2023年1月19日

在宅勤務のセキュリティ対策とは？情報漏洩を防ぐ管理の仕方

1 テレワークのセキュリティガイドラインとは
2 働き方改革に伴う在宅勤務の実態
3 テレワークでのセキュリティ事故事例3選
4 テレワークでのセキュリティ対策5選
5 在宅勤務で活用できるツール
6 まとめ

テレワークのセキュリティガイドラインとは

総務省が公表している「セキュリティガイドライン」は、テレワークを実施する際の指針となるガイドラインです。
テレワークで課題となるセキュリティリスクを軽減するために、どんな施策や方針をとればいいかまとめられています。

働き方改革に伴う在宅勤務の実態

IT環境の発展と新種の感染症コロナの影響で、働き方改革が急速に進展しつつあります。
具体的にいえば、会社に出社しなくても仕事ができる環境つまりテレワークの推進が、政府主導で推し進められるようになりました。
そこで、日本のテレワーク導入状況やそのメリット・デメリット、さらにセキュリティリスクについて解説します。

日本のテレワーク導入状況

総務省は、2021年の情報通信白書で民間企業のテレワーク実施状況を公表しています。
コロナ禍以前は、17.6%に留まっていましたが直近の統計では、38.4%の企業がテレワークを実施しています。
業種によって実施率にばらつきはあるものの、「テレワークは定着傾向にある」というのが総務省の見解です。

参照：総務省　テレワーク実施状況

テレワークのメリットとデメリット

テレワークのメリットとデメリットについて確認しておきましょう。

テレワークのメリット

テレワークには、主に以下のメリットがあります。

・場所や勤務時間を選ばず幅広く人材を雇用できる
・交通費などの移動費用や、オフィスの賃貸・光熱費といった固定費など、コストを削減できる
・働き方改革を前面に押し出すことで企業イメージを向上できる
・集中力アップによる作業効率の向上や、すきま時間の活用により生産性の向上が期待できる
・新種の感染症が流行した場合、他人からの感染不安を払拭できる

テレワークのデメリット

また、主なデメリットは以下のとおりです。

・テレワーク中の従業員の勤怠管理やタスクの進捗状況を把握しづらい
・従業員同士のコミュニケーション不足により、チームワーク低下やメンタル面での問題が発生する可能性がある
・在宅勤務やコワーキングスペースでの作業が主体となるため、情報漏洩などのセキュリティリスクが増大する

在宅勤務に潜むセキュリティリスク

テレワークを行う際に、もっとも懸念されるのはセキュリティリスクです。
オフィスと違ってセキュリティ対策が万全ではない自宅では、PCのウィルス感染や個人情報・機密情報の流出が懸念されます。
また、コワーキングスペースなどの共用スペースを利用すれば、PCやUSBメモリの紛失・盗難リスクも増大するでしょう。
テレワーク導入時には、これらセキュリティリスクをどのように軽減するかが重要です。

テレワークでのセキュリティ事故事例3選

テレワークでのセキュリティ事故は過去に、いくつも事例があります。
その中でも、とくに気をつけたいセキュリティ事故を3つ紹介します。

1. 社用端末や紙媒体の紛失による情報漏洩

2020年5月7日、大阪府立大冠高等学校で生徒の個人情報360件を記録したUSBメモリ紛失事故が発生しました。
テレワーク実施のため、生徒の個人情報を記録したUSBメモリを外部に持ち出した結果、本人のミスにより紛失したケースです。
テレワークでは、個人情報や機密情報のデータを含むPCやUSBメモリ・紙媒体等を社外に持ち出す必要があるので、情報漏洩発生リスクが増大します。

参照：テレワークでUSB持ち出し紛失、生徒の個人情報360件が流出の可能性｜大阪府立大冠高等学校

2. 個人所有端末利用によるウィルス感染

2020年10月20日、飲食・ホテル業を営む株式会社ひらまつで従業員に貸与した2台のPCが「Emotet」と呼ばれるウィルスに感染しました。
このウィルスに感染したことで、顧客情報が記録されたメール情報が流出し、ひらまつを装ったウィルス付きの不正メールが多数送信されるという事態に。
在宅勤務の場合、このような業務とは関係のないメール受信や詐欺サイトへのアクセスによるウィルス感染リスクが増大します。

参照：「Emotet」感染、「ひらまつオンライン」お食事券申込者メール情報流出

3. セキュリティが不十分な公衆無線LAN利用による情報漏洩

2014年11月10日、セキュリティベンダーのカペルスキー・ラボが、高級ホテルのネットワークに侵入し宿泊客のPCにウィルス（マルウェア）を感染させる「Darkhotel」攻撃が、2010年8月から確認されていると注意喚起を促しました。
「Dakhotel」攻撃は、ホテルの無線LANネットワークを乗っ取り、無線LANを利用した宿泊者から情報を搾取します。
このウィルスに感染した多くが日本のホテルだったことから、メディアで大きく取り上げられました。

参照：宿泊客を狙うウイルス「ダークホテル」に要注意　日経新聞

テレワークでのセキュリティ対策5選

テレワークで実施すべきセキュリティ対策を、5つ紹介します。
冒頭で紹介した、総務省のセキュリティガイドラインの内容がベースなので、未実施のものがあれば取り入れることを強くおすすめします。

セキュリティポリシーとルールの策定

セキュリティ対策で最初にやるべきことは、セキュリティポリシーとルールの策定です。
セキュリティポリシーによってセキュリティ対策の方向性や指針が明確になり、セキュリティポリシーに則ったルールを周知徹底することで、セキュリティリスクを軽減できます。
ルールは、たとえば以下に関するものを策定します。

・テレワーク時の連絡体制
・テレワークの出退勤
・テレワークを行う作業場所
・テレワークで利用するネットワーク
・テレワークで利用する端末（ＰＣ、スマホなど）
・テレワーク時のアクセス可能な範囲
・テレワークに伴う機器や紙媒体などの社外持ち出し方法

また、ルールを浸透させるためには、利用者への定期的なセキュリティ教育実施が必要です。

2. 安全なネットワーク環境の構築と利用

テレワークで利用するネットワークは、VPN等安全な専用回線を用いて利用するのが最善です。
業務で利用する端末は、必ずVPNを用いない限り接続できない状態にすれば、セキュリティリスクは格段に軽減します。
さらに、構築した専用回線の安全性を確保するためにも、インフラ側・利用側ともにOSやソフトウェアをセキュリティ対策が施された最新バージョンを利用するよう努めることも重要です。

3. リモートワークを監視するツールの導入

在宅勤務のようなリモートワークは、目視で社員の状況を常に確認できないので、出勤から退勤まで社員の勤務状況を正確に把握するのは難しいでしょう。
そのため、出退勤の管理や端末の使用状況のログを残せるツールの利用が望ましいです。
特にログ監視は、利用端末のウィルス感染状況の確認はもちろん、社員が不正な業務処理をおこなっていないか確認するためにも必要です。
セキュリティ事故が発生した際の原因究明や、その後の対策を検討する上でもログは重要な役割をはたすでしょう。
また、リモートワークではコミュニケーション不足に陥りやすいため、仮想空間のようにあたかもリアルオフィスにいるかのような仕組みの提供も有効です。

4. データの暗号化

ルールを策定しても、それを守るのが人間なので端末やUSBメモリなどの紛失・盗難が発生する可能性をゼロにはできません。
そこで万が一の紛失に備えて、テレワークで利用する端末やUSBメモリなどの記憶媒体のデータは常に暗号化しましょう。
また、暗号化の設定は利用者が簡単に変更できないように仕組みにすることも重要です。

5. セキュリティ対策ソフトの導入

在宅勤務の場合、テレワーク実施者が端末の私的利用（ネットショッピングやプライベートなメール受信など）が原因でウィルスに感染する可能性があります。
したがって、端末やネットワークの利用制限をルールで策定した上で、利用端末には必ずセキュリティ対策ソフトが導入される仕組みにしましょう。
また、セキュリティ対策ソフトのウィルス定義最新化やウィルススキャンの定期実行なども、確実におこなわれるようにすることが大事です。

参考：テレワークに潜むシャドーITのリスク - 漏洩チェッカー

在宅勤務で活用できるツール

ここでは在宅勤務時のセキュリティ対策やコミュニケーション不足対策に必須なツールを紹介します。

IT資産管理ツール

IT資産管理ツールは、端末にインストールするOSやソフトウェアのライセンスを一元管理するためのツールです。
このツールを利用することで、以下のセキュリティ対策を実現できます。

・不適切なソフトウェアのインストールを防ぐ
・脆弱性のあるバージョンのソフトウェアを監視できる
・端末のウィルス対策状況を監視できる

またIT資産管理ツールには、自社で専用サーバーを用意して運用するオンプレミス型と、ツール提供企業のサーバーに接続して利用するクラウド型の2種類があります。

ログ管理

ログ管理は、テレワーク実施者のアクションを監視する上で必須のツールです。
ログは出退勤の状況確認にも使えますが、テレワーク実施者が自社システムに対してリモートで行った操作を確認するためにも必要です。
操作ログが残っていれば、万が一セキュリティ事故が発生した場合にもその原因の究明に役立ち、正しい事後対策を行えます。
また、利用者のモラル欠如によるシステムの不正利用発見にもつながります。

仮想オフィス空間

仮想オフィス空間は、テレワーク時の懸念点の一つ、コミュニケーション不足を解消するためのツールです。
あたかもそこが自社であるかのように、エントランス、受付、会議室や雑談ルームまで、あらゆるオフィス空間がバーチャル上に存在します。
個々のコミュニケーション不足の解消はもちろん、チームとしてのモチベーション維持も期待できます。
その結果、組織の中の一人であることを自覚できるので、モラルやセキュリティを守る意識の向上にも繋がるでしょう。

まとめ

本記事では、在宅勤務でのセキュリティ対策について事故事例とともに解説しました。
総務省のセキュリティガイドラインにもあるように、セキュリティ対策で大事なことは「ルール」「人」「技術」のバランスです。
「ルール」に偏り過ぎれば「人」が守りづらくなり、「技術」に偏り過ぎれば「ルール」が疎かになることも。
本記事で紹介したツールを活用しつつ、「ルール」「人」「技術」それぞれバランスのとれたセキュリティ対策を心がけましょう。