今すぐできる！テレワークのセキュリティ対策10選！中小企業でも導入できる方法は？

テレワークで起こりうるセキュリティ上のリスク

インターネットを経由した攻撃を防御するために、オフィスでは一定の対策が取られることが多いでしょう。しかしテレワークでは一括での対策が難しく、従業員一人ひとりがインターネット経由の攻撃に対して対処することが必要となります。テレワーク時のセキュリティ対策が不十分であると、どのようなセキュリティ上のリスクが生じるのでしょうか。

情報漏えい

テレワークでは、無線LAN設定の不備などが原因で情報に不正にアクセスされるなど、情報漏えいのリスクがあります。テレワーク時に個人情報をはじめとした機密情報を扱う場合、特に注意が必要です。

また、テレワークで利用するPC・スマホ・タブレット端末（以下「テレワーク端末」という）や紙媒体を持ち帰ったり自宅以外で利用したりする際に、置き忘れ・盗難などにより物理的な情報漏えいが生じる可能性もあります。

重要情報の消失

ウイルスやランサムウェアなどのマルウェアに感染したり、外部から不正アクセスされたりすることで、テレワーク端末や社内システムに保存されている重要情報が失われてしまう恐れがあります。重要な情報に関しては、社内システムと切り離した状態でバックアップを取るなどの対策が必要です。

システムの破壊・改ざん・顧客への被害拡大

ウイルスやワームなどのマルウェアへの感染や、外部からの不正アクセスにより、テレワーク端末や社内システムが破壊されたり、改ざんされたりするリスクがあります。システムの破壊・改ざんの被害にあうと、従業員が業務を進められなくなるだけでなく、顧客が自社の提供するシステムを利用できなくなるといったことが考えられるでしょう。

テレワークの情報セキュリティ対策の考え方

総務省のテレワークセキュリティガイドラインによると、テレワークのためには「ルール」「人」「技術」の3つのバランスが取れたセキュリティ対策を行わなければなりません。

ルールによる セキュリティ対策	組織としてテレワーク時の仕事のやり方をルールとして定めておき、従業員がルールを遵守するだけで安全に仕事を進めることができるようにする。
人に関する セキュリティ対策	従業員にテレワーク時のルールを周知し、遵守させる。また情報セキュリティに関する知識を習得させることで、リスクを事前に察知できるようにしておく。
技術による セキュリティ対策	テレワーク先の環境の多様性を考慮した情報セキュリティ維持のために適切に対策を講じることで、「認証」、「検知」、「制御」、「防御」を自動的に実施する。

組織として安全にテレワークを進めていくためには、セキュリティ上のルールを決め、従業員がそのルールを理解したうえで遵守することが大切です。また、技術的な対策もあわせて取り入れていく必要があります。

お役立ち資料

従業員のセキュリティ意識向上をサポート

セキュリティ教育を通じて情報セキュリティに関する知識を習得させれば、従業員一人ひとりがリスクを事前に察知できるようなります。従業員のセキュリティ意識向上にご活用ください。

資料ダウンロード

今すぐ取り入れるべきテレワークのセキュリティ対策10選

本来テレワークを導入する際には、情報セキュリティ対策を事前に行うことが一般的です。しかし今回の緊急事態宣言で、急遽テレワークを導入することになった企業も少なくありません。特に中小企業の場合、テレワークのためのセキュリティ対策が整備されていないケースもあるでしょう。情報資産を守るために今すぐ取り組みたい10の対策をご紹介します。

1．テレワークに利用する端末の管理・制限

従業員に在宅勤務などのテレワークをさせる場合、会社からPCなどの端末を支給するケースと私用端末を利用するケースがあります。いずれの場合でも、誰がどの端末（PCやスマホなど）をテレワークに利用しているのか、企業側が把握しておく必要があります。

従業員の私用端末をテレワークに利用する場合、不正アクセスやウイルス感染による情報漏えいなどの原因となるリスクが高いため、適切なセキュリティ対策が施されているか確認しなければなりません。会社からテレワーク端末を支給する場合は、業務外での端末の使用を制限したり、従業員以外の端末の利用を禁止したりしておきましょう。

2．業務で使用する端末のパスワード設定

会社から支給する場合であっても、私用端末を利用する場合であっても、テレワークで使用するPCやタブレット、スマホなどの端末には、ログインパスワードを設定しておくようにしましょう。パスワードを設定しておくことで、万が一端末の盗難や紛失があった場合でも、不正に情報を抜き取られるリスクを軽減することができます。

また、業務開始時だけでなく、一時的に業務を中断する際にも端末をロックし、ほかの人が端末を操作できないようにすることも大切です。

3．USBメモリなどの記憶媒体の利用禁止

自宅で業務を行うために、社内の情報を持ち出さなければならない場面が生じることがあります。しかし、情報の持ち運びのためにUSBメモリなどの記憶媒体を利用すると、紛失や盗難により情報が漏えいするリスクが高まります。

テレワークに必要な情報の受け渡しには、セキュリティの安全性が担保されたクラウドサービスを利用したり、パスワードをかけて電子メールに添付したりし、持ち運びのできる記憶媒体の利用はなるべく避けると良いでしょう。

持ち運びのできる記憶媒体を利用せざるを得ない場合には、万が一紛失や盗難があっても情報が漏えいしないよう、情報にパスワードを設定することが欠かせません。

4．暗号化されていない無線LAN（Wi-Fi）サービスの利用禁止

社内ネットワークに接続して業務を進める場合、インターネットへの接続時にファイアーウォールなどで安全性が守られています。しかしテレワークでは、各自の端末からインターネットに接続するため、外部から端末にアクセスされるリスクが高まるのです。

従業員が自宅でWi-Fiを使う際には、無線LANルーターでWPA2による通信経路の暗号化が行われるようにし、 外部から推測されにくいパスワードを設定させるようにすることで、外部からの接続のリスクを軽減させられます。

公衆Wi-Fiや、カフェやホテル、コワーキングスペースなど、多くの人がパスワードを共有するWi-Fiを利用すると、通信内容を傍受されたり、端末上のさまざまな情報が外部に漏れてしまう可能性が高くなります。こういった環境でのWi-Fiの業務使用は禁止したほうが安全です。

5．セキュリティ対策ソフトの導入

テレワークのためにインターネットに接続すると、どうしてもウイルスやワームなどのマルウェアに感染するリスクをゼロにすることはできません。マルウェアの感染リスクを軽減するために、従業員が使うテレワーク端末には、セキュリティ対策ソフトを入れておくようにしましょう。

またウイルスやワームなどのマルウェアは日々進化をとげています。そのため、セキュリティ対策ソフトが常に最新の状態になるよう、アップデートをしておくことが必要です。従業員がテレワークをするときには、業務を開始する前にセキュリティ対策ソフトが最新の状態になっているか確認するとよいでしょう。少なくとも週に一度はセキュリティ対策ソフトの状態を更新するよう、社内ルールを整えておくことも重要です。

6．OSやアプリケーションのアップデート

テレワーク時には普段は利用していないPCを利用することも多いため、OSやソフトウェアが最新の状態になっていないことがあるでしょう。ウイルスやワームなどのマルウェアの手口は日々進化しているため、OSやソフトウェア、アプリをアップデートしていないと脆弱性が残ったままになり、外部からの攻撃にさらされる危険性があります。

従業員がテレワークを開始する前には、端末のOSやソフトウェアが最新の状態にアップデートされているかを確認することを習慣づけることが大切です。

7．業務使用端末へのアプリケーションのダウンロード制限

ウイルスやワームへの感染例で多いのが、アプリケーションのダウンロードにまつわるものです。職場で許可されていないアプリケーションをダウンロードした際に、不正なプログラムがインストールされてしまい、情報が漏えいしたり消失したりするケースが多く報告されています。

通常時より、端末に業務上必要なアプリケーションをダウンロードおよびインストールする際には、システム管理者に許可を申請し、認められたアプリケーションのみインストールできるようルールを決めておくと良いでしょう。テレワーク時にはアプリケーション管理の対応が難しくなる可能性があるため、システム管理者でないとアプリケーションをインストールできないよう制限をかけるのもひとつの手段です。

従業員の私用端末をテレワークに利用させる場合でも、新しいアプリケーションをインストールする際には、安全性に十分配慮させる必要があります。

8．フィルタリングソフトの導入

テレワーク時にはインターネットの利用が多くなります。特に私用端末をテレワークに利用している場合は、インターネットの私用アクセスも発生するでしょう。

ウェブサイトの中には、閲覧するだけで有害なマルウェアやソフトウェアをインストールさせようとするものがあるため、注意が必要です。テレワークで利用するPCにはフィルタリングソフトを導入し、 危険なウェブサイトへのアクセスを自動的に防ぐことが望ましいでしょう。

9．周囲に人がいる状態での業務の制限

従業員がカフェやコワーキングスペース、移動中の交通機関などで業務に当たる場合には、後ろから端末を覗かれるリスクがあります。他人の視線がある環境でテレワークをする可能性がある場合は、PCに覗き見防止フィルター（液晶保護フィルム）を装着することで、情報を盗み見されるリスクを軽減させることができます。また外出先で仕事をする場合には、資料に固有名詞を表示させないといった対策も有効です。

そのほか外出先で業務に関する電話をしたり、オンライン会議に参加したりするケースもあるでしょう。声による情報漏えいの危険性もあるため、大声で話さないように気をつけることも大切です。

上記のような対策をとっても、周囲に人がいる状態でテレワークをする場合には、情報を盗み見されたり、盗み聞きされたりするリスクがあります。公共スペースでは機密情報を扱うような業務を行わないようルールを定めておくことが重要です。

10．社内SNSの利用

テレワークでは、顔を合わせて会話ができない分、情報共有やWeb会議の招集などのための電子メールの活用が増えます。そこで高まるのが、フィッシングメールやなりすましメールを気づかずに開いてしまったり、不正なURLを誤ってクリックしたりするリスクです。

最近は従業員間の連絡には、電子メールではなく社内SNSを利用する企業が増えています。社内SNSの活用は、悪質なメールによる被害を防ぐ有効な手段のひとつです。

社内体制を整えるためのIT・Web人材採用や育成にお困りではありませんか？

ここでご紹介した10の対策は、これまでテレワークを行っていなかった企業が、すぐにでも導入が可能なものです。しかし、これらの対策をすべて行ったとしても、セキュリティ対策が万全だとはいえません。

ウェブスタッフでは、インターネットをより快適に安全に利用するため、IT・Webチームの体制最適化をお手伝いいたします。IT・Web部門の立ち上げ・運用支援、また、必要な人材の採用等について課題をお持ちでしたらお気軽にご相談ください。

▶︎ご相談・お問合せはこちら

今後整備したいテレワークのセキュリティ対策

今後もテレワークでスムーズに業務を進めていくためには、安全なテレワーク環境を整えていく必要があります。長期的にテレワーク環境を整えていくために取り組みたいセキュリティ対策を紹介します。

テレワーク方式の見直し

テレワーク時に社内の情報にアクセスする方法は、大きくわけて以下の6つに分類されます。どの方法を導入するかは、テレワークで行う作業の内容や予算などによって異なります。

リモート デスクトップ方式	概要： オフィスに設置されたPC等の端末のデスクトップ環境にインターネット経由でアクセスし、テレワーク端末から遠隔操作する。 特徴： ・高速インターネット回線が必要。 ・テレワーク端末にデータが保存されない。
仮想 デスクトップ方式	概要： オフィスのサーバ上で提供される仮想デスクトップ基盤（VDI）にインターネット経由でアクセス、テレワーク端末から遠隔でログインして利用する。 特徴： ・高速インターネット回線が必要。 ・テレワーク端末にデータが保存されない。
クラウド型 アプリ方式	概要： オフィスかテレワーク環境かどうかを問わず、インターネット経由でサーバ上で提供されるアプリケーションにアクセスし、作業を行う。 特徴： ・テレワーク端末にデータを保存するかどうか選択可能。 ・クラウドサービスを利用する。 ・インターネットの速度が作業の操作性に及ぼす影響は限定的。
セキュア ブラウザ方式	概要： インターネット経由でクラウドサービスにアクセスし、クラウド上のアプリケーションを社内外から利用する。特別なブラウザを用いてテレワーク端末へのデータの保存を制限する。 特徴： ・テレワーク端末にデータが保存されない。 ・クラウドサービスを利用する。 ・インターネットの速度が作業の操作性に及ぼす影響は限定的。
アプリケーション ラッピング方式	概要： インターネット経由でクラウドサーバーにアクセス、テレワーク端末内ローカルの環境とは独立した仮想的な環境を設けて、その中でテレワーク業務用のアプリケーションを動作させる。 特徴： ・テレワーク端末にデータが保存されない。 ・ローカルPCにインストー ルされたるOSやアプリケーション利用を利用するため、インターネットの速度の影響を受けにくい。
会社端末の 持ち帰り方式	概要： オフィスの端末を持ち帰りテレワーク端末として利用する（紙媒体の持ち帰りも含む）。インターネット経由ででオフィスにアクセスする必要がある場合は、情報漏えい対策としてVPNで接続することが前提。 特徴： ・テレワーク端末にデータが保存されるため、厳格な情報セキュリティ対策が必要。 ・インターネット回線の速度が操作性に影響しない。 ・物理的な盗難・紛失のリスクが高い。

リモートデスクトップ方式や仮想デスクトップ方式では、インターネット経由で社内システムにアクセスし、データも端末に保存されないため、テレワークで機密情報を扱う必要があるケースと相性が良い方法です。ただし多額の費用がかかるため、導入に踏み切れる企業は限られています。

最近では、大規模・高速なコンピュータ資源を低価格で利用できることから、社内にサーバを置かずクラウドサービスに移行する企業が増えています。クラウドサービスは従業員の私物PCを利用したテレワークとも相性が良い仕組みです。

今回の新型コロナ感染拡大の影響で急遽テレワークを進めた企業の場合、会社端末の持ち帰り方式を取っているケースは少なくないでしょう。会社端末の持ち帰り方式は情報漏えいのリスクが高く、厳格なセキュリティ対策が欠かせません。テレワークを継続するにあたっては、クラウドサービスの利用など、より安全性の高い方法の導入を検討することも必要になるでしょう。

社内情報のレベルに応じたルール設定

社内の情報資産を「機密情報」「業務情報」「公開情報」など重要度ごとにレベル分けをし、テレワークで扱える情報と社内でのみ扱える情報を切り分けます。そのうえで、情報レベルに応じてアクセス制御や暗号化、印刷可否などの設定を行うことが必要です。

特に個人情報や顧客から預かった非公開情報などの機密情報の取り扱いに関しては、細心の注意を払わなければなりません。情報を閲覧・編集する必要のない従業員や端末からはアクセスできないよう制限をかけるといった対策が取ることが欠かせません。

情報セキュリティポリシーの策定・更新

企業の情報セキュリティ対策を行ううえでの最も基本的なルールが「情報セキュリティポリシー」です。テレワークではオフィスで業務を進めるとき以上に、情報セキュリティの安全性に配慮する必要があります。従業員が情報セキュリティポリシーを遵守すれば安全にテレワークできるよう、自社のテレワーク環境に合わせた具体的な対策をルールとして定めることが重要です。

従業員へのセキュリティ教育の徹底

社内ルールを策定したり技術的な対策を施したりしても、情報を利用する従業員が情報セキュリティの重要性を理解していなければ、 情報漏えいや情報消失を防ぐことはできません。情報漏えいや情報消失が企業活動にとってどれほどのリスクなのかを従業員に認識させたうえで、リスクを防ぐためのルールを遵守させることが必要です。

またセキュリティ教育を通じて情報セキュリティに関する知識を習得させれば、従業員一人ひとりがリスクを事前に察知できるようなります。

執筆者