テレワークセキュリティの対策方法!ツールや事故・事例も紹介|サイバーセキュリティ.com

テレワークセキュリティの対策方法!ツールや事故・事例も紹介



テレワークの中には在宅勤務はもちろん、電車などの公共交通機関を利用している間に行うモバイルワークや、オフィス・自宅以外の場所で働くサテライトオフィス勤務など、多様な働き方が該当します。働く人の都合によって働き方を柔軟に変えられるテレワークは、企業側・働き手側の両者にメリットが大きい一方で、セキュリティ対策はオフィス以上に注意を払わなければなりません。これからテレワークを導入しようと検討している企業はもちろん、すでに導入済みの企業も今一度セキュリティ対策を見直しておきましょう。

テレワークセキュリティとは

テレワークセキュリティとは、テレワーク環境において実施しておくべきセキュリティ対策のことを指します。オフィス勤務の場合は、整備された社内インフラに最適なセキュリティ対策が施されていますが、テレワーク勤務の場合は個人の労働環境に左右されます。本記事では、テレワーク環境に適したセキュリティ対策と事例をご紹介します。

テレワーク導入状況は?

2021年4月に総務省が公開したテレワークセキュリティの実態調査によると、新型コロナウイルス対策のために導入をした企業が19.1%、さらにすでに導入済みの企業と今後導入予定の企業を合わせると31.3%と約3割の企業がテレワークを導入していることが分かります。

業種別では、情報通信業、金融・保険業はテレワーク導入が最も進んでいるようす。かつ、企業規模が大きいほど導入割合も高くなっています。

参考テレワークセキュリティに係る実態調査 (2次実態調査) 報告書

テレワーク・リモートワークセキュリティ事故・事例

テレワークやリモートワーク環境下で実際に起きたセキュリティ事故や事例は数多くあります。その中でも代表的な事例を5つご紹介します。

フィッシングメール

2020年4月~6月の期間、新型コロナウイルス感染症拡大防止に伴う外出自粛や店舗休業などの影響から、オンラインショッピングの利用者が増加。こういった流れを背景に、ECサイトや宅配便の不在通知などを装ったフィッシングメールが多数発生した。

警視庁は、2020年5月に新型コロナウイルスに便乗した詐欺行為に対する注意喚起を行ったが、2021年に入っても給付金の振り込みやPCR検査キットの配布などを装った詐欺行為が多数報告されている。ビジネスシーンでは、新型コロナウイルスの感染対策を偽装した「Emotet」の標的型メールが確認されている。

マルウェア感染

2020年5月にあるグループ会社の従業員がフリーメールに添付されていたファイルを開封、

PC1台がマルウェア感染する事件が発生。マルウェア検知システムを導入していたが、添付ファイルに仕込まれていたマルウェアが新種だったため、マルウェア検知が遅れてしまい、氏名やメールアドレスなどを含む個人情報が1万件以上漏えいした。

ランサムウェア感染

2017年5月、ランサムウェア「WannaCry」による攻撃が流行し、日本を含む世界150ヶ国以上で発生、30万台を超えるPCで被害が確認される大規模な事例が発生。「WannaCry」はWindowsの脆弱性を利用したランサムウェアで、セキュリティパッチを適用していなかった端末が感染し、甚大な被害を引き起こしたと考えられている。

USBメモリの紛失

2020年6月、ある教育機関で児童や関係者など3,000人以上の氏名や住所、電話番号

などを含んだ個人情報が記録されたUSBメモリを紛失する事故が発生。教育機関によると、テレワークを実施するためにUSBメモリを外部に持ち出した際に紛失が発生したとのこと。

テレワーク端末の踏み台化

2020年5月、リモートアクセスを利用した個人所有端末から正規のアカウントとパ

スワードが盗まれ、オフィスネットワークに不正アクセスされた事案が発生。仮想デスクトップ(VDI)によるリモートアクセスシステムを利用していたが、個人所有端末自体を攻撃者の踏み台として乗っ取られていたことが判明。VDIサーバ経由で社内のファイルサーバを閲覧されたおそれがあり、180社以上の顧客に影響が出るおそれがあると発表をされた。

参考テレワークセキュリティガイドライン 第4版 総務省 別紙3

企業がテレワークセキュリティ対策をするには

「セキュリティ対策」と聞くと、大掛かりなシステムの導入などが連想されますが、テレワーク環境下では、個人単位でのセキュリティ対策が有効とされています。まずは取り入れやすい対策から実施していきましょう。

リモートワークでのルール策定と周知

リモートワークでは、物理的に勤務管理が難しくなるため、セキュリティソフトの導入や、許可されていないアプリケーションは利用しない、など社内でリモートワーク時のルールを策定しましょう。策定後は、従業員に対して周知の徹底もあわせて行ってください。

従業員へのセキュリティ研修

テレワーク環境下では、従業員一人ひとりのセキュリティに対する意識が非常に重要です。万一情報漏えいなどが発生した際、企業はもちろん、従業員自身も責任を問われる可能性があることを認識してもらう必要があります。従業員がリスクを認識することこそが、セキュリティ対策のスタートラインと言えるでしょう。

セキュリティソフトの導入

リモートワーク時に使用する端末には、必ずセキュリティソフトの導入を実施しましょう。ウイルスチェックなどの基本機能以外に、さまざまなセキュリティリスクに対する機能が実装されています。また、従業員が私物の端末「BYOD(Bring Your Own Device)」で業務を行う場合は、セキュリティソフトを導入している端末に限定する、などのルールを設定するのが望ましいです。

パスワード管理のルール化

誕生日などの推測されやすいパスワードや、パスワードの使い回しは不正アクセスのリスクを高める一因です。そのため、パスワード設定時のルールを策定したり、パスワードマネージャーを利用することをおすすめします。

OSやアプリケーションを常に最新の状態にしておく

サイバー攻撃では、OSやアプリケーションの脆弱性をついて攻撃を行うことが基本です。そのため、利用しているOSやアプリケーションは常に最新版にしておくことを徹底しましょう。特にWindowsは利用ユーザーが多いことから、頻繁にセキュリティアップデートが行われています。アップデート作業も業務の一環として従業員に対応するよう周知すると良いでしょう。

企業がテレワークを行う際のセキュリティの注意事項

テレワーク環境が提供されている場合

従業員は、テレワーク環境に関して会社が定めた規程やルールを理解し、それに従いましょう。不明な点などがある場合は自己判断をせずに、所属先のシステム管理者に相談をしてください。

テレワーク環境が提供されていない場合

自宅のPC等で業務に関わるメールの送受信や資料作成などを行う場合には、従業員がセキュリティ対策を強く意識する必要があります。ITにそれほど詳しくなかったり、自社にシステム管理者がいない、といった状況の場合は、普段使用している個人環境のセキュリティ対策を見直すことから始めてください。見直す項目は、以下の<日常における情報セキュリティ対策>を参考に実施しましょう。

  • 修正プログラムの適用
  • セキュリティソフトの導入および定義ファイルの最新化
  • パスワードの適切な設定と管理
  • 不審なメールに注意
  • USBメモリ等の取り扱いの注意
  • 社内ネットワークへの機器接続ルールの遵守
  • ソフトウェアをインストールする際の注意
  • パソコン等の画面ロック機能の設定

引用(IPA)テレワークを行う際のセキュリティ上の注意事項

テレワークから職場へ戻る際のセキュリティの注意事項

テレワーク環境が提供されている場合

職場のPCを持ち帰って仕事をしている従業員は、職場のネットワークに繋げる前に以下を実施してください。

  • OSやアプリのアップデート
  • セキュリティソフト定義ファイルのアップデート
  • パソコン内のウイルスチェック

上記の手順や会社が定めた規程やルールをよく確認し、それに従いましょう。

テレワーク環境が提供されていない場合

自宅のPCなどで業務を実施していた場合は、PC内に保存されている業務ファイルやメールなどを、どう処理するか、会社が定めた規程やルールに則って、従ってください。

  • 所属先の環境への受け渡し方法
  • 自宅のパソコンの業務ファイルの削除方法

USBメモリを使用する場合は、個人情報の保存、持出し、暗号化、ウイルスチェックなどについて、同様に会社の規程やルールに従い、持ち運ぶ場合は紛失しないよう細心の注意を払ってください。

引用(IPA)テレワークを行う際のセキュリティ上の注意事項

テレワークで使用する【zoom】のセキュリティとは

働き方改革や新型コロナウイルス感染症対策でテレワークの導入が一気に進んだ2020年初頭では、Zoomのセキュリティ問題が話題になっていましたが、現在は強固なものへとアップデートされています。具体的には、暗号化やセキュリティ設定の大幅強化などが挙げられます。

Zoomのセキュリティ設定は、会議を開始する前から行うことができます。具体的な方法は、以下の記事を参考に行ってください。

総務省のテレワークセキュリティガイドラインとは

総務省では、テレワークにおけるセキュリティ対策の考え方を提示したガイドラインのことです。テレワークを導入したり、活用するために必要となるセキュリティ対策などについて示されているので、検討中の企業だけでなくすでに導入してる企業も、最新版のガイドラインを確認しておくと良いでしょう。

引用(総務省)テレワークセキュリティ ガイドライン)

中小企業等担当者向けテレワークセキュリティの手引き(チェックリスト)

テレワークと言っても、その方式はさまざまです。テレワークセキュリティでは、自社が導入しているテレワーク方式と、その方式に適したセキュリティ対策を行うことが重要です。総務省が公開している中小企業担当者向けの手引きでは、各方式ごとに実施すべきセキュリティ対策がチェックリスト形式で記載されています。セキュリティの専門知識を持っていないシステム管理担当者を対象としているので、ぜひ一度目を通しておきましょう。

引用(総務省)中小企業等担当者向け テレワークセキュリティの手引き

総務省 テレワークマネージャー相談事業

総務省では、2020年度(令和2年度)に「テレワークのセキュリティあんしん無料相談窓口(テレワークにおけるセキュリティに関する相談を受け付ける無料相談窓口)を開設していました。しかし、2021年現在では、テレワーク導入時の一般的な相談と併せて、「総務省 テレワークマネージャー相談事業」で相談を受け付けています。無料で利用できるので、活用してみてください。

参照テレワークマネージャー相談事業

おすすめテレワークセキュリティソフト

テレワーク環境には必須であるセキュリティソフトのおすすめを5つご紹介します。自社のテレワーク方式に合うものを導入してください。

ESET

動作の軽さ、性能の高さ、安さ。3拍子揃って評価が高い人気のセキュリティソフト。その中でも「動作が軽い」点の評価が高く、通常業務の邪魔にならないセキュリティソフトとして多くの方に利用されている。

ノートン

Symantec(シマンテック)社からリリースされているノートンシリーズはセキュリティ対策ソフトの定番の1つ。

主に個人向け製品で、Windows、Macのウイルス対策だけでなく、パソコンの最適化、ディスククリーンアップ、データのオンラインバックアップなども可能。

カスペルスキー

ロシアのカスペルスキー社のセキュリティソフト。上記のノートンに比較すると日本での知名度は下がるが、性能は非常に優れている。

Windows、Mac、Android対応の総合セキュリティソフトで、ウイルス対策、危険なWebサイトへのアクセス防止、ネット決済時の保護など、パソコンやモバイル端末を安全に使うためのセキュリティを提供。

ウイルスバスター

トレンドマイクロ社のソフトウェアで日本で最も利用者の多い定番ソフトの1つ。

ウイルスバスターは、高い防御力と軽さを両立しながら、使いやすさと安心のサポートを提供するマルチデバイス対応セキュリティソフト。

アバスト

日本国内での知名度は、上記のソフトウェアに比べると低いが、世界的にみると約4億人というユーザーを抱え、世界最大規模のシェアを誇っているウイルス対策ソフト。

有料版だけでなく無料版も提供されているため、このようなシェア持っている。

多くのユーザを抱えていることから、マルウェアのサンプルが多いために脅威の発見が早くなった。新種のマルウェアへの対応も迅速になることが期待できる。

まとめ

テレワークセキュリティ対策には、従業員の意識が非常に重要となります。ルールの策定や周知を徹底すれば、コストをかけてシステムを導入する必要なく、環境を整備することができます。セキュリティソフトやツールなどをうまく活用して、継続的にセキュリティ対策を実施してください。

よくある質問

テレワークセキュリティは必ず実施しなければいけませんか?

テレワーク環境では、セキュリティの意識が甘くなりがちです。そのため、セキュリティソフトの導入など最低限の対策は必須と言ってよいでしょう。

セキュリティ専任者がいなくてもできますか?

テレワークセキュリティ対策は、総務省やIPAなどから実施しておくべき対策項目がリストで公開されています。難しい内容はほとんどなく、基本的な部分となりますので、セキュリティ専任者がいなくても対策は行えるでしょう。不安な場合は、総務省が運営している相談窓口も活用することをおすすめします。


SNSでもご購読できます。