テレワークは社員の多様な働き方の実現や優秀な人材確保などに役立ちますが、一方でセキュリティリスクを懸念する企業も多いです。具体的なセキュリティ上の課題と対策を解説するので、テレワークでの情報漏えいに不安がある企業の方は参考にしてください。

テレワークで高まるセキュリティリスク

テレワークの導入において、多くの企業が懸念しているのは、情報漏えいをはじめとしたセキュリティリスクの存在です。テレワークで起こりがちなリスク事例について、それぞれ解説していきます。

第三者にのぞき見、盗み聞きをされる

オフィス以外の場所で仕事をするテレワークでは、パソコンに表示された業務情報を第三者にのぞき見されたり、Web会議の内容を盗み聞きされたりするリスクがあります。 自宅で作業をする場合はさほど心配ありませんが、公共の場所やインターネットカフェのパソコンを利用してテレワークを行う場合は注意が必要です。できるだけ不特定多数が出入りする場所での仕事は避けるのが賢明でしょう。 また、他者が出入りする店の設備などを使ってWeb会議をする場合も、できるだけ話し声が他者に聞こえないように配慮する必要があります。

資料、端末の紛失

業務に必要なパソコンや記録媒体などをテレワークのために社外に持ち出し、そのまま紛失してしまうリスクもあります。実際、とある企業ではシステム情報が記録されたUSBメモリを紛失し、情報が外部に流出した事例が起こっています。 資料や端末の管理を徹底するのはもちろん、紛失や盗難に遭った場合に情報の流出を防ぐ対策も必要です。パソコンにログインパスワードを設定したり、端末に保存しておく情報を暗号化したりするなど、基本的な対策で被害を抑えられることも多いです。 重要な情報は端末に保存せずにクラウド環境などに保存するのも有効でしょう。ただし、次に説明する不正アクセスなどで情報が流出するリスクもあるため、さまざまな観点から対策を講じる必要があります。

不正アクセス

テレワークでは、パソコンやネットワークへの不正アクセスのリスクも高まります。 仕事用の端末を社外で使う人も多いですが、セキュリティレベルの低い公衆無線LANを使うのも避けた方が無難です。場所によっては悪意のある者が偽のアクセスポイントを設置しており、アクセスした端末から情報を盗み取る場合があります。 また、社内のクラウドサービスなどにアクセスするパスワードが流出してしまい、顧客情報などが漏えいするリスクもあります。使用する端末や通信経路だけではなく、ログインIDやパスワードの管理も徹底しましょう。

内部不正リスクが増加

内部からの不正によるセキュリティリスクも考える必要があります。会社の機密情報の持ち出しや顧客情報の売買など、社員による不正の可能性は皆無ではありません。 事実、IPA情報処理推進機構の「情報セキュリティ10大脅威2020」によれば、組織のさまざまなセキュリティ上の脅威のうち「内部不正による情報漏えい」が第2位となっており、前年の第5位から脅威のランクを上げています。 企業の社員や元社員による企業情報の悪用や、機密情報の持ち出し行為の発生を受けてのことであり、さらに最近のテレワークの拡大によって、内部不正も増加することも予想されています。

内部不正の内容と発生原因

社員による不正の内容としては、顧客情報の持ち出しの可能性がもっとも高いといえるでしょう。企業の業績悪化による行く先の不安や日頃の待遇への不満から、顧客リストを含む企業の重要な情報を外部に売って自分の利益にするといった事件が起こる可能性があります。 さらに、同業他社に転職した元社員が顧客情報を持ち出して利用した事件も少なからず発生しているため、社員の行動の確認が難しくなるテレワークでは、業務上必要になる情報以外には基本的にアクセスできない環境を作ることが重要です。テレワークで使用するファイルサーバーも社内と同様に必要な情報以外にはアクセスできないよう、権限を細かく制限しておくようにしましょう。また、詳細な操作ログの取得と解析が簡単にできるかも確認しておきましょう。 複数の業務ソフトを使っている場合には、業務管理ソフトなどの活用も有効でしょう。

情報漏えいによる影響

企業が内部不正などによって情報漏えいを起こしてしまうと、個人情報保護法によって罰せられる可能性があります。日本の場合は海外に比べると罰則金は軽めですが、顧客や取引先からの信用が失墜して取引を停止させられるなど、結果的に大きな被害を受けることになるでしょう。 なお、機密情報が漏えいして競合他社に顧客名簿などが渡ってしまった場合、企業は不正競争防止法の下で保護を受けられる可能性があります。 しかし、情報管理や情報の有用性などの観点から保護要件を満たすことを自ら立証する必要があるため、手間やコストが余計に掛かってしまいます。顧客リストを含む機密情報は外部に流出しないように、徹底管理することが重要です。

セキュリティガイドラインの策定方法

これまで説明してきたようなセキュリティリスクの対策として、まず自社でセキュリティに関するガイドラインを策定する必要があります。すでにガイドラインを作成している企業は、テレワーク用に整備し直すことが重要です。以下で詳しく解説していきます。

自社のセキュリティの弱点を探す

ガイドラインの作成にあたっては、まず自社のセキュリティ環境を見直し、弱点を探すことから始めましょう。日常的に使用しているパソコンや基幹システム、ネットワークの利用状況を確認し、不正アクセスやマルウェア感染などにつながる問題がないか診断してください。 ただし、セキュリティ管理者が別の役割を兼任している企業も多いため、ガイドライン作成に時間やコストを掛けられないケースは珍しくありません。セキュリティ関連組織が出しているマニュアルやチェックシートを活用しながら、ガイドラインの策定を行うと効率的です。 例えば、情報処理推進機構は主に中小企業・小規模事業者向けに便利な「情報セキュリティ自社診断」マニュアルをリリースしています。参考にしてください。

現在の社内規定をテレワーク用に見直す

すでに自社でセキュリティガイドラインを設定している企業は、テレワークの導入にあたって新しくガイドラインを整備する必要があります。特にテレワークの導入に際して就業規定の変更をしたときは、労働基準監督署に届け出なければならないので注意してください。 なお、テレワークでのセキュリティ対策を盛り込んだガイドラインの作成には総務省が発行している「セキュリティガイドライン」を参考にすることをおすすめします。ガイドラインを作り直したら、テレワークに従事する社員に配布して、しっかりと確認させるようにしましょう。

ルール作成と注意点

セキュリティに関するガイドラインを設定したら、テレワーク中に守るべきルールを作成します。加えて、以下のポイントも押さえておくようにしましょう。

セキュリティ対策についての社員教育

セキュリティ対策を含むガイドラインやルールを策定するだけでは不十分で、社員がしっかりとこれらを順守するように、啓発や教育を行う必要があります。テレワークの導入前に全社的に研修を行ってもよいでしょう。 それに加えて、テレワークで使うツールの使い方が分からない人や、ITリテラシーに不安がある社員に対して知識を習得する機会を設けることも必要になります。セキュリティに関する教育に付随して行うと効率的です。

ヒューマンエラーは防ぎきれない

詳細なガイドラインやルールを策定し、各々の社員がしっかりと順守していたとしてもヒューマンエラーをゼロにすることは不可能です。たとえ社員に悪意や過失がなかったとしても、ケアレスミスや予期せぬトラブルによって、セキュリティ上の問題に直面してしまうかもしれません。 そのため、実際に問題が発生してしまった場合の対応も決めておく必要があります。トラブルが発生した際に、社員がすぐに相談できる相手や専門の部署を設置することで、予期せぬセキュリティリスクに対応している企業も多いです。

社内システムへのアクセス方法

テレワークを導入する際に、社内システムへのアクセス方法を指定することで、社員がセキュリティレベルの低い回線を利用して端末がマルウェアに感染したり、情報が抜き取られてしまったりするリスクを軽減できます。テレワークに適したシステム方式とVPNについて解説します。

テレワークに適したシステム方式とは

自宅やサテライトオフィスなど、社外でオフィス環境と同じような業務遂行を可能にするには、テレワーク専用のシステム方式を採用する必要があります。代表的なシステムは以下の四つです。

テレワークのためのシステム方式

• リモートデスクトップ方式：オフィスで使っていたパソコンを社外の端末で遠隔操作
• 仮想デスクトップ方式：サーバー上に仮想デスクトップ環境を構築し、社外の端末から利用
• クラウド型アプリ方式：クラウド環境にあるアプリケーションに社外の端末でアクセスして利用
• 端末持ち帰り方式：オフィスで使っていたパソコンを社外に持ち出して利用

上記のうち、もっともスムーズに導入できるのが端末持ち帰り方式です。オフィスで使っていたパソコンをテレワークする場所にもっていき、社内システムにアクセスします。その際にはインターネット経由またはVPNを経由することとなりますが、後者のほうが社内ネットワーク上のシステムに接続する場合には安全です。 また、端末持ち帰り方式の場合には、当然ながらパソコン端末を物理的に社外に持ち出すことになるため、盗難や紛失には注意しなくてはいけません。

VPN接続の安全性とデメリット

VPN（Visual Private Network）とはインターネット上に設定された仮想のプライベート回線のことをいい、安全な通信経路を確保することにより、通信情報の盗み出しを防ぎます。公衆のインターネット回線よりも圧倒的に安全性が高いため、テレワークで利用する通信回線はVPNが利用されることが多いです。 ただし、セキュリティが完璧というわけではなく、VPNでも不正アクセス被害に遭ってしまった例もあるので、個別にマルウェア対策は必ず行う必要があります。また、利用するサービスやアクセスが集中する時間帯によっては通信速度が遅い場合や、モバイル端末のバッテリーの消費量が多くなるケースもあるようですので、ファイルサーバー等はクラウドサービスを利用し、社内ネットワークへの接続を減らしている会社もあります。

無料Wi-Fiの注意点

テレワークでの情報のやり取りに公共施設や駅、カフェなどに設置されている無料Wi-Fiを利用している人もいますが、不特定多数が利用するサービスのため危険です。情報を盗み見られたり、改ざんされたりする可能性があります。 具体的には、悪意のある者が偽のWi-Fiアクセスポイントを用意して、そこにアクセスを誘導することで情報を盗み取るケースです。テレワークの通信には無料Wi-Fiは使わず、会社から提供されたポケットWifiか自宅のインターネットからのVPNを使用した接続が安心です。

テレワークに必要なマルウェア対策

次に、テレワークに必要なマルウェア対策を説明します。VPNを使うことで比較的安全な通信が可能になりますが、マルウェア対策と組み合わせることで、不正アクセスの脅威から端末やネットワークを守ることができます。

EPP

EPP（Endpoint Protection Platform）とは、パソコンや携帯端末などの「エンドポイント」に侵入しようとするマルウェアの脅威を検知し、駆除してくれるセキュリティ製品のことで、よく耳にするウイルス対策ソフトやアンチ・ウイルスソフトはEPPの一種です。 テレワークで使用するパソコンはもちろんのこと、BYODと呼ばれる、個人所有のデバイスを使う場合には、そちらの端末にも必ずインストールしておくことが重要です。もっとも基本的なマルウェア対策といえるでしょう。

EDR

EDR（Endpoint Detection and Response）とは、端末がマルウェアに感染してしまった場合に利用するセキュリティ製品です。 従来のマルウェアによる攻撃はもちろんですが、windowsに組み込まれた機能を乗っ取って攻撃するタイプのマルウェア（ファイルレスマルウェア）の検知と対処ができるのが特徴で、EPPとEDRを組み合わせて使うことで、より強固なマルウェア対策となります。

NGAV

NGAV（Next Generation Antivirus）とは、AI（人工知能）をはじめとした新しい技術を利用したアンチウイルスソフトのことです。 上述のEPPはマルウェアの特徴を登録したデータベースを元に、対象ファイルがマルウェアかどうかを判断していましたが、NGAVはマルウェア特有の振る舞いをAIや機械学習の技術を使って検知・駆除します。 これまで対応できなかった未知のマルウェアにも対応できるため、セキュリティ対策を万全にしたい場合はEDRとNGAVを組み合わせて運用することをおすすめします。

活用したい情報セキュリティ技術

続いて、テレワークで活用すると便利なセキュリティ技術を紹介します。

MDMツール

MDM（モバイル端末管理）ツールとは、主に業務で使用するスマートフォンなどの携帯端末を一元管理するためのもので、紛失や盗難に遭った場合に画面をロックしたり、データを自動的に削除したりできます。 さらに管理者が利用するアプリの制限や遠隔操作ができるため、テレワークで社員が携帯端末を利用する場合におすすめです。

リモートアクセスツール

インターネットを介して遠隔地にあるパソコンを操作するためのツールです。 テレワーク中にリモートでオフィスにあるパソコンを制御したい場合に最適で、必要なデータをサーバーにアップしたり、問題のある端末を操作してトラブルを解決したりするのに役立ちます。社内に設置されているサーバーに直接アクセスできるものもあります。

多要素認証ツール

多要素認証とは、IDとパスワードの他に、利用者が所持しているICカードや顔認証・指紋認証などを組み合わせて認証をする方式のことです。 テレワークでは業務で利用している端末の紛失・盗難などリスクに加えて、利用者のIDやパスワードが流出してしまう可能性もあります。その際に多要素認証にしておけば、端末内のデータを保護できる確率が高まります。 最近は多要素認証に対応しているアプリケーションが増えてきているので、テレワークを機会に導入してもよいでしょう。

大切なデータを守るためのツール例

最後に、テレワークで大切な企業データを守るために役立つサービスやツールも紹介しておきます。

CACHATTO

「CACHATTO」とは、パソコンやスマートフォーン、タブレット端末などから、テレワークに必要な業務システムに簡単にアクセスできるプラットフォームです。 アクセスした端末には閲覧情報を残さず安全に業務を進められるのが特徴で、テレワークのために社内のシステムを大幅に変更する必要はありません。利用できる曜日や時間帯を利用者ごとに設定できるので、労務管理にも役立ちます。

Fileforce

「Fileforce」はさまざまな端末から企業の業務に必要なファイルの保存や整理、追跡、共有などの管理が可能なクラウドストレージサービスです。 セキュリティが強固なためテレワークのファイル管理システムとして最適で、ユーザー・グループ・フォルダのそれぞれの単位で自由にアクセス許可や権限を付与できます。安全かつ効率的に業務データのやり取りをすることで、テレワークの生産性を劇的に改善したい企業におすすめです。詳細なログ分析や多要素認証にも対応しています。

Optimal Biz

「Optimal Biz」は、ブラウザ上からスマートフォンやタブレット端末を一元管理できるMDM（モバイル端末管理）ツールです。 社員が利用するアプリケーションの制限やWebフィルタリングを自由自在に行えるのが特徴で、端末に問題が起こった際の管理者へのアラートやレポート機能も利用できます。ウイルス対策やVPN接続も可能なテレワークに適した管理ツールです。

らく認

「らく認」は複数の認証方式を自由に選択し、システムのセキュリティを強化できるクラウド認証サービスです。 ワンタイムパスワードやプッシュ通知、SMSなどの複数の技術から認証方法を選んで2段階認証を実現できます。テレワークに利用するWebシステムのみならず、VPNやWi-Fiの認証にも利用でき、導入コストも比較的安価なので、これからテレワークを導入する企業のおすすめです。

まとめ

安全にテレワークを行うためには、しっかりしたルールの策定と社員教育、そして必要な技術の活用の三つのポイントを意識する必要があります。 加えて、自社の状況に合った適切なツールを導入すれば、安全な環境をスムーズに構築できるとともに、企業全体の生産性を上げることも可能になるでしょう。この機会にテレワーク用のツールを積極的に導入することをおすすめします。