お問い合わせはこちら

テレワークにおけるセキュリティリスクとは?ルールの整備や対策手段を解説

公開
更新
セキュリティーリスクのセキュリティーリスク

働き方改革の推進などを目的として、テレワークの導入を検討する企業は少なくありません。しかしテレワークには様々なセキュリティリスクがあり、適切な対策をしないと情報漏えいなどの被害につながるため十分な注意が必要です。この記事では、テレワークにおけるセキュリティリスクの内容や対策について解説します。

テレワークの種類

一口にテレワークと言っても、その形態や方式は様々です。

企業にどの形態・方式のテレワークを推奨しているかも異なりますので、現在多くの企業で採用されている代表的なものをご紹介します。

テレワークの形態

テレワークの形態としては、主に以下の4つの形態が採用されています。

  1. 在宅ワーク
  2. コワーキングスペース
  3. モバイルワーク
  4. ワーケーション

【在宅ワーク】
在宅ワークは社員の自宅で業務を行う形態で、4つの形態の中でも最も主流なものとなります。

【コワーキングスペース】
コワーキングスペースは他にもシェアオフィスなどのサテライトオフィスに該当するもので、仕事を行う場所としてWi-Fiなどの環境が整った施設での業務形態となります。

【モバイルワーク】
モバイルワークはカフェや飲食店などで業務を行うテレワーク形態で、基本的に企業がモバイルワークを積極的に推奨していることはありません。むしろセキュリティの観点から禁止している企業もありますが、モバイルワークを許可している企業もあります。

【ワーケーション】
最後のワーケーションはリゾート地などの旅行先に滞在しながら作業できることから、長期休暇中にどうしても外せない会議や業務があった時などにも取られることがあるリモート形態です。テレワークの普及により徐々に利用者が増えています。

テレワークの方式

テレワークの方法

次にテレワーク中にどういった方式で業務を行うかについてご紹介します。

この方式に関しては形態以上に種類があり、主に以下の7つが主流となっています。

  1. VPN
  2. リモートデスクトップ
  3. VDI
  4. セキュアコンテナ
  5. セキュアブラウザ
  6. クラウドサービス
  7. スタンドアロン

【VPN】
Virtual Private Networkの略称であるVPNは仮想の専用回線を設定できる技術で、これを用いる事で社外から社内のネットワークなどへのアクセスを安全に行えるようになります。この技術をテレワークに導入する事で通信の安全性・アクセス制限・ファイル無害化といったセキュリティ対策を行うことが可能です。

【リモートデスクトップ】
リモートデスクトップはその名の通り、リモートで社内に設置されているデスクトップを操作して業務にあたるテレワークの方式です。この方式であれば万が一作業しているPCが盗難されたとしても、ファイルなどは全てリモート先のデスクトップに保管されていますので、情報漏洩に繋がるリスクを減らす事が可能です。
もちろん、通信を暗号化していないと画面に表示されている情報やキーボードで入力している情報が盗まれてしまいますので、その点には注意が必要です。

【VDI】
Virtual Desktop Infrastructureの略称であるVDIは、前述のリモートデスクトップ技術のうちの一つに該当します。
前述のリモートデスクトップはサーバーOS上でマルチユーザーに対応したデスクトップを動作させて、これを複数台の端末で共有SBCと呼ばれる方式で、このVDIは仮想化ソフトがサーバー上に作り出す仮想マシン(VM)のデスクトップを端末ごとに用意する方式です。
SBC方式との違いはシステム管理者がデスクトップ環境を集中管理できる点にあり、各種設定を全てのデスクトップ環境に一括反映させる事ができます。特にテレワーク人数が多い企業では、システム管理者の作業時間を大幅に削減することができます。

【セキュアコンテナ】
セキュアコンテナはアプリケーションの一つで、業務を行うパソコンなどに暗号化された安全な領域を展開し、そこで安全に作業を行える機能が備わっています。
また、パソコンのハードディスクへのデータコピーや、コンテナへのデータアップロードが出来ない不自由さはありますが、それ故に作業しているパソコンの紛失や盗難があった場合でのその環境で作業・作成した情報が漏洩させないことが可能です。

【セキュアブラウザ】
作業を行うパソコンにインストールして使用できるセキュアブラウザは、通常のブラウザと同様の使用方法が可能であるにも関わらず、不正アクセスや情報漏洩といったリスクを回避できる機能を備えています。これによりブラウザを利用したメールやブラウザ上で行える業務をテレワーク中でも安全に使用する事ができます。
ただし、当然適用範囲はブラウザ上に限りますので、ブラウザ外の通信を使った業務には他の対策が必要になります。

【クラウドサービス】
クラウドサービスを利用したテレワーク方式も存在します。
この方式は直接オフィスネットワークに接続せず、インターネット上のクラウドサービスに接続し業務を行う方法となり、インターネット上の業務やデータを社内ネットワークから切り離すことでセキュリティを保つことが可能です。
注意点は、作業しているパソコン自身にデータを残せる方式ですので、紛失・盗難による情報漏洩のリスクは残ります。

【スタンドアロン】
一番シンプルなテレワークの方式としては、スタンドアロン方式があります。
この方式では、出社している間に業務に必要な情報だけを作業用パソコンに移しておき、テレワーク中は一切通信を行わずそのパソコン内だけで作業を行うという通信を伴うリスクから完全に守る事ができます。
また、スタンドアロンはクラウドサービスと同様にセキュリティよりも利便性を重視する方式ですが、特定の業務やアプリに絞って活用すれば安全に利用する事も可能です。
ただし、データ自体はパソコン内に存在していますので、こちらも盗難や紛失による情報漏洩のリスクは残ります。

出典:テレワークセキュリティガイドライン(第5版)

テレワークを導入する際のセキュリティリスク

テレワークのリスク

管理者の目が届くオフィスで社員が業務を行うのに比べ、テレワークでは様々なセキュリティリスクが存在します。テレワークを導入する際は、以下にあげるセキュリティリスクの内容を把握し対策することが必要です。

セキュリティ対策が十分でない家庭用PCからの情報漏えい

社内のPCに比べ、テレワークで使われる家庭用PCはセキュリティ対策が十分でない場合が少なくありません。テレワークで使い始める時点ですでにマルウェアに感染している可能性もあります。その結果、PCに保存されたデータが漏えいしてしまうのです。

家庭用ネットワークなどに対する不正侵入・盗聴

テレワークは自宅の他、カフェやコワーキングスペースなどで行われます。そこで使われる家庭用ネットワークや公衆WiFiに関しても、社内ネットワークと比べセキュリティ的に劣るのは否めません。これらを業務に使うことで、悪意のある第三者による不正侵入・盗聴などにより、情報漏えいにつながる可能性も高くなるのです。

PCやUSBメモリなど記録装置の紛失・盗難

テレワークが導入された企業では営業担当に限らず、自宅外(カフェ・コワーキングスペースなど)で仕事をする社員も少なくありません。業務用のPCやUSBメモリなどの記録装置を外に持ち出した結果、紛失や盗難が発生し情報漏えいにつながる可能性も高くなります。

フィッシング詐欺による情報漏えいなど

昨今は企業を狙ったフィッシング詐欺の被害も増えている状況です。悪意のある第三者は取引先などを装ったメールを攻撃対象の社員へ送りつけ、本文内のリンクからマルウェアに感染させます。その結果、業務システムへアクセスするためのID/パスワードが抜き取られ、それが悪用されて機密情報が盗まれてしまうのです。

社内であればあやしいメールが届いても、周囲の同僚や管理者へ相談できます。一方、テレワーク環境では周りに相談できる人がいないため、リスクが高まるわけです。

不正な情報の持ち出し

会社の機密情報や個人情報を、売買を目的として社員が不正に持ち出す事例も残念ながら少なくありません。オフィスでは周囲に同僚や上司などの目があることから、このような内部不正のリスクもある程度軽減されます。しかしテレワークでは監視の目がないことから、不正もおきやすくなってしまうのです。

テレワークで実際に起こった事件

テレワーク中に起きた事件の実例

テレワーク中は上司や同僚の目が無い為、真面目に業務にあたっていても普段とは違う行動をとってしまう方も多いです。

しかも、それが姿勢や服装といったものであれば問題ありませんが、セキュリティに関わる部分で通常とは異なる行動をとってしまい、情報漏洩などの事件に発展するケースもあるのです。

カフェでUSBを紛失

モバイルワークとして自宅ではなくカフェで業務についおり、終始会社で決められたルールで業務にあたり最後まで何の問題もありませんでした。

しかし、就業時間になり帰宅の準備をしている時に、作業を行ったデータが格納されたUSBをパソコンから抜いて一時的に座席(ソファ)に置いたものの、USBの存在を忘れてしまいそのまま帰宅。

翌日にUSBが無い事に気付き作業を行ったカフェに確認するも、既にUSBはその場には無く行方知れずとなりました。

幸い、そのUSBに顧客情報などはなく、業務に使用するエクセルデータや会社の業績などの情報しか入っていなかったため、大事に発展することはありませんでした。

知恵袋サイトからウイルス入りファイルをダウンロード

自宅でテレワーク中に業務に関して分からない部分が発生。

しかし、上司は2時間ほど会議で質問できる人がいない為、普段使用しているリモートデスクトップではなくパソコン自体のブラウザから知恵袋に質問。

数分後に返ってきた回答に添えられたファイルをダウンロードし、参考にしながら作業する事でその日の作業は難なく終える事ができました。

しかし、翌日の出社時に会社のローカルネットワークに接続した際に、前日にダウンロードしたファイルに隠れていたウイルスがローカルネットワークを介して全社に拡散。

顧客情報の流出までは防げたものの、従業員の名前やメールアドレス、サーバーのログ情報が流出する事態となりました。

公衆無線LANスポットから情報流出

カフェなどで見かける事が多い公衆無線LANスポットですが、セキュリティ面で使用にはリスクが伴うことを知っているものの、作業を行うのはリモートデスクトップだから大丈夫だと勝手に判断し使用。

結果、公衆無線LANスポットに接続中にキーボードで打ち込んだあらゆる情報が全て盗み見られており、それを境に社内システムへの不正ログインが多発。

その事が発覚したのも情報が盗まれてからかなりの時間が経過していたことから、ログイン情報だけではなく顧客情報も抜き取られ謝罪会見や賠償請求などに発展。

すぐさま倒産とはならなかったものの、社会からの信用を失ってしまった事で徐々に顧客数が減り、新規契約も増えない状態が続いてしまい、数年後に会社が倒産することとなりました。

テレワーク導入時にとるべきセキュリティ対策

安全なテレワーク導入方法

テレワークには、様々なセキュリティ―リスクが存在することをみてきました。それではこれらリスクは、どのように対策すればよいのでしょうか。以下、考えられる主な対策を解説します。

セキュリティソフトの導入

会社が配布する業務用PCであれば、セキュリティソフトをあらかじめインストールし、クライアントを常駐させておくことも難しくありません。一方で注意が必要なのは、社員の私用PCを業務に使わせる場合です。私用PCを使わせる際は、セキュリティソフトを導入した端末に限定したり、ソフト購入費用を補助したりといった対策が求められます。

テレワーク用の社内ルールを作成する

テレワークでは、管理者の目が届きにくい場所で社員が業務をすることになります。そのため、以下にあげる項目に関する社内ルールの作成が推奨されます。

  • セキュリティソフトの導入
  • 許可されていないソフトウェアの利用禁止
  • 公衆Wi-Fiの利用禁止
  • PCの適切な管理や運用
  • 電子データの適切な保存方法など

社員の研修を行う

通常行っているセキュリティ研修に、テレワークに関する内容を追加します。テレワーク時のセキュリティリスクや、情報漏えい発生時に社員に問われる責任などしっかり認識してもらうためです。どんなに頑強なセキュリティ体制が整っていても、社員のセキュリティ意識が低ければリスクは避けられません。

アクセス制限の見直し・強化

テレワーク中の社員には、必要以上のアクセス権限を与えるべきではありません。制限を緩くした方が管理は簡単ですが、顧客情報・機密情報には必要最低限の社員しかアクセスできないようにする必要があります。これによって、万が一社員のPCがマルウェアに感染して乗っ取られても、被害を最小限に抑えることが可能です。内部不正による損害も軽減できます。

多要素認証を導入する

多要素認証とは以下3つの要素による認証のうち、2つ以上を組み合わせる認証方法です。

  • 知識情報:パスワード・PINコード・秘密の質問など
  • 所有情報:ICカード・SMS認証・アプリ認証など
  • 生体認証:指紋認証・顔認証など

重要な社内システムに対して多要素認証を導入することで、認証のセキュリティ強度を向上できます。仮にパスワードが漏えいしても他認証が成功しないとシステムへアクセスできないことから、情報漏えいのリスクが軽減されるわけです。

VPNの導入など通信環境の暗号化

セキュリティ対策が不十分な家庭用ネットワークや公衆Wi-Fiを使うリスクを軽減するため、VPNを導入し通信環境を暗号化することが推奨されます。これによって悪意のある第三者による通信内容の盗聴を防ぐことが可能です。社内に配布する業務PCにおいて、VPN経由でしかインターネットへアクセスできないよう制限をかけるケースも少なくありません。

データを暗号化する

ハードディスク内のデータを暗号化しておけば、PCの紛失や盗難が発生した際に、PC内の情報が漏えいしてしまうリスクを軽減可能です。たとえばWindows 10 Pro以上ではBitLockerという暗号化機能を搭載しており、専用ソフトを購入しなくてもハードディスクを暗号化できます。

テレワークがセキュアに行える「テレワーク導入らくらくパック」とは?

セキュアにテレワークが行える環境を用意するのは簡単ではありません。リスクを回避するための対策も必要となります。その点、カゴヤの「テレワーク導入らくらくパック」であれば、これらテレワーク導入時の課題を解決可能です。以下、本パックによってテレワークをセキュアに実行できる理由を解説します。

テレワークに適した「リモートデスクトップ環境」を簡単に導入可能

テレワーク導入らくらくパックは、テレワークをセキュアに行うのに役立つリモートデスクトップ環境を提供するサービスです。本サービスのリモートデスクトップ環境では、ユーザーはインターネット経由でサーバー上のデスクトップへアクセスし利用します。その際、ファイルはサーバー上に保存されることから情報漏えいのリスクを軽減可能です。

リモートデスクトップ環境へは、インターネット接続回線さえあれば私用PCからでもアクセスできます。社員は私用PCでも、リモートデスクトップを使うことでセキュアにテレワークを行えるわけです。お客様の要望があればVPNによって通信を暗号化したり、既存のソフトウェアライセンスを持ち込んだりできます。

通常、リモートデスクトップを実現するためには、ハードウェアの調達やサーバー構築、ソフトウェアライセンス購入などの対応が必要です。本パックでは、それら全てをカゴヤに任せていただけます。そのためお客様は、テレワークに適したリモートデスクトップ環境を簡単に導入できるのです。

納期は最短1週間

「テレワーク導入らくらくパック」なら、申し込みから最短1週間でリモートデスクトップ環境を利用いただけるようになります。本サービスであればテレワーク必要な環境をスピーディーに確保できるわけです。以下公式サイトでは、導入の相談も受け付けています。

テレワーク導入らくらくパック|クラウドとレンタルサーバーのカゴヤ・ジャパン

テレワークに必要な環境が構築済だから設定するだけで導入可能。ご利用のユーザー数に合わせて最適な環境をご提供します。お客様ごとに個別に物理サーバを用意させていただきますので、安定性やセキュリティレベルも高くなっております。

テレワーク導入らくらくパックのメニューと費用

テレワーク導入らくらくパックでは、利用ユーザー数によって以下メニューのいずれかを選択可能です。ご要望に応じてスペック変更も受け付けています。

10ユーザー20ユーザー40ユーザー
サーバーXeon(4コア)Xeon Silver(8コア)Xeon Silver(8コア×2)
メモリ24GB48GB96GB
HDDSATA:1TBx2(RAID1) SATA:1TBx2(RAID1) SATA:1TBx2(RAID1)
ファイアーウォールFortigate-40 Fortigate-40 Fortigate-40
WindowsServerStd SAL 10ユーザー 20ユーザー 40ユーザー
RemoteDesktopService SAL 10ユーザー 20ユーザー 40ユーザー
Office Std SAL 10ユーザー 20ユーザー 40ユーザー
初期費用88,000円121,000円165,000円
月額料金62,810円108,350円208,780円

他にも、テレワーク導入支援サービスというPCの一括セットアップからアプリケーションの選定までオーダーメイドでうけたまわるサービスもございます。

テレワークのセキュリティリスクに備えよう

私用PCのマルウェア感染や家庭用ネットワークにおける通信の盗聴など、テレワークには様々なセキュリティリスクが存在します。テレワークをセキュアに行うためには、環境の整備が必要です。

その点、テレワーク導入らくらくパックであれば、プロが準備したリモートデスクトップ環境を簡単に導入できます。環境の構築はカゴヤに任せていただけるため、担当者はよりコアな業務に集中可能です。テレワーク導入らくらくパックに興味をお持ちいただけたお客様は、ぜひ以下公式ページから導入相談や見積をお申し込みください。

テレワーク導入らくらくパック|クラウドとレンタルサーバーのカゴヤ・ジャパン

テレワークに必要な環境が構築済だから設定するだけで導入可能。ご利用のユーザー数に合わせて最適な環境をご提供します。お客様ごとに個別に物理サーバを用意させていただきますので、安定性やセキュリティレベルも高くなっております。