰宅しましたが、翌日仕事で利用するデータが格納されたUSBメモリをカフェに忘れてきたことに気づきます。カフェに取りに戻りましたが既にカフェにはなく、USBメモリは見つかりませんでした。
幸い、USBメモリには顧客情報は入っておらず大事には至りませんでしたが、会社の重要な情報が紛失したことになります。USBメモリに入っていた情報によっては、最悪の場合、会社が賠償金を支払い社会的な信用を失うところでした。
会社はUSBメモリを利用できないルールを定めておくべきであり、またテレワーク時に勤務している場所を制限すべきでした。
知恵袋からダウンロードしたファイルにウィルスが隠れていた
ある会社では、テレワークをする際に会社のパソコンにリモートデスクトップで接続して利用するルールを設定していました。ある社員が自宅でテレワーク中に業務に関してわからないことを調べるために、リモートデスクトップではなくパソコン自体のブラウザから知恵袋のサイトに質問を投稿しました。数分後に回答が届き、添付ファイルをダウンロードしました。
翌日、出社した際に会社のローカルネットワークに接続すると、ダウンロードしたファイルに隠れていたウィルスが全社に拡散される事態となりました。顧客情報の流出は防げましたが、従業員の名前やメールアドレス、サーバーのログが流出してしまいました。
このケースの場合、会社はパソコン自体のブラウザから外部サイトへのアクセスを禁止する、または外部サイトにアクセスできないように設定しておくべきでした。自宅のパソコンを利用する場合は、社内のネットワークにデータを移せないように制御しておくことで防ぐことができたのです。
自宅外の公衆無線LANスポットに接続して顧客情報が流出した
ある社員がカフェで作業する際に、公衆無線LANスポットを利用していました。この社員は公衆無線LANスポットがセキュリティ面でリスクがあることを知っていたが、作業を行うのはリモートデスクトップだから大丈夫だと勝手に判断していました。
公衆無線LANスポットに接続中にキーボードで打ち込んだ情報がすべて何者かに盗み見られ、それ以降、社内システムへの不正ログインが多発する事態に発展しました。事態の発覚が遅れたこともあり、ログイン情報のみならず顧客情報も抜き取られ、謝罪会見や賠償請求に発展してしまいました。
会社は社会的な信用を失い、既存顧客が離れ、新規契約も増えない状態が続き、数年後に倒産することになってしまいました。
会社は、公衆無線LANの利用を禁止するのはもちろんのこと、セキュリティリスクに関する教育を徹底すべきでした。また、不正ログインが発生した時点で対策プロジェクトが組めるように事前に決めておき、事態の終息に集中すべきでした。
セキュリティ対策の基本は「ルール」「人」「技術」のバランス
テレワーク中のセキュリティ対策について、総務省が「テレワークセキュリティガイドライン」を発表しています。ガイドラインを参考にして、セキュリティリスクから会社を守る対策がとれるようになります。
テレワークセキュリティガイドラインでは「ルール」「人」「技術」のバランスがとれた対策が重要とされています。
参考:総務省|テレワークセキュリティガイドライン 第5版(令和3年5月)
「ルール」「人」「技術」について、セキュリティ対策の基本は以下のとおりです。
テレワーク中のセキュリティ対策の基本
意味 | |
---|---|
ルール | 安全に仕事ができるやり方を共通のルールとして定めること |
人 | 教育や啓発活動を通じてルールを遵守することが自分にとってメリットになること |
技術 | 導入するテレワーク方式の特徴や活用方法を踏まえ、利便性とセキュリティのバランスがとれたものとすること |
テレワークにおけるセキュリティ対策は、「最も弱いところが全体のセキュリティレベルに影響する」という特性を持っています。つまり、最も脆弱な部分が攻撃の手がかりとなり、全体のセキュリティを脅かす可能性があるということです。
セキュリティ対策をとるときには、「ルール」「人」「技術」のバランスが取れていることが重要です。
テレワーク導入時に実践すべき具体的なセキュリティ対策
テレワーク導入時の具体的なセキュリティ対策は、以下のとおりです。
- テレワークに関する社内ルールを策定する
- テレワークを行う社員向けに研修を行う
- 社員の端末にセキュリティソフトを導入する
- 社内システムへのアクセス制限を強化する
- 社内システムに多要素認証を導入する
- VPNを導入して通信環境を暗号化する
- ハードディスク内のデータを暗号化する
- 家庭内ネットワーク環境の見直しを呼びかける
- OS・アプリを常に最新版にするよう呼びかける
テレワークに関する社内ルールを策定する
テレワークでは、管理者の目が届きにくい場所で社員が業務をすることになります。そのため、以下にあげる項目に関する社内ルールの作成が推奨されます。
- セキュリティソフトの導入
- 許可されていないソフトウェアの利用禁止
- 公衆Wi-Fiの利用禁止
- PCの適切な管理や運用
- 電子データの適切な保存方法など
テレワークを行う社員向けに研修を行う
通常行っているセキュリティ研修に、テレワークに関する内容を追加します。テレワーク時のセキュリティリスクや、情報漏えい発生時に社員に問われる責任などをしっかり認識してもらうためです。どんなに頑強なセキュリティ体制が整っていても、社員のセキュリティ意識が低ければリスクは避けられません。
社員の端末にセキュリティソフトを導入する
会社が配布する業務用PCであれば、セキュリティソフトをあらかじめインストールし、クライアントを常駐させることが重要です。一方で注意が必要なのは、社員の私用PCを業務で使用する場合です。私用PCを業務で使用する際は、セキュリティソフトを導入した端末に限定したり、ソフト購入費用を補助したりといった対策が求められます。
社内システムへのアクセス制限を強化する
テレワーク中の社員には、必要以上のアクセス権限を与えるべきではありません。制限を緩くした方が管理は簡単ですが、顧客情報・機密情報には必要最低限の社員しかアクセスできないようにする必要があります。これによって、万が一社員のPCがマルウェアに感染して乗っ取られても、被害を最小限に抑えることが可能です。内部不正による損害も軽減できます。
社内システムに多要素認証を導入する
多要素認証とは以下3つの要素による認証のうち、2つ以上を組み合わせる認証方法です。
- 知識情報:パスワード・PINコード・秘密の質問など
- 所有情報:ICカード・SMS認証・アプリ認証など
- 生体認証:指紋認証・顔認証など
重要な社内システムに対して多要素認証を導入することで、認証のセキュリティ強度を向上できます。仮にパスワードが漏えいしても他認証が成功しないとシステムへアクセスできないことから、情報漏えいのリスクが軽減されます。
VPNを導入して通信環境を暗号化する
セキュリティ対策が不十分な家庭用ネットワークや公衆Wi-Fiを使うリスクを軽減するため、VPNを導入し通信環境を暗号化することが推奨されます。これによって悪意のある第三者による通信内容の盗聴を防ぐことが可能です。社内に配布する業務PCにおいて、VPN経由でのみインターネットへアクセスできないよう制限をかけるケースも少なくありません。
ハードディスク内のデータを暗号化する
ハードディスク内のデータを暗号化しておけば、PCの紛失や盗難が発生した際に、PC内の情報が漏えいしてしまうリスクを軽減可能です。たとえばWindows 10 Pro以上ではBitLockerという暗号化機能を搭載しており、専用ソフトを購入しなくてもハードディスクを暗号化できます。
家庭内ネットワーク環境の見直しを呼びかける
会社のパソコンを利用していても、家庭内のネットワークを利用しているとセキュリティリスクが高まります。そのため、テレワークを導入する時には家庭内ネットワーク環境の見直しを呼びかけましょう。テレワーク申請を設けて、家庭内ネットワークの環境情報を申請するルールを設定すると、会社がテレワークのネットワーク環境を把握できるようになります。
OS・アプリを常に最新版にするよう呼びかける
テレワークを導入した後は、OS・アプリを常に最新版にするよう呼びかけます。企業内では通常、IT管理部門がWindowsUpdateのタイミングを組織全体でコントロールしています。しかし、テレワークの状況下ではIT部門のコントロールが及ばなくなってしまいます。OS・アプリが最新になっていないとセキュリティリスクは高まります。
具体的な対策として、リモート管理ツールを導入し、テレワーク中の社員のパソコンを遠隔から管理できる環境を整えることがあります。他にもアップデートプログラムが出た時には、社員全体に呼びかけ、最新版にしたら報告するという体制をとることでセキュリティリスクを低減できます。
万全なセキュリティ対策はテレワークの環境整備も必要
セキュリティ対策を万全にするためには、テレワークの環境整備が欠かせません。カゴヤには、PCの一括セットアップからアプリケーションの選定までオーダーメイドでうけたまわる「テレワーク導入支援サービス」があります。
テレワーク導入支援サービスには、以下のサービスの種類があります。
サービス | 内容 |
---|---|
PCキッティング サービス | PC導入時に必要な細かい設定をお引き受けするサービス。 お客様環境に合った個別設定、クライアントPCに起因する機能のサーバー導入にも対応。 |
無線AP簡易 キッティングサービス | 現在の環境をヒアリングのうえ、ネットワーク設備からのまるごと見直しや無線電波の調査などを受けるサービス。 フリーアドレスに移行する際のセキュリティリスクを最小限に抑えるため、適切なセキュリティ対策を提供。 |
テレワーク コンサルサービス | テレワークの不満や課題をヒアリングし、効果的なテレワーク導入を支援するサービス。 インフラ課題の抽出から導入・運用・保守までを一貫して推進。 |
テレワークにおけるセキュリティリスクを放置すると、取り返しがつかない事態に発展することがあります。テレワークの導入によるメリットを最大限活かすためには、セキュリティ対策における環境整備が重要です。
テレワーク導入における悩みや課題がある人は、カゴヤのテレワーク導入支援サービスを検討ください。
テレワーク導入支援サービスとは テレワークを導入したいが「社内に知識を持った人材がいない」「コストが高い」などの弊害で、導入の計画が立てられない企業様のテレワーク環境構築を代行するサービスです。 PCキッティングサービス […]