テレワークは以前から、育児・介護と仕事を両立したり、通勤時間の節約や通勤ストレスからの開放といったワーク・ライフ・バランスの向上に貢献する働き方として注目されてきました。

ICT技術の発展によって、多くの企業でテレワークの導入が進みましたが、特に2020年に流行した感染症への対策として爆発的に浸透しました。

便利になる一方で、テレワークはオフィス内での勤務に比べてセキュリティリスクが高まります。

この記事では、テレワークを行う際に注意すべきセキュリティリスクを紹介し、それらへの対策方法と効果的な運用を行うための社内体制について解説します。

なお、総務省が策定・公表している、テレワークの導入に当たってのセキュリティ対策についての考え方や対策例を示した「テレワークセキュリティガイドライン（第5版）」を参考にしています。

セキュリティ対策と聞くと、何かツールを導入するなど、技術的な対策を思い浮かべる人が多いと思います。ところが、技術だけ整えてもセキュリティレベルを高めることはできません。さらにいうと、技術的な対策はこのあと紹介する2つの要素を補完するものに過ぎません。

技術的な対策以上に大切な要素の1つは「ルール」です。セキュリティ対策には「これをしていれば絶対に大丈夫」というものはありません。業務内容や環境によって適切な対策は異なります。すべての従業員がセキュリティに関する専門的な知識を持ち、その都度自分たちで安全かどうかを判断することは現実的ではありません。そのため、あらかじめルールを設定しておくことで、従業員はそのルールを守ることに専念すれば、概ね安全に業務を行うことができます。

技術的な対策以上に大切な要素の2つ目は、「人」です。3つの要素のうち、最もコントロールが難しいのは「人」です。技術的な対策を行い、適切なルールを定めても、実際に従業員がそれを守らなければ、セキュリティは維持できません。

特にテレワーク勤務者はオフィスから目の届きにくいところで作業をすることになるため、ルールが守られているかどうかを確認することは簡単はありません。したがって、ルールを定着させるには、継続的な教育や啓発活動を通じてルールの趣旨を理解し、ルールを遵守することが自分にとってメリットになることを自覚してもらうことが重要です。

3つの要素は、どれか1つでも疎かにすればたちまちセキュリティレベルが下がってしまいます。穴の空いたバケツのように対策が甘い箇所があれば、いくら他のところを強化しても全体のセキュリティレベルは向上しません。全体をバランスよく対策することが重要です。

セキュリティ対策における最も重要な要素の1つである「人」は、さらに3種類に分類することができます。「経営者」「システム・セキュリティ管理者」「テレワーク勤務者」です。それぞれの立場からセキュリティの確保に関して必要な役割を認識し、適切に担っていくことが重要です。

経営者の基本的な役割は、事業の効率的かつ健全な発展と、その事業に影響を及ぼすセキュリティリスクへの対応という両面から、組織としてのあるべき姿を検討し、その方針を示すことです。

具体的な方法や手段は、次に紹介するシステム・セキュリティ管理者が判断することになりますが、ビジネスの全体像を把握し、大局的な立場からの判断は、経営者でないとできないことを自覚する必要があります。

システム・セキュリティ管理者の基本的な役割は、経営者が示した方針を具体化していくことです。情報セキュリティのための技術的な対策を行ったり、運用に関するルールを作成し、そのルールを従業員に遵守させる役割を担います。

テレワーク勤務者の基本的な役割は、システム・セキュリティ管理者が作成したルールを認識・理解し、遵守することです。ルールや対策が適切に整備されたとしても、そのルールが遵守されなければ、対策は有効に働きません。テレワーク勤務者がルールの重要性を理解し、遵守することがセキュリティの確保につながります。

テレワークセキュリティ対策の必要性について理解を深めるため、ここからは、テレワークセキュリティに関するトラブル事例と、それに関連した対策について紹介します。

2020年8月に、世界中でVPN機器のIDやパスワードが流出する事件が発生しました。既知の脆弱性を放置したまま運用を続けていたVPN機器が攻撃を受け、日本でも40社近くの企業などが不正アクセスの被害に遭いました。

2019年には、この脆弱性を悪用する攻撃が既に発見されており、該当のVPN機器のベンダー側でファームウェアの修正が行われていましたが、ファームウェアを最新にアップデートしていない機器が攻撃を受けました。

脆弱性は放置せず、早急に対応を行うことが重要です。また、テレワークの急激な拡大に対応するため、過去に使用していて運用から外しておいたVPN機器を、設備増強用としてそのまま臨時稼働させたところ、脆弱性が潜んでいたために攻撃を受けたという企業もありました。ネットワークに使用する際には、脆弱性がないことを必ず確認することが必要です。

2020年5月、グループ会社の従業員がテレワークを行っていたとき、正規のメールアプリケーションではないフリーメールに添付されたファイルを開封し、PC1台がマルウェアに感染する事件が発生しました。マルウェア検知システムは導入していたものの、メールに添付されたファイルに仕込まれたマルウェアが新種であったためにマルウェア検知が遅れ、氏名やメールアドレスを含む個人情報1万件以上が漏えいしました。

フリーメールのように、業務で利用する正規のアプリケーション以外をテレワーク端末上で利用している場合、マルウェアの感染防止や検知の統制が適切に機能せず、マルウェア感染のリスクが高まります。

テレワーク端末で利用を許可するアプリケーションは、社内のセキュリティポリシーにおいて明確に定める必要があります。また、業務上必要のないアプリケーションの利用や、不審なサイトへのアクセスを制限することも重要です。

2020年4月〜6月にかけて、感染症拡大防止に伴う外出自粛や店舗休業などの影響から、インターネットショッピング利用者が増加しました。これに伴い、インターネットショッピングサイトや宅配便の不在通知を装うフィッシングメールが数多く発生しました。

テレワークで個人所有端末を利用している場合は、業務と関係のないメールを受信する可能性もあります。オンラインショッピングサイトなどを偽ったフィッシングメールを、テレワークで利用している個人所有端末で受信し、記載されたURLへアクセスすることでマルウェアに感染してしまうリスクもあります。

個人所有端末の業務利用に当たっては、セキュリティ対策をテレワーク勤務者任せにせず、組織として適切なセキュリティ対策を実施する必要があります。また、攻撃手法や脅威動向の情報を積極的に収集し、被害の増えている攻撃手法については典型例とあわせて注意喚起を行うなどの対策も重要です。

偽のメールを送り付け、従業員をだまして資金を盗取する「ビジネスメール詐欺（Business Email Compromise：BEC）」が、財務部門の従業員やセキュリティ意識の甘い末端の個人を標的に増加しています。

また、IPAが提供しているサイバー情報共有イニシアティブ（J-CSIP）運用状況［2020年7月～9月］の中で、BECの事例の1つとして、実在するCEOを偽り、「出張中だが、企業買収について協力して欲しいことがある」といった内容で連絡を取るようなものが紹介されています。

従来、BECは経営層が標的の中心となっていました。しかし、テレワークの普及に伴い、対面での確認がしづらい状況が増加していることを狙って、財務部門の従業員を標的にBEC被害が増加傾向にあります。財務や経理などを担当する従業員に対しては特に注意を促すことが重要です。

2020年6月、ある教育機関で児童や関係者のべ3000人以上の氏名や住所、電話番号などを含む個人情報を記録したUSBメモリーを紛失する事故が発生しました。テレワークを実施するため、USBメモリーを外部に持ち出した際に紛失が発生したとのことで、当該教育機関は、関係者に向け謝罪を表明しています。

テレワークの実施により、通常の業務を行う場所からPCやUSBメモリーなどの外部メディアを持ち出す機会が増加することから、これらを紛失してしまうリスクが高まっています。そのため、持ち出しを許可する情報を必要最小限に留めることや、万が一PCや外部メディアを紛失してしまった際の対策として、データを暗号化したり遠隔からのデータ消去したりといった対策を実施することが重要です。

公衆Wi-Fiを利用した攻撃の中には、ホテルのWi-Fiネットワークを乗っ取り、Wi-Fiを利用した宿泊者から情報を窃取するという攻撃があります。

また、「偽アクセスポイント」や「AP（アクセスポイント）フィッシング」と呼ばれる正規のWi-Fiのアクセスポイントを装ったアクセスポイントを設置し、誤って接続した端末からネットワークへの不正アクセスを試みる攻撃もあります。

テレワークではWi-Fiの利用が大変便利ですが、公衆Wi-Fiの多くは、利用者側から公衆Wi-Fiに対する認証が十分にできず、利用しているWi-Fiが正規のものかどうかの確認が困難なものがあります。そのため、接続してきた利用者を標的として通信を傍受し、ログインするため認証情報や、秘匿性の高い情報を窃取するなどの攻撃が想定されます。

公衆Wi-Fiはできるだけ利用しないようにして、会社から貸与されたスマートフォンのテザリング機能を使ったり、モバイルWi-Fiを利用することが推奨されます。もしも公衆Wi-Fiを利用する場合は、相互認証されたサービスの利用や、暗号化された通信プロトコル（TLSやIPsec33）を利用した通信だけに留めるなどの注意が必要です。

オフィスでの業務であれば、その場には従業員しかいませんが、テレワークの場合、家族を含む、業務に関係のない第三者に囲まれた環境で業務を行うことが予想されます。そのため、機密性の高い情報はきちんと整理し、第三者に見られないようにするというルールを策定したり、のぞき見防止フィルターの活用により第三者に端末の画面を見せないという対策の徹底が重要です。

また、テレワークの導入によりオンライン会議の利用が促進されていますが、オンライン会議の画面共有機能を使用する際にも注意が必要です。機能的にスクリーンショット撮影や録画を制限していたとしても、スマートフォンなどでの撮影までは制限できません。そのため、対面の場合と異なり、一時的に提示した情報が撮影・録画されるリスクがあることを念頭に入れ、共有しても問題ない情報に留めることも検討する必要があります。

2020年5月、リモートアクセスを利用した個人所有端末から正規のアカウントとパスワードを盗まれ、社内ネットワークに不正アクセスされる事件が発生しました。

仮想デスクトップ（VDI）によるリモートアクセスシステムを利用していたものの、個人所有端末自体が攻撃者の踏み台として乗っ取られていたために、VDIサーバー経由で社内のファイルサーバーを閲覧されたおそれがあり、180社以上の顧客に影響が出る可能性があると発表をされています。

テレワーク端末が「踏み台」となることで、社内ネットワークへのアクセスを許すことや被害拡大につながる可能性があります。

一般的にVDIなどのリモートアクセスシステムを利用している場合、接続元となるテレワーク端末を介した直接的なデータの持出しは制限できるとされていますが、閲覧による情報流出を防ぐことはできません。VDIを利用しているからといって、接続元のテレワーク端末の対策が一切不要になるわけではなく、マルウェア感染対策は必要です。

特に個人所有端末を活用してテレワークを実施する際には、支給端末と比較してセキュリティ統制が取りづらくなることから、より一層の注意が必要となります。

これまでに紹介したようなセキュリティインシデントを防ぐために、社内で採るべき対策の対象を紹介します。どんなテレワーク方式を採用しているかにかかわらず、共通で実施すべきセキュリティ対策について解説します。

セキュリティ対策を行う上で、最も基本となるルールが「情報セキュリティ関連規程」です。これは、情報セキュリティに関する方針や行動指針をまとめた文書であり、これを作ることで組織として統制のとれたセキュリティレベルを確保することができます。

「情報セキュリティ関連規程」の策定にあたっては、まず経営者が自社の事業内容や業務環境を考慮して、セキュリティに対してどのような方針を採るかを決定します。それを受けてシステム・セキュリティ管理者が、実現可能な手段を検討し、ルールを策定します。このルールは1度作って終わりではなく、継続的に見直しを行うことが求められます。

テレワーク勤務者は、このルールの目的や意図を正しく理解し、遵守する必要があります。

自社内で使用されているハードウェアやソフトウェア（これらをIT資産といいます）の所在、利用者、バージョン、パッチの適用状況が明確でない場合、どれにどのようなセキュリティ対策が必要になるのか、また、どれがセキュリティ対策を実施済みでどれがセキュリティ対策を未実施なのかが不明確になります。こうした事態を防ぐために、IT資産の管理台帳を整備し、ハードウェアやソフトウェアに関する各種情報を常に最新化しておくことが重要です。

システム・セキュリティ管理者は、適切な管理台帳を作成し、常に最新の情報を把握できるように更新し続けることが求められます。テレワーク勤務者は、適切に申告し、紛失や盗難などに注意しなければいけません。

脆弱性が存在しているハードウェアやソフトウェアを使用していると、外部からの攻撃が成功する可能性が高まります。このような事態を防ぐために、OSをはじめとしたソフトウェア（ブラウザやその拡張機能を含みます）のアップデートやパッチ適用の定期的な実施を始めとする脆弱性管理の実施が必要です。ただし、貸与しているすべての端末について、従業員自身でアップデートを行うように管理を徹底するのは非常に難しいです。IT資産管理ツールの中には、システム・セキュリティ管理者が、遠隔で制御できる機能があるものがあるので、うまく活用すると運用の負担を軽減することができます。

発売されて一定の期間が経過された製品やサービスは、サポートが終了し、セキュリティ対策が行われなくなります。こうした製品やサービスでは明らかとなった脆弱性にも対応していない場合があるため、攻撃者の標的にされやすくなります。

発見される前の脆弱性を突いた攻撃であるゼロデイ攻撃があるので、脆弱性を完全になくすことができませんが、できる限り迅速にアップデートすることが大切です。

一般ユーザーを管理したり、システムの設定を変更したりする管理者のような特別権限の管理は慎重に行わなければいけません。外部から不正に侵入した攻撃者は、このような特別権限を不正に取得することで、重要なデータにアクセスして、抜き取ったり改ざんしたりします。

したがって、管理者権限の利用者は最低限とし、IPアドレス制限などを行い、限られた環境からしか使えないように設定するといった対策が重要です。

保護すべき情報の分類が明確に規定されていないと、非効率あるいは不十分な対策が実施されることにつながります。このような事態を防ぐために、企業等における情報資産を3つ程度に分類し、公開してもかまわない情報以外の情報資産についての情報管理レベルや取扱方法を定める必要があります。また、経営者はこれらに関する基本的な方針を定める必要があります。

情報の分類例：例えば、以下のような分類が考えられます。

機密性を有する情報として個人情報に注目しがちですが、例えば、経営に関する重要な情報（事業運営の根幹となる情報）や社内ネットワークの特権情報などについては、個人情報以上に厳重に取り扱うべき場合もあり得ることから、各情報の取扱いに関して、情報漏えいなどが発生した場合に事業に与える影響を考慮し、重要度を定めることが必要です。

情報の取扱方法は、デジタルデータだけではなく、紙媒体についても定めておく必要があります。例えば、データを自宅などにおいて出力することの可否や、紙文書の持ち出しや電子化における制限などが考えられます。

端末の盗難や故障などによって、重要なデータが使用できなくなり、業務の継続が困難になる可能性があります。このような事態を防ぐために、社内ネットワーク上の共有フォルダなどにバックアップを保管しておくことが重要です。ランサムウェアの感染のリスクに備えるため、ネットワークに接続しない記録媒体やクラウドサービスにも保管するなど、複数の環境にバックアップを保管しておくことも重要です。

テレワークにおいては、インターネットを利用する場合が多く、特にインターネット経由の感染例が多いマルウェアの脅威に備える必要があり、ウイルス対策ソフト（アンチウイルスソフト）を導入し、適切な設定の下で運用していくことが重要です。また、危険なWebサイトへのアクセスを禁止するフィルタリングも重要です。

アンチウイルスは、既存のウイルスとのパターンマッチングによって、ウイルスを判定しています。そのため、マッチングのための定義ファイルを定期的に更新することが必要です。また、フィルタリングについても、フィルタリングするサイトを定期的に更新する必要があります。

近年の巧妙化するウイルスに対応するためには、アンチウイルスだけでは十分とはいえません。そこで、EDR（Endpoint Detection and Response）が注目されています。EDRはパターンマッチングだけではなく、未知のマルウェアを含めた不審な挙動を検知することができ、検知したマルウェアを隔離したり、排除したりすることで、被害を抑えることができます。

インターネット経由でデータの送受信をする場合、通信経路上に第三者が介在し、情報をのぞき見されるおそれもあります。そのため、通信経路を暗号化して、データを保護することが必要です。通信経路の暗号化には一般的にVPNが使われます。

ファイルを送受信する際の暗号化には注意が必要です。機密性のあるファイルを相手方に送る場合に、暗号化ファイル（パスワード付きZipファイル）を作成し、その暗号化ファイルをメールで送付した後、パスワードもメールで送付する方式（いわゆるPPAP方式）が一部で用いられています。

しかし、この方式では（暗号化ファイルとパスワードを別メールで送信したとしても）、メールに添付された暗号化ファイルを通信経路上で窃取可能な攻撃者は、パスワードを記載したメールも窃取可能であると推測されるので、通信経路上での情報窃取に対するセキュリティ対策としての効果が疑問視されています。

ファイルを安全に送付するには、パスワードをあらかじめ取り決めた上で暗号化する方法のほか、クラウドストレージなどのファイル共有サービスを活用する方法などが考えられます（脱PPAP）。

インターネット上から業務上必要な情報にアクセスできるテレワークのシステムは、不正アクセスの方法として攻撃者に狙われやすいといえます。したがって、テレワーク勤務者が社内ネットワーク上のシステムやクラウドサービスに接続するための利用者認証は、強度の高いものを設定することが重要です。

不正アクセスの試行が行われ得ることを前提として、利用者認証に一定回数失敗した場合の技術的対応を定めるとともに、異動や担当者変更などに際して権限がなくなるべき者に権限が残ったままにならないよう運用する必要があります。

パスワードは、第三者が推測しにくいものを設定する必要があります。名前や辞書に載っているような単語を少し変えただけのようなパスワードでは、突破されてしまうと考えましょう。パスワードの文字数や使用する文字の種類など、管理者側でルールを決めることで強度を上げることができます。

パスワードを使い回していると、クラウドサービスなどの提供者側がサイバー攻撃を受けるなどしてパスワードが流出してしまった場合に、同じパスワードを利用している全てのサービスが不正アクセスを受けかねない状態になります。パスワードの使い回しはやめ、サービスごとに異なるものを設定する必要があります。

ユーザー名とパスワードでの認証は、1度流出してしまうと不正アクセスを受けやすいといえます。ワンタイムパスワードや生体認証などによる多要素認証を必須にすることで、さらに強度を高めることができます。

不正アクセスを防止するためには、不要なアクセス権限を付与していたり業務上必要ない接続設定が有効になっていないか、きちんと確かめることが重要です。

例えば、ファイアウォールによるアクセス制御、IPアドレスによる制限、不要ポートの閉鎖といったネットワークにおけるセキュリティ対策を徹底することが有効です。また、業務に必要ないBluetooth機能、アドホックモードなどの無線接続が有効になっていると、本来意図していない第三者による不正アクセスが行われる可能性があります。重要な情報についても、アクセス権限を制限することが有効です。さらに、閲覧権限だけ与えるのか、編集権限まで与えるのかについても慎重に決定することが大切です。

これらの権限設定は、継続的に見直し（点検）を行うとともに、クラウドサービスのサービス内容に変更がないか、設定誤りがないか、不必要になった権限が放置されていないかなどを確認することも重要です。

セキュリティインシデントが発生してしまった際、迅速かつ的確に対応するためには、普段からインシデント対応計画や各種手順を整備しておくことが求められます。例えば、最低限実施すべきことを記録したチェックリストや、組織内外における緊急連絡先・伝達ルートを整備して、常時携帯して確認できる状態にしておくことなどが考えられます。

セキュリティインシデントは、マルウェア駆除やシステム復旧といった対応だけで終わらせず、再発防止のため、事故原因を丁寧に分析することが重要です。技術的に防止できる点があれば追加のセキュリティ対策を実施したり、運用に問題があればルールの周知徹底やルール改善を実施したりすることまで行い、セキュリティインシデントを契機にPDCAサイクルを回すようにしましょう。

セキュリティインシデントの原因分析には、ログが役立ちます。次のような各種ログを取得・保存しておくことが重要です。

テレワークは自宅以外にも、サテライトオフィスやカフェなどの場で実施することが考えられ、このような多数の人々が出入りする場所でテレワークを実施する場合は、のぞき見などにより情報漏えいが起きないよう注意が必要です。また、そもそも外出先で業務や自社に関する情報を話さないようにするといった、第三者の関心をひかないよう注意を払いながら業務を実施することが重要です。

テレワークを自宅で実施する場合でも、離席中に子どもが意図せず操作したり、家族が撮影した室内写真に情報が写り込んだりすることにも注意を払わなければいけません。

オンライン会議では、機密性のある情報を扱う場合、自分の声、相手の声ともに、周囲の第三者に漏れ聞こえないように注意しましょう。オフィス内であっても、同じ場所で複数人が別のオンライン会議を実施している場合や、オンライン会議場所の周囲で通常業務を実施している場合は、オンライン会議に音声が入り込み、意図せぬ情報漏えいにつながる可能性があります。

オンライン会議で、画面共有機能を使用する際に、デスクトップなどが意図せず共有されないよう注意するとともに、共有されても問題ないようデスクトップや起動するアプリケーションは整理しておきましょう。また、画面の撮影・録画についても注意しましょう。

セキュリティに関する脅威動向・脆弱性情報は日々変化しているため、定期的に収集し、自組織のセキュリティ対策に反映していくことが重要です。情報の入手先としては、以下のような組織が挙げられます。

業界団体や地域のセキュリティコミュニティに加入することも有効です。コミュニティ内で相互に情報共有を実施することで、より実際に近い最新の脅威動向・脆弱性情報が把握できます。また、セキュリティ担当者同士の人間関係が構築されることで、何かあった場合の相談相手ができることも、コミュニティに所属するメリットとなります。

テレワーク勤務者のセキュリティへの理解と意識向上を図るには、研修などによるセキュリティ教育を定期的に実施することが欠かせません。

テレワーク環境では、テレワーク勤務者が定められたルールを守っているかどうかをシステム・セキュリティ管理者が確認することは容易ではありません。テレワークにおける機密保持と違反時の対応をルール化するとともに、研修などにおいてルール遵守のメリットを理解してもらうようにします。

教育・啓発活動は一過性のものではなく、日々の継続した活動が重要です。例えば、社内向けのポータルサイトのトップページでお知らせしたり、チャットツールやメールで通知したりすることにより、セキュリティ情報を意識させることが効果的です。また、重要な情報とそうでない情報を区分して通知することで、重要な情報が埋もれてしまわないよう注意することも必要です。