テレワークのセキュリティリスクと安全のための対策5つ

自宅や出張先など、オフィス以外の場所で業務ができるテレワークは政府が掲げる働き方改革の一環として推進されてきましたが、2020年2月頃から影響が深刻化した新型コロナウイルスの感染防止対策として自宅勤務が推奨されることとなり、テレワークの需要が急激に高まりました。

テレワークとは情報通信技術を活用して時間や場所の制約を受けず働く勤労形態の一種で、オフィスに行くことなく業務や会議をすることになるため、通勤時間や移動にかかるコストが削減できることに加えて、ライフスタイルに合わせた働き方ができるといったメリットも期待できます。

しかし、テレワークによる勤務は社内のシステム運用部門などの保護下にあるネットワークに直接接続することができないため、注意しなければ情報漏洩などのリスクが高まる側面も併せ持っています。

そこで、マルウェアや不正アクセスなどの心配をすることなく業務に専念するためのポイントについて解説します。

1.知っておくべきテレワークのセキュリティリスク

テレワークでは、不用意な行動が思いがけないセキュリティリスクにつながる可能性があります。
具体的にどういったセキュリティリスクがあるのか解説しますので、安全性を高めるためにもしっかり理解しておきましょう。

1-1.家庭内ネットワーク利用による情報漏洩

テレワークと言っても外出自粛が求められる場合は在宅勤務のケースが大半だと思われます。その場合、自宅の環境を利用してインターネットに接続することはもちろん、自宅のネットワークを介して社内ネットワークにつなぐ必要がある場合もあるでしょう。

その時に自宅のルーターやパソコンなど周辺機器のセキュリティが万全でないと、自宅のネットワークを介して社内ネットワークにマルウェアが広がったり、それによる重要な情報の漏洩や改ざんといった事態が懸念されます。

また、個人所有のパソコンでは個人利用のクラウドサービスやフリーソフトがインストールされているケースがあり、それらの間違った使用によって気付かないうちに社内の機密情報をネット上に共有してしまうというリスクも考えられます。

1-2.マルウェア感染のリスク

企業貸出のパソコンを利用する場合はセキュリティパッチが適用され、かつセキュリティソフトが導入されていることがほとんどであるため比較的安全なレベルであるといえますが、個人所有のパソコンの利用で対策が十分に施されていないとウイルスやトロイの木馬などのマルウェア感染によって情報漏洩などの被害に遭うリスクが高まります。

1-3.紛失や盗難被害

出張先のホテルやカフェなどで仕事をするためにノートパソコンやタブレット端末などを持ち歩くこともあるでしょう。こういった場合に注意したいのは、紛失や盗難といった物理的な被害です。これらの被害に遭わないように細心の注意を払うことが基本ですが、万一の場合に備えて二要素認証やBitLockerなどによるハードディスクの暗号化、保存先のファイルは企業の共有フォルダのみを利用するなどの対策を徹底することが重要です。

【参考】情報漏洩を防ぐBitLockerの設定方法と、回復キーの管理について

企業が貸し出している端末を利用するのであれば先に挙げた対策を施されていることが大半ですが、個人所有の端末を利用するのであれば、紛失や盗難に向けた対策を面倒臭がらずに行うことを推奨します。

ただし暗号化するためにフリーソフトを利用したい場合は、必ず勤務先の許可を得るようにし、勤務先が定めるガイドラインに従って行動するようにしましょう。

1-4.公衆Wi-Fiの利用による情報漏洩

社外で業務をするテレワークでは、ホテルやカフェなどの公衆Wi-Fiを使うことも多々ありますが、公衆Wi-Fiは第三者に通信内容を傍受されることによって情報漏洩につながるリスクがあります。

そのため、公衆Wi-Fiを利用する場合は以下に掲載するリンクを参考にしていただき、安全に利用するために役立てていただくことを推奨します。

【参考】公衆無線LAN(無料Wi-Fi)のセキュリティ基礎知識5原則

また、勤務先から貸し出されたモバイルルーターがあれば、それを使うようにしましょう。

さらに、直接パソコンやタブレット端末などの画面をのぞき見されることで情報漏洩する可能性もあります。このことに関してはのぞき見防止用の画面フィルターを利用するか、離席する際には必ず画面を閉じておくなど、物理的な対策が必要です。

2.安全なテレワークのための対策5つ

テレワークのセキュリティリスクをご理解いただけたところで、安全なテレワークのための対策について解説します。

2-1.勤務先が定めるガイドラインに従うことが大原則

在宅勤務などオフィス外でのテレワーク業務はオフィスでの業務と比較すると、情報漏洩や不正アクセスなどに晒されるリスクが格段に増すため、普段よりもセキュリティに注意を払う必要があります。

このことから、社外秘情報や個人情報など重要なデータを守るためにも、勤務先が定めるテレワークのガイドラインに従うことが大原則となります。

また、勤務先から貸与されたノートパソコンやタブレット端末などはデータ暗号化やウイルス対策などのセキュリティが施されていることが多いため、無許可で個人所有のパソコンなどを利用することは避け、より安全に在宅勤務ができるように心掛けましょう。

2-2.私物端末にもセキュリティソフトを導入する

私物端末の利用が許可されている場合は、必ずセキュリティソフトをインストールかつ最新の状態を保ち、マルウェア対策をするようにしましょう。

これによってウイルス感染や不正サイトへのアクセス、不正なアプリのインストールなどのリスクを抑えることが可能になります。

2-3.OSやソフトを更新する

OSやソフトの脆弱性を攻撃するマルウェアに感染しないためにも、更新プログラムが提供された場合は可能な限り更新するようにしましょう。

ただし、場合によっては企業が貸与している端末の更新プログラム適用のタイミングが優先される場合もあるので、基本的にはガイドラインに従うようにしましょう。

2-4.VPNを利用して通信内容を保護する

企業によっては、VPN(Virtual Private Network : 仮想専用回線)で社内ネットワークに接続できる環境が整っている場合があります。

VPNを利用することにより、通常オフィス内でしか利用できないアクセスできない社内ページや各種ツールにアクセスすることができるようになるため、テレワークの効率向上が期待できます。

また、「1-4. 公衆Wi-Fiの利用による情報漏洩」にあるような公衆Wi-Fiに接続しなければならない場合であっても、VPNで仮想的に専用回線を作り暗号化することができるので、第三者による盗み見を防ぐことができます。

しかし、VPNで社内ネットワークに接続する端末がマルウェアに感染していた場合、そこから社内システム全体にマルウェアが広がる危険性があります。したがって、一般的に企業はVPNで社内システムに接続できる端末に制限をかけるか、厳しい条件を課しています。

自宅や外出先から社内ネットワークにアクセスする場合は、勤務先のガイドラインで定められた方法でアクセスするようにしましょう。

【参考】VPNとは？その基本と無料Wi-Fiを安全に利用する方法

2-5.家庭内ネットワークの安全性を確保する

ホームルーターは家庭でインターネットを利用するために欠かせませんが、セキュリティが十分ではない状態で悪意のある第三者から攻撃を受けてしまうと、DNS設定の不正な改ざんにより適切なサイトにアクセスできず、不正サイトに誘導されるなどの被害が発生する可能性があります。

このようなホームルーターを狙ったサイバー攻撃から家庭内ネットワークを守るために、ホームルーターに接続するパソコンやスマートフォン、タブレット端末など各機種のホームルーター管理画面に入るためのIDとパスワードが初期設定の場合は、第三者から推測されにくいものに変更しましょう。

10年程度前のルーターの場合、初期パスワードが「password」に設定されているケースもありますので、古いルーターを使用していてルーターの管理画面のパスワードを気にしたことがないという方は一度確認すると良いでしょう。

また、ホームルーターの製造元から更新プログラムが提供された時は、すぐに適用することが重要です。自動更新がある場合は有効にしておくことを推奨します。

もし利用しているホームルーターが古い型番で更新プログラムが提供されていない場合は、セキュリティレベル向上のためにも買い換えた方が安全です。

3.テレワークの安全性を高めるための基本行動

「2. 安全なテレワークのための対策5つ」と重複する部分もありますが、それに加えて、以下に解説する基本行動を採り入れることで、テレワークの安全性をさらに高めることが可能になります。

3-1.不要なソフトウェアは使用しない

仮に便利なフリーソフトがあったとしても、自己判断でネットからダウンロードして使用するのは推奨しません。

名作と言われる素晴らしいフリーソフトが存在するのも事実ではありますが、フリーソフトの中にはスパイウェアとしての側面を持つもの、もともと情報を盗むために便利なソフトに偽装して作られたトロイの木馬などがあるのもまた事実です。

不要なソフトウェアのインストールはマルウェアの感染がゼロではない上に、この行為がガイドラインに禁止事項として指定されていた場合は、ペナルティを受けてしまう可能性があります。

余談ですが、弊社では従業員はPCに自分の権限でアプリなどをインストールする事が出来ません。業務に必要なものは原則として全てシステム部門が準備していますが、個別業務で必要なものは申請後、権限が付与されてからインストール可能となっています。

3-2.業務に必要ないWebサイトを閲覧しない

勤務先貸出のパソコンや私物のパソコンに関係なく、特に社外秘の情報を持っている場合は情報漏洩のリスクをできる限り軽減するために、テレワーク業務中に必要ないWebサイトは閲覧しないようにしましょう。

Webサイトを見るだけであれば問題ないと思われる方も多いかもしれません。しかし、Webサイトを閲覧しただけでマルウェアに感染するドライブバイダウンロードという脅威が存在するのも事実です。

有名なサイトであっても例外ではありません。実際に2014年に誰もが知る大手サイトもこの被害に遭い、脆弱性を抱えるPCでアクセスした人の多くがマルウェアに感染しています。

一般的に業務中には業務に必要ないサイトにアクセスするべきではありませんが、テレワーク環境であればなおさらアクセスするべきではありません。

3-3.公衆Wi-Fi利用時はVPNを利用する

公衆Wi-Fiは不特定多数の人がアクセスするために、第三者に通信内容が傍受されるリスクがオフィスで業務するよりも格段に高い傾向にあります。

したがって、出張や外出先での業務のためにホテルやカフェなどの公衆Wi-Fiを利用する必要がある場合は、Wi-Fiでやりとりするデータの傍受から通信情報を守るVPNの利用を強く推奨します。

【参考】VPNとは？その基本と無料Wi-Fiを安全に利用する方法

3-4.在宅勤務における基本方針を採り入れてセキュリティ向上をする

テレワークは以前から働き方改革の一環として推進されていたこともあり、新型コロナウイルスによる影響が発生する前から在宅勤務における基本方針が定められています。

先に述べた対策や基本行動とあわせて在宅勤務に採り入れることで、より安心安全にテレワークを利用できるようになります。

3-4-1.勤務先からの連絡を見逃さない

企業はサイバー攻撃への対策や新型コロナウイルスの感染拡大防止など、在宅勤務を安全に行うための指針を常に変更していることが一般的です。

そのため、勤務先からのEメールにはテレワークによる業務範囲の変更のお知らせや、社内イントラネットに新型コロナウイルス関連情報が掲載されるなど、在宅勤務に必要な情報が公開されているはずなので、勤務先からの連絡を見逃さないようにしておくことが重要です。

3-4-2.勤務先が提供している機器を利用する

勤務先が提供しているパソコンや携帯機器などはVPNや二要素認証など、安全に在宅勤務を行えるようにセキュリティ強化を施されていることが大半です。

これらのセキュリティ強化は個人で行うには手間やお金がかかるものであり、私物の端末で同様の強化を十分に行うことは効率的ではありません。

そのため、勤務先がテレワークに必要な機器を貸与してくれた場合は、原則として勤務先が提供する機器を利用するようにしましょう。

3-4-3.許可されていないツールをインストールしない

「3-2. 不必要なソフトウェアは使用しない」の繰り返しにもなりますが、業務に便利だからといって、勤務先が指定していないツールやアプリなどを無許可で導入することは推奨しません。

もし、脆弱性のあるアプリをインストールしてしまった場合、セキュリティレべルが低下してしまうリスクがあるからです。そのせいで、デバイスに保存されている社外秘の情報や個人情報が漏洩してしまう危険に晒されてしまう上に、リスクが顕在化した場合の責任を負わなければいけない可能性もあります。

3-4-4.最新のアップデートとパッチを適用しておく

パソコンやタブレット、携帯機器などの最新のアップデートは勤務先のガイドラインに従う必要がありますが、基本的にはすぐに適用しておく方が安全です。

自動更新があれば、その設定を有効にしておくと良いでしょう。

3-4-5.VPNを有効にしておく

家庭内ネットワークや公衆Wi-Fiと社内ネットワークを安全につなぐために重要な役割を果たすVPNは、使用することによって暗号化された専用回線を仮想的に設けます。

これによって、暗号化されていないデータの傍受や情報の漏えいの危険性を減らすことができます。

社内ネットワークに接続するためにVPNが提供されている場合は必ず有効にするようにしましょう。

3-4-6.在宅勤務に適した働き方を意識する

在宅勤務は安全性を確保すると同時に快適に業務を行うために、オフィスでの勤務とは違う働き方をする工夫が必要になります。

例えば、チャットなどを利用して同僚と挨拶をするようにすれば、一人で自宅にいる孤独感や集中力の欠如を和らげやすくなり、在宅勤務もやりやすくなると考えられます。

オフィスに行く必要がないテレワークだからこそ、自分が働きやすいと思う方法を意識してみてください。

3-5.テレワークに普及に伴うフィッシング詐欺に要注意

テレワークそのものは以前からありましたが、新型コロナウイルスの感染拡大によって一気に広がり、テレワークで働く人数が大きく増加する結果となりました。

それに伴い、以下に挙げるような偽広告と新型コロナウイルス騒動を利用したフィッシング詐欺が発生しています。

出典：JC3日本サイバー犯罪対策センター

例に挙げたように新型コロナウイルス騒動を利用したフィッシング詐欺は、正規の企業が新型コロナウイルス対策をお知らせしているように見せかけて添付のリンクをクリックさせ、マルウェアの不正インストールなどを行っている悪質な詐欺行為です。

また、悪質なショッピングサイトに誘導され、代金を支払ってもマスクなどの商品が発送されないといったケースや、会員登録時に入力した個人情報やクレジットカード情報などを抜き取られるケースもあります。
以上のように、フィッシング詐欺の添付リンクをクリックしてしまうとサイバー犯罪の被害につながるので、決して触らないようにしましょう。

もしフィッシング詐欺が疑われるメールが届いた時や判断に迷った時は、以下に掲載している「これで騙されない！今すぐできるフィッシング詐欺対策」を参考にして確認してみてください。

【参考】これで騙されない！今すぐできるフィッシング詐欺対策

また、もし怪しいメールが届いたら、その情報も勤務先に報告するようにしておくと社内全体でのセキュリティ効果を高めることができます。

4.まとめ

オフィス勤務に慣れている方にとって、テレワークによる自宅勤務は戸惑うとともにセキュリティについて不安に感じるかもしれません。

しかし、勤務先が定めるガイドラインを厳守するとともに本記事で解説した対策も実践していただくことで、安全かつ快適な在宅勤務が可能になります。

今後テレワークの普及がさらに進み、働き方の多様性が増していく可能性を考慮して、早い段階でテレワークにおけるセキュリティを意識し、安心安全な在宅勤務が実現できる体制を会社任せ・他人任せにせず、それぞれ一人一人が考え、整えておくことが大切です。

※記事内容の利用実施は、ご自身の責任のもとご判断いただくようお願い致します。