1. TOP
  2. ブログ
  3. テレワークに潜むセキュリティリスクとは?企業に求められる対策を紹介

ブログ

2022-04-22 11:18:45

テレワークに潜むセキュリティリスクとは?企業に求められる対策を紹介

テレワークに潜むセキュリティリスクとは?企業に求められる対策を紹介

現在はテレワークを日常的なワークスタイルとして採用している企業も多いでしょう。一方で、オフィス外の業務によるセキュリティリスクを懸念している方も多いのではないでしょうか。こちらでは、テレワークで警戒していただきたいセキュリティリスクと、実施すべき対策について解説します。

 

目次

テレワークの現状と多くの企業に求められるセキュリティ対策の意識変化

働き方改革によって推進されていたテレワークは、社員の状況にあわせた柔軟な働き方を実現できる点が魅力として認識されていました。しかし、2020年以降は、このことは関係なく多くの企業がテレワークを迫られることになります。新型コロナウイルスの感染リスクによって、オフィスに集まることや通勤が難しくなったことが最大の理由です。

東京都が2020年4月に実施した調査では、62.7%の企業が「テレワークを導入済み」と回答しています。

(参照:テレワーク助成金募集期間延長等(第330報)|東京都)

一方で、問題視されているのがセキュリティ面での危険性の増大です。テレワークはその性質上、オフィス外でのインターネット活用を前提としたワークスタイルです。社員は個々の環境でインターネットを利用し、業務を行います。これまでとは異なり、安全であることが十分に確認されていない社外のネットワークを活用することから、セキュリティリスクが増加します。

テレワークの普及によって感染リスクは軽減されたほか、社員はプライベートと仕事の両立を実現しやすくなっています。他方で、企業はセキュリティ対策の方向転換を迫られるようになったのも事実です。

テレワークではどんなセキュリティリスクを警戒すべき?

テレワークの普及により、オフィスでの業務とは異なるセキュリティリスクが懸念されるようになりました。テレワークならではのセキュリティ上の危険性をご紹介します。

端末・記憶媒体の紛失や第三者による盗難

パソコンなどの作業端末、USBメモリなどの記憶媒体を紛失したり、盗難されたりすることが考えられます。テレワークの環境としては、自宅以外にもカフェやコワーキングスペースなどが一般的です。こうした環境での作業や、移動中に、端末・記憶媒体を紛失してしまうケースや、盗難されるケースがあります。

セキュリティが不十分な個人所有の端末へのマルウェア感染

端末がマルウェアに感染することを防ぐためには、セキュリティソフトの利用などの対策が必要です。通常、業務用端末は会社で所有する端末を使用しますが、テレワークでは社員が個人所有している端末を利用することも少なくありません。私物端末はセキュリティが十分ではない場合が多く、マルウェア感染のリスクが高まってしまいます。

暗号化されていない公共Wi-Fiを利用することによる通信傍受

カフェなどでは、フリーWi-Fiが普及しています。しかし、多くの公共Wi-Fiは一般的に暗号化されておらず、業務用のネットワークとしては不安が残ります。通信傍受によって、情報漏えいが起きてしまうリスクがあるため、テレワークの通信環境としては好ましくありません。

自宅のインターネット回線への不正アクセス

自宅でテレワークを行う場合、セキュリティレベルは社員個々の環境によって異なります。安全性の低い自宅回線が不正アクセスを受け、情報漏えいしてしまう可能性は否定できません。

フィッシング・標的型メールによるマルウェア感染

近年は、フィッシングや標的型メールによる被害が増加しています。サイバー攻撃者の手口やメールの内容は巧妙化しており、社員のリテラシーが十分でない場合はウィルス感染したメールを誤って開いてしまい、またセキュリティ対策が行われていない端末で不正なプログラムやメールを開くと、マルウェアに感染してしまうリスクがあります。

リモートデスクトップへの不正アクセス

外部の端末から社内ネットワークにアクセスできるサービスです。Windows10に標準搭載されているものが一般的に利用されています。テレワークでも社内ネットワークを利用できることや、端末の性能に依存せず業務を行えるのが特徴です。しかし、急激に普及したことからリモートデスクトップへの不正アクセスを狙うサイバー攻撃は少なくありません。

クラウドサービスの脆弱性を突くアカウント乗っ取り

テレワークでは、クラウドサービスの利用が普及しています。チーム間でプロジェクトの進捗を共有できるサービスや、コミュニケーションツールなどが人気です。しかし、同時にこうしたクラウドサービスを標的にした乗っ取りも増加しています。クラウドサービスのベンダーは、乗っ取りの被害を回避するため脆弱性をなくすアップデートを行いますが、そのアップデートの前に攻撃を行う「ゼロデイ攻撃」が行われることもあります。

テレワークで起こる可能性があるセキュリティリスク事例

以下では、テレワークによって起こり得る具体的なセキュリティリスク事例をご紹介します。

マルウェア感染からの復旧作業による業務停滞・納期遅延

テレワークで使用した端末で不正なサイトにアクセスし、マルウェアに感染してしまったといったことが起きています。原因となるマルウェアの駆除は、時間がかかってしまうことも少なくありません。復旧作業の間は当然ながら業務ができないため、納期が決まっている場合は遅延が発生してしまうことも考えられます。

セキュリティ対策が脆弱な公共Wi-Fiからの情報流出

公共Wi-Fiを利用してメールを送信したところ、通信傍受をされ機密情報が流出してしまった例です。万が一、個人情報が流出してしまえば責任問題に発展します。また、社外秘の連絡事項や企画が第三者に漏れてしまう可能性も否定できません。公共のWi-Fiを使用する場合は、セキュリティが十分ではないことを意識する必要があります。

移動中・オフィス外作業での業務用端末の紛失

作業している場所や交通機関で業務用端末を紛失してしまうケースもあります。社外秘の情報が記憶された端末を紛失して、情報漏えいが起きてしまった事例です。近年はスマホやタブレットなどの小型のモバイル端末を業務利用するケースも多いため、端末の紛失には十分警戒する必要があります。

VPNの脆弱性を放置していたよるセキュリティ事故

プライベートなネットワークを利用できるVPNは、テレワークでも安全な業務環境を構築できる技術として普及しています。しかし、VPNを利用していた企業でも、情報漏えいや不正アクセスの被害は確認されています。これは、VPNの脆弱性を放置していたことが主な原因です。VPNを利用しているというだけで安心せず、セキュリティパッチの公開から速やかに更新を行う必要があります。

テレワークにおいて求められる3種類のセキュリティ対策

上記のようなセキュリティ上の危険性に対して求められている対策を、3種類に分けてご紹介します。

ルール整備によって行うセキュリティ対策

現在は急速にテレワークが普及しており、多くの企業でルール整備が間に合っていません。以下のような観点から、テレワークのセキュリティ対策におけるルール整備を行っていく必要があります。

 

行動指針となるセキュリティガイドラインの策定

まずは、自社のセキュリティガイドラインを策定しましょう。策定にあたっては、総務省が公開している「テレワークセキュリティガイドライン」という資料が参考になります。

 

実務におけるルールを策定

セキュリティガイドラインで策定した内容を実務上のルールに落とし込んでいきます。以下は、実務におけるルールの代表例です。

 

  • ソフトウェアのインストール可否
  • クラウドサービスの利用可否
  • データの保存方法

    •  

    テレワーク勤務者は上司の管理外で実務を行うことになります。明確なルールを定めて適宜監査を行い、セキュリティリスクを排除できているか確認することが大切です。

     

    ルール・ガイドラインの浸透と守りやすい環境づくり

    策定したルールやガイドラインは積極的に共有していく必要があります。研修・教育を積極的に実施し、社員の理解を得るように努めましょう。ルールで縛るだけでは、社員の協力は期待できません。安全なだけではなく使いやすいツールを提案するなどして、社員がルールを守りやすい環境をつくりましょう。また、ルールによって社員自身が守られることを啓蒙していくことが大切です。

    技術導入によって行うセキュリティ対策

    以下のような技術によってセキュリティ対策を行っていくことも大切です。

     

    記録しているデータの暗号化

    テレワークでは、端末や記憶媒体の盗難・紛失リスクが懸念されます。万が一、端末・記憶媒体が盗難・不正取得されても情報漏えいを回避できるように、データを暗号化しておきましょう。パスワードを不正に入手しない限り、暗号化されたデータを復元することは困難です。

     

    セキュリティ対策ソフトの利用

    セキュリティ対策ソフトは、端末のセキュリティを強化するために必須のツールです。インターネットを利用する以上、不正サイトへのアクセスやサイバー攻撃によるリスクは常につきまといます。セキュリティ対策ソフトを社員に利用させ、さらにアップデートを徹底することで、端末をマルウェアやサイバー攻撃者のアクセスから守ことができます。

     

    リスクが低く安全な回線の利用

    テレワークの場合、利用するネットワーク自体の安全性が懸念されます。社員には通信傍受の可能性がある公共Wi-Fiの利用は避けるように指導しましょう。また、通信が暗号化されるVPNを利用するのも一般的です。

    物理面でのセキュリティ対策

    セキュリティの強化を物理的な対策で図ることも大切です。物理面での対策とは、つまり作業スペースや資料の取り扱いに関することを意味します。代表的な例として、以下のような対策が挙げられます。

     

    セキュリティ面で安全な場所での作業や端末・記憶媒体の適切な管理

    テレワークでは、自宅やカフェ、コワーキングスペースなどさまざまな場所が作業環境になります。オフィス外の環境では、第三者によって端末や記憶媒体が持ち出されてしまう可能性は否定できません。端末を施錠管理できる棚がある場所で作業をする、端末を置いたまま離席しないなど、物理的なセキュリティ対策について検討しておく必要があります。

     

    ペーパーレス化

    紙資料は持ち運びしやすい反面、紛失・盗難のリスクが高いため情報漏えいの原因になりがちです。ペーパーレス化の推進は、こうしたリスクの軽減につながります。

    まとめ

    テレワークの普及によって、企業には新しいセキュリティ意識が求められています。テレワークの業務においてどんなリスクがあるのか、また、そのリスクによって具体的にどんな事故が起こり得るのか見直してみましょう。今回ご紹介したような対策を実施し、安全なテレワークの仕組みを構築してください。

    まとめ

    テレワークの普及によって、企業には新しいセキュリティ意識が求められています。テレワークの業務においてどんなリスクがあるのか、また、そのリスクによって具体的にどんな事故が起こり得るのか見直してみましょう。今回ご紹介したような対策を実施し、安全なテレワークの仕組みを構築してください。
     
    スターティアでは、テレワークのセキュリティ対策にお役立ていただける環境構築サービスを提供しています。また、社内ネットワークのセキュリティ対策を強化するためのサポートも実施中です。
    ご興味がある企業様はお気軽にご相談ください。

    人気記事ランキング

    内部対策とは?巧妙化するサイバー攻撃に対して求められる防御
    2022.04.04

    内部対策とは?巧妙化するサイバー攻撃に対して求められる防御

    続きを読む
    サイバーセキュリティは他人ごとではない!サイバー攻撃の具体例や対策方法
    2022.01.31

    サイバーセキュリティは他人ごとではない!サイバー攻撃の具体例や対策方法

    続きを読む
    ウイルス対策は十分?社内のパソコンを守るための知識
    2022.01.31

    ウイルス対策は十分?社内のパソコンを守るための知識

    続きを読む
    サイバー攻撃から自社を守る!中小企業に求められるセキュリティ対策
    2021.12.13

    サイバー攻撃から自社を守る!中小企業に求められるセキュリティ対策

    続きを読む

    おすすめ資料ランキング

    サイバー犯罪の概況とセキュリティ対策 2022年度版(全24P)
    2022.03.04

    サイバー犯罪の概況とセキュリティ対策 2022年度版(全24P)

    続きを読む
    ヒューマンエラーを防止する方法9選(全21P)
    2022.03.03

    ヒューマンエラーを防止する方法9選(全21P)

    続きを読む
    知らなかったじゃすまない “改正”個人情報保護法 対策ブック(全45P)
    2022.02.16

    知らなかったじゃすまない “改正”個人情報保護法 対策ブック(全45P)

    続きを読む
    電子帳簿保存法改正対策ブック(全37P)
    2022.01.26

    電子帳簿保存法改正対策ブック(全37P)

    続きを読む

    他サービス紹介

    その他、おすすめコンテンツはこちら