情シスマン

企業のICT環境や情シスの課題・お悩みを解決するメディア

  • Facebook
  • X
  • ホームメディアトップ>
  • ITコラム>
  • テレワークのセキュリティ対策7選とは?テレワークによるリスクの解説やおすすめツールの紹介も
column_94

テレワークのセキュリティ対策7選とは?テレワークによるリスクの解説やおすすめツールの紹介も

著者: 情シスマン
thumbnail

コロナ禍以降ぐんと浸透したテレワーク。テレワークの導入は場所や時間にとらわれずに働けるというメリットがあります。
その一方、テレワークの導入にはセキュリティ面で多くのリスクが伴います。そこで今回は、テレワークにおけるセキュリティリスクの具体例と、その対策となるセキュリティツールについて詳しく解説します。

そもそもテレワークとは?

そもそもテレワークとはどのような働き方なのでしょうか。
テレワークのテレ(tele)は「遠く離れている」という意味であり、オフィスから離れた場所で働くことを指す造語です。つまりテレワーク(telework)とは、インターネットなどのICT技術を活用し、時間と場所にとらわれず仕事をすることです。

ちなみに、日本テレワーク協会はテレワークを4つに分類しています。
まずは「在宅勤務」です。在宅勤務は会社に出社せず、自宅で仕事をすることです。
次に「モバイルワーク」です。モバイルワークは電車の中や車の中といった移動中のほか、カフェや図書館などの公共の場で仕事をすることを指します。
「サテライト/コワーキング」はサテライトオフィスやシェアオフィス、コワーキングスペースといったオフィスとは別のワークスペースで仕事をすることです。
最後に「ワーケーション」はワークとバケーションを合わせた言葉です。仕事をしながら同時に休暇も取れるような環境で働くことを指します。観光地、海外、キャンプ場などの自然豊かな場所がワーケーションの勤務地として人気です。これら全てを含めてテレワークと称しているんですね。

テレワークの現状や実施状況

東京都が2022年6月に行った調査(東京都 産業労働局 テレワーク実施率調査結果 2022年6月14日)によると、都内企業(従業員30人以上)のテレワーク実施率は56.7%となっています。
従業員規模別に見ると、従業員300人以上の企業で80.3%、100人以上299人以下の企業で62.4%、30人以上99人以下の企業で48.7%です。

body
従業員規模別実施率(5月)

それでは、テレワークを実施している企業では週にどの程度の日数がテレワークになっているのでしょうか。先述の東京都の調査では、週に3日の人が13.8%、週4日の人が12.6%、週5日の人が21.2%です。都内でテレワークを実施している企業のうち、実施している社員割合は4月が45.6%、5月が45.3%と半数近い割合ですので、都内で企業勤めをしている人の約4分の1以上は週3日以上テレワークで働いていることになります。

body
テレワークの実施回数

また、株式会社清和ビジネスが2022年5月11日~13日で実施した「働き方改革EXPO」の来場者を対象に行った調査(現在のリモートワーク状況に関する調査)でも62.5%の企業がテレワークを導入していると回答しました。(出典:https://note.seiwab.co.jp/n/n0f763883ff7c

ただ、週に1日も出社しない完全テレワークを導入している企業はそのうちのわずかに10%で、そうではない90%の企業はテレワークとオフィスワークを併用するハイブリッドワークの形態を導入しているようです。とはいうものの、多くの企業がテレワークをさらに推進していく方針を示してしています。
たとえば、NTTグループでは、2022年にNTTやNTT東日本、NTT西日本、NTTドコモ、NTTデータといった主要会社において従業員の勤務形態を原則テレワークにすることを発表しています。

テレワークにおけるセキュリティ対策の重要性

テレワークが可能なのは社内の情報やデータをインターネットを介してやり取りできる様になっているからです。
その一方、情報やデータをインターネット上でやり取りすることにはさまざまなリスクがあります。実際、総務省が2020年に行った調査(テレワークセキュリティに関する1次実態調査)でも、テレワークを導入していない企業のうち15.4%が、導入しない理由としてセキュリティ上の不安を挙げています。
また、IPA(情報処理推進機構)が発表している「情報セキュリティ10大脅威 2022」において、組織における情報セキュリティの重大事案として第4位にテレワークを狙ったサイバー攻撃の脅威を挙げています。テレワークを導入する際には、セキュリティ体制をどのように整えるかが重要なポイントだということが分かりますね。

テレワークにおけるセキュリティリスクとは?

それでは実際にテレワークにはどのようなセキュリティリスクがあるのか、具体的に解説します。

端末の紛失、盗難

まず挙げられるのが、テレワークで使用しているノートパソコンやモバイル端末、あるいはデータの入ったUSBを紛失してしまったり、悪意のある第三者に盗まれてしまうことのリスクです。テレワークではそうしたリスクがどうしても高くなります。
企業は端末やUSBの取り扱いについて厳格なルールを設定しておく必要があるでしょう。
また従業員本人も、同じ会社の従業員しかいない環境ではなく、会社関係者ではない人がいる場では、パソコンを開いたまま離席しない、作業中ものぞき見されないようモニターカバーを付けるなど物理的脅威を意識した働き方が必要です。

シャドーITによるセキュリティリスク

シャドーITとは、企業側が管理していない端末やサービスのことです。
テレワークを導入する際、業務に使用する端末やサービスについて企業側は認識していなければなりません。
なぜなら情報漏洩やアカウントの乗っ取り、企業内LANへの外部からの侵入といったセキュリティリスクがあるからです。
シャドーITが使われてしまう主な原因として挙げられるのは、企業側が用意した環境に不便があることです。そのため、企業側は業務で利用する端末やサービスが使いやすく効率的であるよう努めることが大切です。

通信環境によるセキュリティリスク

情報漏洩やアカウントの乗っ取りのようなサイバー攻撃はインターネットを通じて行われます。また、コンピューターウィルスなどマルウェアも主にインターネット回線から感染します。
テレワークを行う際に注意するべきポイントは、Wi-Fiルータのセキュリティ対策です。公衆Wi-Fiは適切なセキュリティ対策が取られていないことが多いので、テレワークでは使用するべきではありません。また、自宅でテレワークを行う際も、市販ルータで初期設定されているSSIDや暗号キーをそのまま使うことも危険です。

Wi-Fiのセキュリティ対策は大丈夫?今すぐできる2つの対策と無線LAN利用の心得
Wi-Fiのセキュリティ対策は大丈夫?今すぐできる2つの対策と無線LAN利用の心得

フィッシング、標的型メール

テレワークを行う際、必要不可欠なのがメールです。このメールを媒介としたサイバー攻撃に対するセキュリティ対策も重要です。とりわけ、社員のメールアドレスを乗っ取ってそこからフィッシングメールを送信するラテラルフィッシングには注意が必要です。現在大流行中のEmotetがまさにこれですね。

Emotet(エモテット)とは?被害事例や脅威、感染対策についてICT Solution!
Emotet(エモテット)とは?被害事例や脅威、感染対策についてICT Solution!

リモートデスクトップへの不正アクセス

会社に置かれたパソコン等を別のパソコンから遠隔操作することをリモートデスクトップと呼びます。
この遠隔操作はネットワークを通じて行うため、不正アクセスの標的になる危険性が高いです。リモートデスクトップの脆弱性を狙ったマルウェアやランサムウェアも多く存在します。

内部不正リスク

テレワークでは人も端末も他人の目に触れない場所にあるため、どうしても内部不正のリスクが高まります。
また、内部不正ではなくても、見えないところで何らかのミスが起こるかもしれません。そうしたリスクを抑えるためには、テレワークをしている社員の端末やネットワーク接続、クラウド利用を可視化して制御する必要があります。

テレワークにおけるセキュリティインシデントによる被害事例

セキュリティインシデントはセキュリティ上の脅威になる事象のことです。テレワークの増加によってセキュリティインシデントもまた増加しています。

たとえば、2020年、厚生労働省はコロナワクチンナビをかたるフィッシング詐欺に関する注意勧告を行いました。デジタルアーツ株式会社のプレスリリース(セキュリティーレポート 2020/11/12)によると、2020年上半期には新型コロナに関連するサイバー犯罪は全国で608件あり、被害総額は5億1200万円にものぼっています。

また、同じく2020年には三菱重工グループの社員が在宅勤務時にテレワーク用のパソコンで社外ネットワークに接続しSNSを利用、その結果社用パソコンがマルウェア感染したというニュースが報じられました。この従業員が感染に気付かずに社内ネットワークに接続したことで感染が拡大してしまったのです。

最近では尼崎市市民の個人情報46万517人分が入ったUSBメモリを、市の協力会社の委託先社員が許可なく持ち出しをし、さらに紛失をしたことで大きな問題になりました。
データの持ち出しルールの徹底や、データの取り扱い・処理ルールの徹底ができていないことが問題視されています。

テレワークにおける最低限実施したいセキュリティ対策7選とおすすめツール

情シス担当がいない企業でもテレワークを実施している企業で最低限実施したいセキュリティ対策を知っておくことで、テレワーク環境を狙う脅威に備えることができます。
総務省でも「中小企業等担当者向けテレワークセキュリティの手引き(チェックリスト)第3版」でも解説しているので、以下内容と合わせて必ずチェックしておきましょう。

セキュリティガイドラインの策定・見直し

企業としてのセキュリティに対する考え方やルールを設定しましょう。
脅威やリスクに対して、セキュリティサービスの導入を検討したり、セキュリティを運用していくための体制やルールを構築することが重要です。
何から考えたらいいかわからない…という方は、総務省の「テレワークセキュリティガイドライン(第5版)」を参照するとよいでしょう。

企業で管理する「情報資産(紙文書、電子データ、情報システムなど)」について把握し、それに対する脅威・リスクを明確化しましょう。
その脅威・リスクに対して「ルール」「人」「技術」それぞれがバランスよく必要なセキュリティレベルを担保できるようにするのがポイントです。

body
  • ルール…業務を遂行するにあたって、都度セキュリティ的に安全かを確認しなくて済むように、事前に「このやり方なら安全」というルールを作ることで、セキュリティと業務効率を確保する。
  • 人…設定したルールを従業員が遵守する必要がある。人への教育や周知徹底をおこなうことも重要
  • 技術…ルールや人では解決できない問題に対して技術的な対応(セキュリティサービスの活用など)を行う。

セキュリティソフトの導入

テレワーク環境においては、従来の働き方のように、社内と社外を明確に区別したセキュリティ対策がとれません。
従業員がそれぞれの通信環境やデバイスで業務を行う形になるため、エンドポイントセキュリティに対応したセキュリティツールやデバイス管理に活用できるMDM(モバイルデバイスマネージャー)などの導入が有効的です。

また、テレワーク環境では、クラウドサービスの利用が増えます。クラウドサービスの適切な利用や管理を行う上でもCASBの導入も検討したいところです。

おすすめのツール

パスワード管理の徹底

セキュリティガイドラインの策定で実施する内容になりますが、安全性の高いパスワードの策定はセキュリティの基礎中の基礎です。
生年月日や同じ数字の連続使用、一般的に使われやすいパスワードの使用は避け、同じパスワードを使いまわしにするのもやめましょう。

日本人のパスワードランキング2021

順位

日本

1

123456

2

password

3

000000

4

1qaz2wsx

5

12345678

6

123456789

7

111111

8

sakura

9

dropbox

10

12345

(※株式会社ソリトンシステムズ ⽇本⼈のパスワードランキング
2021〜2021年に発⾒された209の情報漏洩事件から
⽇本⼈が利⽤するパスワードを分析 より抜粋)

尼崎市のUSB紛失事件でも話題にはなりましたが、パスワードの桁数や構成などを外部に漏らすのも特定を容易にしてしまう要因になります。

パスワード設定のルール策定だけでなく、そのルールを外部に漏えいさせないための教育や管理も実施しましょう。従業員の視点からすると、様々なアプリの全てを異なる厳格なパスワードで設定するというのは少々ハードルが高く感じることでしょう。忘れないようにと簡単なパスワードや、パスワードの使いまわしを誘引してしまいます。複数のクラウドサービスへシングルサインオンが可能なセキュリティサービスの導入も有効です。

おすすめのツール

複数クラウドサービスへのシングルサインオンが可能なHENNGE ONE

多要素認証の導入

IDやメール、パスワードのほかに、SMSや生体認証(指紋認証など)を利用した認証を導入することも重要です。
多要素認証が設定できるサービスも多いため、自社で導入しているサービスの設定を再度見直しておきましょう。

OSやソフトウェアを常に最新版にしておく

端末のOSやソフトウェアが古いままだと、脆弱性を狙った攻撃により、セキュリティインシデントにつながります。
必ず利用している端末のOSやソフトウェアのOSやバージョンは最新にしておきましょう。

サービスによってソフトウェアのアップデート状況や端末のOS管理を行うのも有効です。

安全な通信環境の整備

自宅での作業であれば家庭の通信環境が重要です。自宅のWi-Fiルータの設定が初期値のままで、SSIDから利用端末がわかる状態…なんてこともよく起こります。
最低限、SSIDやパスワードの変更(場合によってはSSIDのステルス設定)、業務で利用する通信と家庭で利用する業務外の通信をわけるためのゲストポート機能の設定、ルータのファームウェアアップデートは実施しましょう。

Wi-Fiのセキュリティ対策は大丈夫?今すぐできる2つの対策と無線LAN利用の心得
Wi-Fiのセキュリティ対策は大丈夫?今すぐできる2つの対策と無線LAN利用の心得

また、カフェなどの公衆Wi-Fiについては、セキュリティ対策が十分とは言えないため利用を避ける、もしくはVPNサービスなどを利用して通信の安全性を高めることも検討しましょう。
貸与スマホのモバイル通信をテザリング利用するのも一つの手です。

おすすめのツール

  • ポケットWi-Fiサービスはこちらから色んな選択肢から選べます
  • リモートアクセスに対応するVPNアプライアンスはビジネスVPN

物理的なセキュリティ対策

テレワークでは働く場所が多岐に渡るため、物理的な環境も変わります。
例えばカフェや電車で仕事をする場合、横に座った人や後ろの人から画面を除かれたりする危険性もありますし、Web会議などをする場合は、会話などが聞かれてしまうことになります。
画面にのぞき見防止シートを貼ったり、密室空間を提供してくれるコワーキングスペースを利用するなど、物理的な対策も重要です。
たとえ自宅であっても、窓が開いていて…といったケースもあるので意識しておきましょう。
また、社外に端末を持ち出して作業するため、盗難や紛失といったリスクも高まります。
万が一盗難された時に備えて、遠隔で端末のロック(リモートロック)ができるMDMを導入しておくこともおすすめです。

おすすめのツール

(※セキュアエンドポイントサービス(Lanscope)は問合せフォームより資料請求してください)

セキュリティツールを選ぶ時のポイント

最後に、セキュリティツールを選ぶ際に注意するべきポイントについて解説しましょう。

仕様やプランをチェック

まず重要なのが、セキュリティツールの仕様やプラン内容です。ツールにはWindowsにしか対応していないものもあれば、MacやAndroid OS、iOSに対応しているものもあります。自社の用意した端末にツールが対応していなければ意味がありません。
また、セキュリティツールのライセンスにはインストールできる台数が限られている場合もあります。何台までインストールできるのか、あらかじめチェックしておきましょう。

導入後の利便性・快適性

せっかくセキュリティツールをインストールしても、そのことによって端末が重くなってしまうと業務に支障がでてしまいます。セキュリティを強化すればするほど端末に負担がかかることを忘れてはなりません。端末のスペックや利用するネットワークのことも考えた上で最適なものを選びましょう。

summaryまとめ

コロナ禍をきっかけにテレワークの導入を検討している企業は多いでしょう。テレワークを導入する際に重要なことは、あらかじめセキュリティ対策をとっておくことです。
とはいうものの、できるセキュリティ対策には限りがあります。そこで、まずは自社にはどのようなセキュリティインシデントが起こる可能性があるのかをしっかり検証することが大切です。そのうえで、自社の業務や規模に合ったセキュリティツールを選びましょう。

電話
このページのトップへ
企業のICT環境、情報システムでお悩みの方へ法人向けインターネット回線やクラウドサービス、データセンターなど、ICTサービスを総合的に扱うUSEN GATE 02 にご相談ください!
freedial
0120-681-6170120-681-617
受付時間 10:00~18:00(土日・祝日除く)
バトルコンテンツバトルコンテンツITコラムITコラムICT用語集ICT用語集キャラクターキャラクターストーリーストーリーお役立ち資料お役立ち資料セミナーセミナー
FacebookX
Copyright (C) USEN ICT Solutions All Rights Reserved.