テレワークのセキュリティリスクを踏まえた対策の基本を解説

新型コロナウイルス感染症拡大対策により、テレワークが急速な広がりをみせました。働く場所を問わないというメリットがある反面、社内ネットワークの外部で端末を用いて業務情報にアクセスする働き方は、多くのセキュリティリスクを抱えています。紛失・盗難や覗き見といった従来のリスクはもちろん、ウイルス感染の手口は年々巧妙化しており、対策は常にアップデートを迫られています。ここでは、6つのテレワークのセキュリティリスクと、それに応じた対策の基本を紹介します。

2020年の春以降、新型コロナウイルス感染症拡大対策によりテレワークを導入する企業が増加しました。正社員のテレワーク実施率はコロナ以前では約13%でしたが、2020年4月には全国平均27.9%と拡大。オフィスという場所に捕らわれない働き方が広がるなかで、企業の情報セキュリティ対策が課題となっています。

東京商工リサーチの調査によると、2020年の「上場企業の個人情報の漏えい・紛失事故」件数は前年比２割増の103件を記録しました。

この調査対象はテレワークに限定されてはいませんが、情報通信技術の発展により業務上で扱うデータ量や種類が増加したことに加え、仕事をする場が自宅・コワーキングスペース・移動中と多様化していることは無関係とはいえません。

総務省がまとめているテレワークの最新動向によれば、コロナ禍でのテレワーク実施率の上昇に触れつつ、導入にあたっては依然として「セキュリティ上の不安」が大きな課題に挙げられています。たとえば、在宅勤務でのVPN利用はセキュリティ対策として有効な手段ではありますが、万能とは言い切れません。2020年8月には上場企業で自宅のテレワークのために利用していたVPN装置のセキュリティ脆弱性から不正アクセスが発生しました。これらの調査結果や事例はテレワークに潜むさまざまなリスクと対策の難しさを表しているといえるでしょう。

セキュリティリスクには、ウイルス感染・不正アクセスといった「ネットワーク上のリスク」以外に、端末の紛失・盗難などの「人の手や意識によるリスク」も潜んでいます。適切なセキュリティ対策を講じるために、テレワークが抱えるリスクを理解しましょう。

テレワークでは、仕事上必要な情報が保存された端末やUSBメモリなどに記録して持ち出す機会が増えることから、端末自体の紛失・盗難リスクが高まります。2020年5月には、大阪府内の公立高等学校の教員がテレワークのために持ち出した360件の生徒の個人情報が入ったUSBメモリを紛失するという問題が起こりました。

端末の紛失・盗難リスクへの基本対策では、USBメモリのような記録媒体の業務上使用は許可された場合のみに限定するなど社内ルールで規定することや、データ保存が想定される端末を内蔵されたHDDやSDD、記録媒体レベルで暗号化することが有効です。さらにテレワーク従事者に、許可された端末以外に情報を保存しない、業務上必要な端末を持ち出す際には社内ルールに従うといった周知も必要になります。

テレワークの導入にあたっては、テレワーク従事者が業務に関係しない第三者がいる空間で仕事を行う状況を想定する必要があります。

端末を一定時間利用しない場合の自動ロックや覗き見防止のプライバシーフィルターを貼り付ける基本対策はもちろん、「意図しない情報漏えい」に備えなければいけません。共働き家庭やコワーキングスペースなどの、同じ空間で複数人がオンライン会議を行う際は、互いの音漏れに注意します。また、テレワークを実施可能な場所の要件などを社内ルールで規定しましょう。

オンライン会議の急速な普及では、第三者によるURLへの不正アクセスも問題になりました。そのため、参加URLにパスワード設定を行うといったアクセス制限を徹底することも重要です。

テレワークの導入で懸念されるのが、周囲の目が届かないことによる内部不正のリスク増です。従業員が故意に会社の機密情報を外部メモリに保存し外部に持ち出すといった事件を防ぐために、情報の重要レベルごとへのアクセス制限の設定や、アクセスログの取得体制を整備するといった管理者側の対策が重要になります。

また、内部脅威としては偽の電子メールで企業の担当者をだまし、資金を窃取する「ビジネスメール詐欺」が年々巧妙化しています。不審メールなど重要なセキュリティ情報を管理者が一斉通知で注意喚起を行うことや、テレワーク従事者に対してセキュリティへの理解・意識向上を目的とした定期的な研修の実施が求められます。

機密情報の流出の原因となるマルウェアや、パソコンに保存しているファイルを暗号化し復旧と引き換えに身代金を要求するランサムウェアなど、ウイルス感染の経路は巧妙化しています。

かつては怪しいサイトやメールを開かなければ大丈夫と思われていましたが、近年では正規のウェブサイトが不正侵入で書き換えられウイルス感染の要因となるケースもあります。巧妙に偽装したファイル名や拡張子のファイルを、気づかずに開いてウイルス感染するという事例もあり、個人の意識以上の対策が必要となっています。

テレワーク端末へのセキュリティ対策ソフトのインストール、アップデートを適切に行うことや、メーカーサポートが終了しているソフトウェアを利用しないよう周知することが求められます。

テレワークでクラウドサービスへの接続やデータ送受信を行う際、利用するネットワークが情報漏えいの要因となるリスクがあります。ホテルや空港など公衆で利用できるフリーWi-Fiが乗っ取られ、接続した人の情報が窃取される攻撃があります。フリーWi-Fiを装った偽のアクセスポイントから不正アクセスされることもあり、公衆に開放されているネットワークを安易に利用することは情報セキュリティを危険にさらします。

同様に、普段家庭で利用しているネットワークが攻撃者の対象となる危険性もあります。そのため、業務で使用する場合は通信経路が暗号化されたVPNを利用するなどの対策が必要です。

BYOD（個人端末の業務利用）で社員が個人的に所有するモバイル端末を業務に使う場合、セキュリティに関する不安があります。セキュリティ対策が施された会社貸与の端末とは違い、プライベート用の端末はアップデートが後回しになるなど、セキュリティが脆弱であることも珍しくありません。業務に使用している個人端末がウイルス感染すれば、社内ネットワークも感染の脅威にさらされます。

業務に関係のないメールを受信する個人端末でフィッシングメールを開きマルウェア感染してしまう、社内規定では許可されていないクラウドサービスに業務データを保存し、クラウドサービスの障害により外部に流出してしまう（シャドーI T）。こうしたリスクに対応するためには、情報セキュリティの知識を向上させる研修が必要です。

関連記事

シャドーITとは？ セキュリティリスクが生じるケースと必要な対策

https://moconavi.jp/blog/2021/03/5640/

スマートフォン・タブレットなどのモバイル端末の普及や、テレワークの推進に伴い、“シャドーIT”という言葉をよく耳にするようになりました。テレワークによって業務に使用する端末やサービスの幅が広がることで、企業が許可していない端末を使用するシャドーITによる、新たなセキュリティ課題が生まれています。本記事では、シャドーITの概要やセキュリティリスク、企業が取り組む対策について解説します。

テレワークのセキュリティリスクに対しては、管理体制の整備やテレワーク従事者の情報セキュリティの向上のほか、最新のセキュリティ対策の導入がポイントとなります。「運用による対策」「端末管理の徹底」「マルウェア・不正アクセスへの対策」の３つに絞り、具体的な対策を説明します。

運用によるセキュリティ対策には、「管理者による対策」と「勤務者による対策」の２軸で考えます。

管理者による運用対策では、まずルールとなる社内規定を整えます。テレワークを許可する対象業務や職種、環境条件、外部に持ち出しできる情報や端末の規定などを行います。社内規定は一度作成して確立させるのではなく、新たなクラウドサービスの利用方法を追記したり、最新のセキュリティ事故の事例に対応したりするなど随時アップデートしましょう。

また、万が一セキュリティ事故が発生した場合に備え、インシデント対応フローの作成や、遠隔操作でテレワーク従事者の端末にアクセスできるよう整備します。事故発生後の原因分析と再発防止策に努めることも重要です。

勤務者による運用対策では、管理者が作成した社内規定の周知が基盤となります。新入社員へのセキュリティ研修のほか、年に１回など定期的な教育研修を実施しましょう。またセキュリティ対策テストの実施も、勤務者のセキュリティリスクへの理解度を把握するのに役立ちます。さらに、不審メール情報や緊急アップデートの周知を、組織のポータルサイトなど勤務者の目につきやすい方法で注意喚起しましょう。

テレワークでは利用する端末管理の徹底がセキュリティを向上させます。

管理者は、組織内で利用するテレワーク端末の台帳を整備し、シリアルナンバーやOS種別・バージョン情報、パッチ適用状況、利用者などの必要情報を管理しましょう。個人端末利用のBYODでは、端末に必要な情報セキュリティ対策が施されているかを確認します。業務上利用可能なアプリケーション・クラウドサービスの周知を行い、利用が許可されていないサービスは申請制とし、セキュリティ上の問題がないか確認できるフローを構築します。

さらに、テレワークで貸与する端末は必要最小限の権限を付与し、管理者権限の端末やアカウントには強力なパスワードポリシーを適用します。テレワーク端末へのログインパスワードなどにも強力なパスワードポリシーを適用し、多要素認証方式を用いるなど安全性を高めます。

盗難・紛失に備え、データを保存するテレワーク端末は、内蔵されるHDDやSSDの暗号化を実施します。遠隔制御でのデータ・アカウント初期化やログイン時のパスワード認証の強制も有効です。

テレワークでは、インターネット経由での感染例が多いマルウェアと不正アクセスの脅威に備える必要があります。

ウイルス対策ソフトをテレワークで利用する端末にインストールし、定義ファイルが自動更新されるよう設定します。また、危険なウェブサイトに勤務者がアクセスしないよう、フィルタリング機能を適用することも重要です。不正アクセスへは、多要素認証や暗号化などにより通信環境をセキュアにするVPNの利用が対策のひとつとなります。

ただし、近年では未知のマルウェアの出現によりウイルス対策ソフトでは検知できないケースも発生しています。そのため、端末でプログラムの挙動を監視しマルウェアの脅威を感知するEDRのようなセキュリティ対策を用いて、多層防御を構築することが重要です。

さらに、クラウドサービスの発展とテレワークの普及により、クラウド上の社内システムにアクセスしたり、外出先や自宅からシステムにアクセスしたりするなど、アクセス先や経路の多様化も見られます。従来の境界型のセキュリティ対策だけではなく、社内ネットワーク・内側・外側とどこからのアクセスでも安全性を担保するゼロトラストセキュリティも重要となっています。

テレワークのセキュリティリスクを理解し、まずは社内でのルールを作成、勤務者への周知を行いましょう。仕事をする環境と端末が多様化するテレワークでは、リスクに備えた端末の管理が重要です。多要素認証などの強固なパスワードポリシーの適用、記憶媒体の暗号化、細かいアクセス制限設定などがセキュリティリスクから重要な機密情報を守ってくれます。

同時に気をつけたいのが、強固なセキュリティ対策を施したばかりに、勤務者に負担を強いていないかという点です。情報のアクセスやログイン時の制限が多ければ、業務の生産性向上の壁となります。また、組織に十分なセキュリティ対策を運用できるIT担当者がいるかどうかもポイントとなります。

moconavi（モコナビ）はIDによる機体認証が可能で端末証明書が不要、SSOによる認証や生体認証も可能です。業務で利用するアプリは端末内にデータの保存をする必要がなく、BYODのセキュリティ対策にも有効です。テレワークでのセキュリティ対策をお考えの際は、ぜひご検討ください。