情報漏洩、ウイルス感染…テレワークは危険だらけ！知っておくべきセキュリティ対策

セキュリティ対策について解説する前に、テレワークの概念についておさらいしましょう。テレワークとは、「tel＝離れた場所」と「work＝働く」をあわせた造語で、ICT（情報通信技術）を活用した、時間や場所にとらわれない働き方のこと。

・自宅を就業場所とする「在宅勤務」

・場所を問わずに働く「モバイルワーク」

・テレワーク専用のスペースを利用する「サテライトオフィス」

などの勤務形態が浸透しつつあります。

ただし、テレワーク環境ではPCのマルウェア（ウイルス・ワームなど）感染、端末の紛失・盗難、重要情報の盗聴、不正アクセスといった脅威にさらされやすくなります。テレワーク時のセキュリティ対策を怠れば、機密が漏洩したり、消失したりといった深刻な事故につながりかねません。

では、どのように対策すれば良いのでしょうか？

総務省は、「テレワークセキュリティガイドライン第4版」の中で、テレワークには6つの方式があるとしています。これら6つの方式のうち、どれを採用するかによって、対策できるセキュリティレベルが変わります。テレワークを導入する際は、下記の項目を検討する必要があります。

・どんな情報を守りたいのか

・どのくらいの導入コストをかけられるか

・セキュリティリスクをどこまで取れるか

続いて、テレワークの6つの方式とセキュリティレベルを具体的に見てみましょう。

総務省が「テレワークセキュリティガイドライン第4版」の中で紹介しているテレワークの6つの方式は次の通りです。

＜出典：テレワークセキュリティガイドライン第4版（平成30年4月総務省）＞

1、リモートデスクトップ方式

オフィスにある端末のデスクトップ環境を、テレワーク端末から操作したり、閲覧したりする方式。データがオフィス側に保存され、テレワーク端末に残らない点がセキュリティ面で有効。中小企業で採用するところが多い。

2、仮想デスクトップ方式

オフィスのサーバーにある仮想デスクトップ基盤（VDI）にテレワーク端末からログインする方式。上記のリモートデスクトップ方式と同様にデータがオフィス側に保存され、テレワーク端末に残らない点がセキュリティ面で有効。また、システム管理者がセキュリティ対策をまとめて実施できるメリットも。

6つの方式の中では最も堅固なセキュリティ環境を維持できるが、サーバーの利用料などが高額になりがちで、最もコストがかかる方式でもある。大企業で採用するところが多い。

3、クラウド型アプリ方式

クラウド上のアプリケーションにアクセスして作業を行う方式。ここで作成したデータはクラウド上とローカル環境のどちらにも保存できるため、セキュリティ面を考慮するならクラウド上に置く社内ルールを作る必要がある。ベンチャー企業で採用するところが多い。

自社でサーバーを設置する場合に比べて安価だが、外部からの攻撃を受けやすい一面も。パスワードや暗号鍵などは推測されにくいものを使い、外部に漏洩することのないように厳格に管理したい。多要素認証や電子証明書などを合わせて使うと安心。

4、セキュアブラウザ方式
上記のクラウド型アプリ方式の安全性をさらに高めた方式。セキュアブラウザを使うことで、不正アクセスや情報漏えいを防止したり、ファイルのダウンロードや印刷などの機能を制限したり、テレワーク端末にデータを保存させないようにしたりできる点がセキュリティ面で有効。ベンチャー企業で採用するところが多い。

5、アプリケーションラッピング方式
テレワーク端末内に独立した仮想環境を設け、その中でテレワーク用のアプリを動作させる方式。仮想環境内のアプリ（文書作成、インターネットブラウザなど）はローカル環境にアクセスできず、テレワーク端末にデータを残さない点がセキュリティ面で有効。中小企業の多くが採用している。

6、会社PCの持ち帰り方式
オフィスで使っている端末を、テレワーク先に持ち出して作業する方式。6つの方式のうち、最もコストや手間がかからないが、テレワーク端末にデータを保存するため、情報漏洩のリスクも大きい。利用時は社内ルールを定め、厳格な情報セキュリティ対策を行いたい。コロナ禍による一時的な措置として採用している企業が少なくない。

以上が、テレワークの６つの方式です（詳細を知りたい場合は、「テレワークセキュリティガイドライン第4版」をご覧ください）

テレワークのセキュリティ対策を講じる上では、上記のシステム面の対策はもちろん、「人」による対策も不可欠です。ここでは、「経営者／システム管理者／テレワーク勤務者」の3つのポジションごとにとるべき対策をまとめます。

「経営者」が実施するべき情報セキュリティ対策

「経営者」は、まず情報セキュリティ保全対策の大枠を定めてください。具体的には以下のような方針を決め、実行するといいでしょう。

情報セキュリティポリシーを定め、チェック・見直しを行う

まずテレワークの実施を考慮した情報セキュリティポリシーを定め、その内容が遵守されているか定期的にチェックします。情報セキュリティポリシーは以下3つの階層で構成されています。

1、 全体の根幹となる「基本方針」

2、基本方針に基づき実施すべきことや守るべきことを規定する「対策基準」

3、対策基準で規定された事項を具体的に実行するための手順を示す「実施内容」

上記の内容は企業の理念、経営戦略、規模、情報資産、業種、業態などによって異なるため、自社にあった情報セキュリティポリシーを定めましょう。また、PDCAサイクルを回しながら、対策レベルを向上させていくことが大切です。

社内で扱う情報の重要度をレベル分けし、取扱方法を決める

続いて、社内の情報資産を「機密情報」「業務情報」「公開情報」などに分類し、「公開情報以外の情報資産について取扱方法を定めます。

その上で、情報資産の利用者が、それぞれの情報レベルを識別できるような工夫をします。たとえば、情報レベルに応じてアクセス権の限られたフォルダに入れるなどの社内ルールを定め、管理すると良いでしょう。

テレワーク勤務者への啓蒙活動

テレワーク勤務者が情報セキュリティ対策の重要性を理解した上で作業ができるよう、定期的に啓蒙活動を行いましょう。たとえば、下記のようなものが有効です。

・情報セキュリティの重要性をイラストで解説し、イントラネットに公開する
・テレワーク勤務者が目をとめやすいところにポスターや案内を掲示する
・緊急時の連絡先をカードに記載して共有する

・「電子メールに関する知識」「インターネットの利用法」「ウイルスに関する知識」「パスワードの管理」など、テレワークを行う上で重要なセキュリティ知識のチェックテストを定期的に行う

事故に備えた連絡体制の整備

万が一、情報セキュリティ事故が発生した場合に備えて、「情報漏洩」や「端末の紛失」など、シチュエーションごとに担当者と対応を定め、連絡体制を整えます。

年1回程度でもいいので可能な範囲で情報セキュリティ事故が発生したことを想定した予行練習を行い、連絡体制を実際に使ってみることも大切です。連絡体制が整っていれば、万が一の際も早期対応が可能になり、情報セキュリティ事故の被害を最小限に抑えることができます。

必要な人材や資源に予算を割り当てる

防犯対策と同様に情報セキュリティ対策にも適切な投資が必要です。これは情報セキュリティ対策に必要な「機器・ 設備の購入」だけでなく、その運用や管理を行う「人的資源の確保」も含みます。

ただ単に、多額の投資をすればいいというわけではなく、「何を実現し」「何を守るか」を明確にした上で、その実現に最も適した手段を選び、必要な投資を行いましょう。

「システム管理者」が実施するべき情報セキュリティ対策

システム管理者」も、まずは経営者とともに情報セキュリティ保全対策の大枠を決めてください。

その後、情報セキュリティポリシーに従って、セキュリティ維持に関する技術的な対策を講じます。情報レベルに応じて、電子データのアクセス制御・暗号化の要否・印刷可否などの設定を行い、テレワーク勤務者には情報セキュリティに関する教育・啓蒙を定期的に行ってください。

続いて、「悪意のあるソフトウェア」「端末の紛失・盗難」「重要情報の盗聴」「不正侵入・踏み台」「内部犯罪」といった5つの脅威への対策を講じましょう。これらの対策法はリスト形式でまとめました。

悪意のあるソフトウェアに対する対策リスト

□URLフィルタリングなどを用いて、テレワーク勤務者が危険なサイトへアクセスすることを防ぐ。

□テレワーク勤務者がテレワーク端末にアプリを勝手にインストールしないようルール化する。

□貸与したテレワーク端末にウイルス対策ソフトをインストールする。

□貸与したテレワーク端末のOSやソフトウェアを最新版にアップデートする。

□BYOD（私用端末の使用）を認める際はテレワーク端末に必要なセキュリティ対策が施されているか確認する。

□ランサムウェアの感染に備えて、重要データのバックアップを社内システムから切り離して保存する。

□不審メールは迷惑メールに分類されるように設定する。

端末の紛失・盗難に対する対策リスト

□貸与するテレワーク端末の所在や利用者を把握するために、台帳などに記載して管理する。

□フォルダ・ファイル単位ではなく、OS領域やシステムファイル領域を含めたすべてのデータを暗号化する。
□テレワーク端末がMacの場合は「Macを探す」機能をオンにし、紛失または盗難にあったときに遠隔操作でロック、またはデータの消去を行う。

重要情報の盗聴に対する対策リスト

□無線LANは、暗号化設定等の脆弱性対策を行う。

□業務に不要と思われるメールのURLをクリックしたり、添付データを開封したりしないよう周知する。

□公共の無料の無線LANにはアクセスしないように周知する。

不正侵入・踏み台に対する対策リスト

□社外から社内システムにアクセスするための利用者認証に関する技術的な基準を明確に定め、適切に管理・運用する。

□インターネット経由でテレワーク勤務者が社内システムにアクセスする場合のアクセス方法を限定する。

□インターネットと社内システムの境界線にファイアウォールなどを設置。アクセス状況を把握し、不要なアクセスを遮断する。

□社内システムへのアクセス用パスワードは複雑なものを用い、強度の低いものは設定できないようにする。

内部犯罪への対策リスト

□テレワーク勤務者の端末のファイルサーバー等へのアクセスログやPCの操作ログを取得する。

□メールフィルタに関するサービスを利用し、メールの誤送信や情報漏えいを防ぐ。

テレワーク勤務者が実施するべき情報セキュリティ対策

最後にテレワーク勤務者が実施するべき情報セキュリティ対策について解説します。テレワーク勤務者が心がけるポイントも、システム管理者が行うべき対策と大枠は変わりません。ただ、項目ごとにポイントが異なりますので、ひとつずつ見ていきましょう。

まず、情報セキュリティポリシーが定める技術的・物理的・人的対策基準に沿った業務を行い、実施状況を定期的にセルフチェックしてください。定められた情報のレベルに応じたルールに従って情報を扱いましょう。

また、定期的に実施される情報セキュリティに関する教育や啓蒙活動に積極的に取り組み、有事の際の連絡体制を確認しましょう。

端末の紛失・盗難に対する対策リスト

□オフィスの外に情報資産を持ち出す場合は、情報の原本を安全な場所に保管する。

□機密情報データは持ち出さないようにする。業務上、やむをえない場合は、暗号化して保存する。

□データの入った記録媒体などの盗難に注意する。

□テレワーク端末のハードディスクを暗号化する。これはフォルダ・ファイル単位ではなく、OS領域やシステムファイル領域を含めたすべてのデータを暗号化することで外部への情報流出を防ぐ。
□テレワーク端末がMacの場合は「Mac を探す」機能をオンにし、紛失または盗難にあったときに遠隔操作でロック、またはデータの消去を行う。

重要情報の盗聴に対する対策リスト

□機密データを送信する場合は、必ず暗号化（パスワード設定等）する。

□無線LANは、確保すべきセキュリティレベルに応じた対策が可能な範囲で利用する。

□公共の無料の無線LANを使わないよう徹底する。

□第三者と作業環境を共有する場合は、端末画面にフィルターを装着したり、作業場所を選んだりして、画面が覗き見されないように注意を払う。

不正侵入・踏み台に対する対策

□パスワードやICカードなどの利用者情報を適切に管理する。

□インターネット経由で社内システムにアクセスする場合は、システム管理者が指定した方法のみを用いる。

□テレワークで使用するパスワードの使い回しを避け、他人に推測されにくいパスワードを設定する。