働き方改革に取り組む企業が増えるとともに、テレワークを積極的に導入する企業も増加しています。テレワークは企業と社員双方にメリットのある働き方として高く評価される一方で、セキュリティリスクの懸念があることをご存じでしょうか。本記事では、テレワークにおけるセキュリティリスクや、具体的な対策について解説します。
テレワークの勤務形態は3種類
テレワークは、大きく分けて3種類あります。
- 自宅で会社と同様に働く「在宅勤務」
- カフェやファミレス、電車の中など、場所を問わずに働く「モバイルワーク」
- 会社以外のオフィスを借りて利用する「サテライトオフィス」
いずれの場合も、会社で利用しているパソコンやタブレットを持ち出し、会社以外の場所で業務を行います。会社のネットワークに接続し、社内アプリを利用して仕事を進めることがほとんどでしょう。
テレワークの種類に問わず「会社の外で仕事をする」ということに変わりはありません。
テレワークを導入する場合、会社の中だけの業務では発生しえないセキュリティリスクがある、ということをまずは押さえておきましょう。
テレワークに潜むセキュリティリスク
テレワークが原因で、顧客情報や機密情報の漏えいなどの事態を回避するためには、テレワークにどのようなセキュリティリスクが潜んでいるかを理解しなくてはなりません。考えられるのは、ネットワーク上のリスクと人の手によるリスクです。
ネットワーク上のリスク
業種によりますが、現代ビジネスにおいてネットワークを利用しないケースは稀です。特に、テレワークではネットワーク通信により情報のやり取りを行うことが多いため、さまざまなリスクに晒されることが考えられます。
ウイルス感染
よく知られるコンピュータウイルスでは、マルウェアやワーム、トロイの木馬などが挙げられます。これらのウイルスに感染してしまうと、重要なデータの消失や改ざん、パソコンの乗っ取りなどさまざまな被害に遭うリスクがあります。テレワークでは、個人の端末を業務に利用するケースがほとんどです。適切なウイルス対策をしていない場合は感染してしまう可能性があります。
さらに恐ろしいのは、感染した個人の端末を会社に持ち込み、感染が拡大してしまうケースです。会社の重要なシステムに侵入され、大きな被害をもたらす恐れもあります。ウイルスには潜伏機能を有するものもあるため、気付かずにこうした事態を引き起こすことも考えられるのです。
公衆Wi-Fiや家庭内ネットワークの悪用
ホテルやカフェ、コンビニなど、現在ではさまざまな場所で公衆Wi-Fiを利用できます。テレワークでも公衆Wi-Fiを利用するケースは少なくありませんが、さまざまなリスクが潜んでいることを理解しなくてはいけません。
公衆Wi-Fiは、通信が暗号化されていないケースもあり、情報の漏えいや破壊、改ざんなどのリスクがあります。パソコンやタブレット端末の機種には、接続しようとしているWi-Fiが暗号化されているかどうか確認できるものもあるため、必ずチェックしましょう。
また、家庭内ネットワークの利用でも注意が必要です。ネットワークセキュリティが万全でないと、ウイルスへの感染や進入を許してしまう恐れがあります。そこから社内ネットワークへ侵入されることもあるため、注意しましょう。
人の手によるリスク
ネットワークリスク以外では、人の手による物理的なリスクが考えられます。パソコンや端末を盗まれる、のぞき見されて情報が漏えいするなどの他、社員へ必要以上に権限を付与することで内部不正が発生する恐れもあります。
盗難・紛失
オフィス以外の場所で業務を行うテレワークでは、盗難や紛失のリスクがつきまといます。例えば、カフェにパソコンや端末を置き忘れてしまい紛失する、目を離したすきに盗まれる、といった被害が考えられます。
機密情報の入ったパソコンや重要な書類を紛失すると、悪用されてしまうかもしれません。顧客情報が詐欺グループに渡る、取引先やクライアントが詐欺、恐喝などの被害に遭うといったリスクも考えられます。
端末や文書に留まらず、USBやCDなどのメディア媒体にも注意が必要です。持ち運びしやすいだけに紛失しやすく、なくしてもすぐに気付けません。
のぞき見・盗聴
オフィスでの業務なら、周りにいるのは社内の人間がほとんどです。しかし、サテライトオフィスでの勤務やモバイルワークの場合、周りには不特定多数の人がいます。他人にパソコンやタブレットの画面を見られてしまい、そこから情報漏えいにつながる恐れがあるため注意が必要です。
また、端末を利用してWeb会議を行う場合には、盗聴に気を付けなくてはなりません。イヤフォンやヘッドフォンをすることで他の参加者の声は外部に漏れませんが、その場にいる人の声は周りの人に聞こえてしまいます。重要な機密情報が絡む会議なら、周りに他人がいるときは控えたほうがよいでしょう。
在宅勤務では、家族に情報が漏えいしてしまうケースがあります。自宅は気が緩みやすく、パソコンや端末をそのまま放置してしまうことも考えられます。そのため、家族に重要な情報を見られてしまい、結果的に情報が多方面へ漏えいしてしまう恐れも考えられるのです。
内部不正
外部の人間ばかりが危険なわけではありません。場合によっては、社員がリスク要因となる可能性があります。例えば、社員に必要以上のアクセス権限を与えているケースでは、自社のシステムへ勝手にアクセスされ、不正を働かれてしまう恐れがあるのです。
オフィス勤務においては、このようなリスクはそこまで高くありません。上司や部下、同僚など周りの目があるからです。しかし、テレワークとなれば周りに誰もおらず、自分を監視する人はいません。このような環境下だからこそ不正が発生しやすくなるのです。
テレワークセキュリティ対策の重要性
テレワークをするにあたって重要なことが「セキュリティ対策」です。
多くの企業では、社内のネットワークに対してファイアウォールやアクセス制限といったセキュリティ対策を施した上で業務を行うため、一定以上のセキュリティが担保されます。
しかし、テレワークは自宅などの社外で仕事をします。つまり、社内のセキュリティ対策が届かない場所でパソコンをインターネットに接続して仕事をすることになります。一般家庭のネットワークは企業向けと異なり、十分なセキュリティ対策がなされていない場合が多く、カフェなどの公衆Wi-Fiではさらにセキュリティリスクが高まります。
そのため、テレワークを推進する場合には、持ち出すパソコンに対して十分なセキュリティ対策を施す必要があると考えましょう。
テレワークとセキュリティ対策の実態
2020年に起きたコロナ禍以降、多くの企業でテレワークの導入が加速しました。
東京都調査のテレワーク実施率によると、2020年の緊急事態宣言時には約6割以上の企業でテレワークが実施されていました。その後、年々割合が現象しているものの、2024年(令和6年)時点でも4割以上の企業でテレワークが導入されています。
しかし、急に始まったコロナ禍ということもあり、充分な準備ができないままテレワークを開始した企業も多いのではないでしょうか。
緊急事態宣言が発令された2020年時点では、多くの企業が「テレワークに関する社内規定・規則・手順の順守状態の確認を実施していない」と答えています。
テレワークの導入率が下がっている背景には、社内のルール整備が整いきっていないことも一因として考えられるでしょう。
参考:企業・組織におけるテレワークのセキュリティ実態調査(IPA)
総務省によるテレワークセキュリティガイドライン
総務省は急激なテレワークの浸透に伴い、企業などがテレワークを実施する際のセキュリティ上の不安を払拭し、安心してテレワークを導入・活用するための指針として「テレワークセキュリティガイドライン」を策定し、公開しています。
本ガイドラインでは、企業のセキュリティに関する基本的な知識やクラウドサービスの導入に関する事項、具体的なテレワーク導入の方式について詳しく解説しています。
テレワークを導入する場合において気を付けるべきリスクや対策方法についても述べられているので、テレワークの導入に不安のある企業や、テレワーク導入予定の企業はぜひご参考にしてみてください。
テレワークセキュリティガイドライン(総務省)
テレワークの安全性を高める対策
テレワークを導入し、業務効率の向上を実現しても、安全性が低ければいずれ情報漏えいや内部不正などが生じることもあります。安全性を高めるには、ハードとソフト双方からの対策を進めなくてはなりません。具体的な対策を見ていきましょう。
ハード面の対策
全社員がテレワークで生じるセキュリティリスクを理解できていても、パソコンやスマートフォン、ネットワークといったハード面の対策が疎かでは意味がありません。データ保護やアクセス権限の強化、端末のセキュリティレベルアップなど、ハード面を強固にする対策を進めましょう。
また、パソコンにUSBメモリを挿入できないようにする仕組みも効果的です。情報漏えいを防ぐだけでなく、USBメモリを介したマルウェア感染も防げます。
データの保護
万が一、端末の紛失や盗難に遭ってもデータを取り出せないように、ハードディスクを暗号化しましょう。ハードディスクのデータは、ドライブやフォルダ、ファイル単位で暗号化が可能なため、重要度の高さに応じて対策してください。
また、安全なネットワーク回線を利用することも大切です。暗号化されていない可能性がある、公衆Wi-Fiの利用を禁止するルールを設けましょう。社内の機密情報へアクセスする場合には、VPNやゼロトラストネットワークといったセキュリティ製品を活用し、機密性を確保することも大事です。
万が一、ウイルスに感染した場合にはデータの消失や改ざんが生じる可能性があります。定期的なバックアップをルール化することも忘れないようにしましょう。
アクセス制限や端末の管理強化
まず、必要以上のアクセス権限を付与しないことが重要です。一律でアクセス権限を付与してしまうと、誰でも重要な情報へアクセスできてしまうからです。面倒でも、ファイルやフォルダごとにアクセス権限を設定し、重要な情報には限られた社員だけがアクセスできる状態にしましょう。
社内で利用しているITサービスのログインには、多要素認証を導入するとセキュリティレベルを高められます。指紋認証やパスワード認証など、複数の認証を組み合わせた多要素認証なら、外部の人間が勝手にログインするリスクを軽減できます。
また、個人のIDと業務に使用している端末を紐づけて管理すれば、誰がどの端末で作業しているのかを正確に把握できます。これなら万が一不正が起きたときも、個人の特定が容易です。
端末のセキュリティレベルをアップ
パソコンやスマホ、タブレット端末など、テレワークで用いる全ての端末でセキュリティレベルを高める必要があります。端末そのもののセキュリティレベルが低いと、容易にウイルス感染してしまうリスクがあるからです。
ウイルス対策ソフトは、Wi-Fiの安全性判定やフィルタリングなど、アンチウイルス以外の機能も備えたものを選びましょう。端末のセキュリティレベルをトータルで底上げできます。インストール後も、新バージョンがリリースされたら必ずバージョンアップすることを忘れないでください。
また、周りの人に端末の画面をのぞかれないよう、のぞき見防止シートを利用するとよいでしょう。上下左右、360度からののぞき見に対応できるタイプなら、カフェや電車の中などあらゆるシーンにおいて安心です。
クラウドサービスの利用
テレワークでは、データをメールで送受信するケースが少なくありません。しかし、メールでは誤送信や外部からの攻撃による情報の漏えいなどのリスクが考えられます。持ち運びに便利なUSBにしても、紛失や盗難の恐れがあります。そのようなリスクを排除するためには、クラウドストレージサービスの利用がおすすめです。
クラウドストレージなら、安全にデータをやり取りでき、社員間で情報共有もできます。セキュリティリスクを軽減し、業務効率の向上も期待できるため、導入を検討してみましょう。
また、近年注目を集めているVDI(Virtual Desktop Infrastructure)の導入もおすすめです。VDIとは、社内やクラウド上に存在するパソコンにリモートでアクセスして利用し、手持ちの端末にデータを一切保存しないサービスです。VDIを利用することで個人の端末に機密情報が保存されないため端末を紛失しても情報漏えいが防げます。また、デスクトップ環境がサーバに集約されることで管理も一元化でき、セキュリティの強化にもつながります。
ソフト面の対策
ハード面だけを強化しても、ソフト面の対策ができていなければリスクを軽減できません。ソフト面の対策で重要なのは、運用ルールの作成と社員へのセキュリティ教育です。
運用 ルールの作成
テレワーク下におけるルールを定めましょう。
どれほど強固なセキュリティ体制を整えていても、社員のセキュリティ意識が低いと意味がありません。年々巧妙化しているサイバー攻撃の手口に対抗するためにも、社員一人ひとりがセキュリティに関する意識を高め、新しい情報を取り入れる必要があります。
一人ひとりへのセキュリティ教育
どれほど強固なセキュリティ体制を整えていても、社員のセキュリティ意識が低いと意味がありません。年々巧妙化しているサイバー攻撃の手口に対抗するためにも、社員一人ひとりがセキュリティに関する意識を高め、新しい情報を取り入れる必要があります。
一方的に押し付けるのではなく、どうしてセキュリティ対策が必要なのか、どのようなメリットがあるのかなどを、丁寧かつ論理的に説明し、尊守する必要性をよく理解してもらうことが大事です。
職場環境面の対策
テレワークで仕事をするには「どこでどのように仕事をするか」という環境面での対策も必要です。テレワークを進める上での環境面の注意点を解説します。
作業スペースの安全性確保
テレワークを導入する場合、自宅やサテライトオフィスなど、所属オフィス以外の場所で業務を実施することになります。
セキュリティ対策を考える場合、性善説で考えてはいけません。例えば、サテライトオフィスでの勤務の場合には、その場所から端末を持ち出される可能性もあります。在宅勤務の場合も、自宅ではなくカフェなどで仕事する、という可能性もあります。
業務端末の利用場所を限定するだけでなく、テレワークを実施する場合には規定外の場所での勤務を禁止したり誓約書を交わして社員に確実に意識付けをしたりして対策を講じましょう。
書類の紛失対策
「紙の書類紛失」は、PCやUSBメモリの紛失よりも深刻なリスクを引き起こします。前述のとおり、パソコンやUSBメモリは暗号化をかけることでデータの漏えいを防止できますが、印刷された紙は暗号化できないため、紛失=漏えいと考える必要があります。
書類の紛失対策として有効的なのは「印刷させないこと」です。特に漏えいさせてはいけない顧客情報や社内の機密情報についてはデジタル化し、ペーパーレスを推進しましょう。
どうしても印刷が必要な場合には持ち出しを禁止するなど、印刷書類を外部に出さないようルールを制定するとよいでしょう。
テレワークのセキュリティ対策に効果的なツール3選
ここからは、テレワークのセキュリティ対策に効果的なツールを3つ紹介します。それぞれの特性や用途に応じて適切なツールを選択してください。
Microsoft 365
Microsoft 365は、ビジネスに不可欠なツールを一元化したクラウドサービスであり、テレワークにおけるセキュリティ対策としても優れた選択肢といえるでしょう。
WordやExcelといったOffice製品はもちろんのこと、Entra ID(旧Azure Active Directory)による認証やSharePointやExchange Onlineによる情報の一元管理といった機能が一括で提供されます。また、ビデオ会議やチャットツールであるTeamsもオプションとして利用することが可能です。
さらに、Microsoft 365には標準で高いセキュリティ機能が備わっており、リアルタイムの脅威検出と対応機能が提供されています。これにより、サイバー攻撃や不正アクセスのリスクを低減し、迅速な対応が可能です。その他、データ損失防止(DLP)機能も備わっており、機密情報が誤って外部に送信されるリスクを最小限に抑えることができます。
Windowsとの強力な統合も魅力であるため、普段からOffice製品を利用するような業種であれば導入する価値があるサービスといえます。
Zoom ミーティング
Zoomミーティングは、リモートワーク環境でのコミュニケーションを円滑にするためのビデオ会議ツールです。特に、Zoomはその使いやすさと安定した接続性で人気を集め、セキュリティ面も充実していることから、コロナ禍で一気に浸透しました。
Zoomの会議はエンドツーエンド暗号化により、会議中のデータが外部に漏れるリスクを最小限に抑えられます。また、会議に参加するメンバーを制限する機能や、ミーティングIDの複雑化、パスワード保護など、セキュリティ強化のオプションが充実しています。これらの機能により、参加者はより安全に重要な会議を実現できます。
HENNGE ONE
HENNGE ONEは、クラウドサービスの安全な利用を支援する統合認証管理ソリューションです。テレワーク環境において複数のクラウドサービスを利用する場合、各サービスへのログインが必要です。
HENNGE ONEは、ID管理を一元化しシングルサインオン(SSO)を実現するサービスであり、1つのアカウントで複数のサービスへログインできるようになります。
また、多要素認証(MFA)による本人確認や、IPアドレスによるアクセス制限により特定の場所からのみ利用可能になる機能を有しています。セキュリティ対策も万全であるため、利便性とセキュリティを両立したテレワークを実現できます。
まとめ
テレワークで考えられるリスクには、ネットワーク上と人の手によるものがあり、どちらも正しく対策をしなければなりません。ハード面とソフト面の双方におけるセキュリティ対策を強化し、リスクが起こりにくい体制を整えることが求められます。
セキュリティのリスクを正しく理解した上でテレワークを導入することで、より柔軟な働き方が実現でき、社員の満足度や生産性の向上が見込めます。
本記事で紹介したセキュリティ対策は、テレワークの有無に関わらず社内のセキュリティ向上に有用です。ぜひ本記事を参考に、セキュリティ対策を進めてはいかがでしょうか。
