テレワークのセキュリティ対策7選!リスクや事故事例をもとに解説
「コロナ禍でテレワークを行っているが、現在のセキュリティで十分かどうか不安・・」
「社内情報を流出させないために、今よりも強固なセキュリティを施したい」
「近々テレワークを導入する予定。どのようなセキュリティ対策があるか知りたい」
本記事はこのような方のための記事です。
コロナ禍でテレワークを導入した企業や、導入を検討している企業など、勤務形態をテレワーク、またはテレワークとのハイブリッド型に移行する企業が年々増えています。しかし、ただテレワークを導入すれば良いのではなく、オンラインでの業務はオンライン特有のセキュリティが必要です。どのようなセキュリティ対策が必要なのか、不安を抱えている企業もあるのではないでしょうか。
そのような理由から、本記事ではテレワークのセキュリティについて、以下のポイントを中心にお伝えします。
安全性の高いテレワーク促進ツールを提供している当社が、テレワーク下でのセキュリティ対策について詳しく解説しますので、ぜひご参考ください。
テレワークで起こりうる5つのセキュリティリスク・課題とは?
テレワークには、オフィスワークでは考えにくいような、さまざまなセキュリティリスクが潜んでいます。特に以下の5つのリスクには注意が必要です。
- 業務用デバイスを紛失するリスク
- 社員がデータを誤削除してしまうリスク
- サイバー攻撃されるリスク
- 不正アクセスによるウイルス感染のリスク
- 情報持ち出しなど内部不正のリスク
1. 業務用デバイスを紛失するリスク
1つ目は、業務用デバイスを紛失するリスクです。テレワークでは、ノートPCやタブレットなど、業務で使用するデバイスを社員が持ち出すことになります。
オフィスワークのように、常にオフィスにデバイスがあるわけではないため、紛失リスクが高まってしまうのです。また、デバイスが盗難される可能性もあります。
2. 社員がデータを誤削除してしまうリスク
2つ目は、社員がデータを誤削除してしまうリスクです。通常の業務でもデータの誤削除は起こり得ますが、テレワークでは社員がデバイスを持ち出すことになるため、万が一データが消えてしまった場合、リカバリーに時間を要します。
そのため、社内で共有するデータは原本ではなく複製のみにする、バックアップを施すなど、誤削除に備えておくことが大切です。
3. サイバー攻撃されるリスク
3つ目は、サイバー攻撃されるリスクです。テレワークの増加に伴い、OSやアプリケーションの脆弱性を狙ったサイバー攻撃が増えています。
たとえば会社の資産に関するデータが盗まれたり、重要情報が改ざんされたりと、ひとたび攻撃されると甚大な被害が出ます。
テレワークでは、PCやスマートフォンなどデジタル端末を使うため、サイバー攻撃のリスクをゼロにするのは難しいでしょう。しかし、ツールの導入などによってリスクを最小限に抑えることは可能です。
4. 不正アクセスによるウイルス感染のリスク
4つ目は、不正アクセスによるウイルス感染のリスクです。インターネットに接続する以上、ウイルス感染のリスクはつきまといます。
たとえば、Google検索で不正広告をクリックした結果、データが外部に流出してしまうなどの事例です。
悪徳業者は、ありとあらゆる手口で不正アクセスを誘導してきます。デバイスを感染させないためにも、ウイルス対策ソフトなどのツールは導入するようにしましょう。
5. 情報持ち出しなど内部不正のリスク
5つ目は、情報持ち出しなど内部不正のリスクです。悪意のある従業員が、会社の機密情報や顧客情報を持ち出し、外部に流出させるケースも考えられます。
「自社は絶対に大丈夫」と思うかもしれませんが、実際に従業員が顧客情報を持ち出し、名簿業者へ売却するという事件も発生しています。どの会社にも内部不正のリスクは潜んでいるため、「万が一」に備えて対策を練っておきましょう。
セキュリティリスクを含めたテレワークの課題について、次の記事で詳しく解説しているので、ぜひご参考ください。
リスク回避のためにテレワーク下で実践したいセキュリティ対策7選
テレワークには多くのリスクが潜んでいますが、きちんとした対策を施していれば問題ありません。企業が実践するべきテレワークのセキュリティ対策として、以下の7つがあげられます。
- ガイドラインを策定する
- データを暗号化する
- セキュリティツールを導入する
- 安全性の高いVPNを導入する
- フリーWi-Fiは使用しない
- 作業スペースのセキュリティを確保する
- ペーパーレス化を進める
1. ガイドラインを策定する
組織の基本方針を統一するためにも、セキュリティガイドラインを策定します。策定にあたっては、総務省の「テレワークセキュリティガイドライン」を参考にするのがおすすめです。
同ガイドラインでは、「ルール」「人」「技術」のバランスが取れた対策を講じることが大切だと記載されています。
- ルール:従業員が守るべきルールを定める
- 人:ルールを守ることの意味を伝える
- 技術:専用ツールやソフトを利用する
社内で「ルール」を定めても、それを「人(従業員)」が守らなければ意味がありません。そのため、ルールを守ることにどのような意味があるのか、従業員が理解できるよう明示する必要があります。ルールと人で埋められない部分は、専用ツールやソフトなど「技術」で補完します。
これからテレワークを導入しようと考えている企業も多いはずです。ただ、テレワークの導入には、セキュリティツールの導入費用はもちろん、環境整備のためにお金がかかります。
テレワークを導入する企業には、国や自治体が助成金を出しているので、こちらの記事をご参考ください。
2. データを暗号化する
データの暗号化とは、ログイン時のIDやパスワードを符号化することで、簡単に読み取りや処理ができないようにする施策です。テレワークにおける、「情報の持ち出しリスク」の防止につながります。
テレワークでは、従業員がデバイスを持ち出すことになるため、紛失や盗難のリスクが高まります。万が一デバイスを紛失しても、データの暗号化を行っていれば、第三者への情報流出を防げます。
3. セキュリティツールを導入する
ウイルス対策ソフトなどの「セキュリティツール」の導入も効果的です。テレワークでは、インターネットの接続やUSB接続が多用されるため、デバイスのウイルス感染リスクが高まります。
- 自社の予算や目的に合った「ウイルス対策ソフト」
- 複数のセキュリティ機能を統合した「総合脅威管理ツール」
- デバイスやアプリのライセンスを安全に管理する「MDMツール」
ウイルス感染による情報流出を防ぐためにも、セキュリティツールは必須。また、ツールを導入して終わりではなく、アップデートも定期的に行いましょう。ウイルスの進化に対応するためにも、ツールを最新状態に保っておくことが大切です。
4. 安全性の高いVPNを導入する
VPNとは、インターネット上に利用者専用のプライベートネットワークを構築する技術です。VPNには、インターネット環境を利用する「インターネットVPN」と、閉鎖的なネットワークを利用する「IP-VPN」があります。
| メリット | デメリット | |
|---|---|---|
| インターネットVPN | ・安価に導入できる ・複数拠点でも接続できる |
・回線混雑により通信品質が下がることがある ・障害が発生した場合、復旧に時間がかかる |
| IP-VPN | ・専用ネットワークなので安定した通信が可能 ・暗号化をしなくてもセキュリティ性が高い |
・コストが膨らみやすい ・通信業者との契約時にしか使えない |
セキュリティ面で考えるのなら、暗号化なしでも安全性の高い「IP-VPN」がおすすめです。しかし、インターネットVPNでも、暗号化を行えば高いセキュリティ性を保てます。それぞれのメリットとデメリットを考慮した上で、自社に最適なVPNを選びましょう。
5. フリーWi-Fiは使用しない
公共の場所やカフェなどでよく見かける「フリーWi-Fi」は、基本的には使用しないことが望ましいです。
すぐにインターネットに接続できるため便利ですが、暗号化されていないフリーWi-Fiも少なくありません。暗号化されていないと、盗聴やのぞき見のリスクが高まります。
また、「なりすましアクセスポイント」と呼ばれる、正規のWi-Fiとよく似たネットワーク名のフリーWi-Fiも存在します。これに接続した結果、デバイスを乗っ取られたというケースも少なくありません。社内情報を扱うテレワークでは、基本的にフリーWi-Fiは使用しないようにしましょう。
6. 作業スペースのセキュリティを確保する
テレワークでは、自宅やサテライトオフィス、コワーキングなど、オフィス以外が仕事場所となります。しかし、どこでも仕事ができる一方で、データが持ち出されるリスクが高まります。
たとえば、以下のような例です。
- コワーキングで作業中、トイレに行っている間にデバイスが盗難された
- カフェで仕事中、隣の人からIDやパスワードなどの情報を盗み見られた
このようなリスクを防ぐためにも、ロッカーのあるコワーキングを利用したり、「のぞき見ブロック」などのツールを導入したりなど、セキュリティを固めておきましょう。
7. ペーパーレス化を進める
テレワーク下では、文書の電子化を進める「ペーパーレス化」も有効です。紙の書面は、特定の場所で保管していたり、紛失時にデータを復元できなかったりと、安全面のデメリットが大きいです。
そのため、人事労務ソフトや会計システムを導入するなど、ペーパーレス化を促進しましょう。100%大丈夫とは言えませんが、アクセス権限の付与やデータ暗号化による不正アクセス防止など、紙での管理以上のリスクコントロールが可能です。
テレワークの事故事例から学ぶこと
テレワークのリスクやセキュリティ対策をお伝えしましたが、事例がないとイメージも掴みにくいかと思います。ここでは、テレワークのセキュリティ対策をおろそかにした結果、セキュリティ事故を招いてしまった事例をご紹介します。
元従業員による情報の持ち出し | トレンドマイクロ
トレンドマイクロは、コンピュータやインターネットセキュリティ製品を販売している会社です。同社では2019年11月、元従業員による「情報の持ち出し事故」が発生しました。持ち出された情報は第三者にわたり、第三者は、その情報を悪用して詐欺犯罪を行っていたようです。
セキュリティ製品を扱っている会社でも、このような事故は起こり得ます。現在の従業員は問題なくとも、「退職者」によって情報が流出する可能性もあります。退職者も含めて、アクセス制限や機密情報のダウンロード禁止など、制限を設けることが大切です。
実在する従業員を名乗る不正メール | 川本製作所
川本製作所は、家庭用ポンプや空調・衛生設備ポンプなどを製造販売するポンプメーカーです。
同社では2020年1月に、従業員のPCが「エモテット感染」しました。エモテット感染とは、実在する人間を装ったメールに不正なファイルを添付し、ファイルを開くことでウイルス感染することです。
事故発覚前、実在する従業員を名乗る不正メールが複数届いており、それに気づかずファイルを開いてしまったといいます。これらを防止するためにも、セキュリティ性の高いウイルス対策ソフトを導入する、ウイルスのチェックを行っていないファイルは開かない、などの対策が重要です。
セキュリティツールを選ぶときのポイント
企業がセキュリティ対策を行う場合、ウイルス対策ソフトなどのツールは必須です。しかし、「何を基準にツールを選べば良いのかわからない」という方もいらっしゃるでしょう。セキュリティツール選びに悩んだ際は、次の3つのポイントを意識してみてください。
- OSの対応範囲はどうか
- 何台までインストールできるか
- ツール起動時に動作が重くならないか
1. OSの対応範囲はどうか
OSとは基本ソフトウェアのことで、簡単にいえば「Windowsか、Macか」ということです。ツールによっては、Windowsのみ対応、Macのみ対応となっている場合があるので注意しましょう。
また、ツールによっては、「Windows版」「Mac版」というように各OSのバージョンが用意されている場合もあります。導入後のミスマッチを防ぐためにも、自社が利用しているOSと、セキュリティツールの対応範囲をあらかじめ確認しておきましょう。
2. 何台までインストールできるか
セキュリティツールを選ぶ際は、ライセンス数を考慮しましょう。「○台までデバイスにインストールできる」というツールもあれば、無制限でインストールできるツールもあります。
会社単位でセキュリティツールを選ぶ場合は、無制限のものがおすすめです。従業員数に合わせて適切なツールを選ぶようにしましょう。
3. ツール起動時に動作が重くならないか
安全性の高さだけでなく、ツールの動作にも留意しましょう。ツール自体の容量が大きいと、起動時にデバイスに負担がかかり、動作が重くなってしまいます。
たとえば、最先端の技術を用いたセキュリティツールを導入するとします。たしかに安全性は高いですが、性能を発揮するために膨大なリソースが必要です。業務に支障が出てしまう可能性もあるでしょう。
そのため、セキュリティツールを選ぶ際は、安全性だけでなく、操作性や快適性も考慮することが大切です。
PHONE APPLIが「テレワーク先駆者百選 総務大臣賞」受賞しました
テレワーク先駆者百選について
総務省は、テレワークの普及促進を目的として、平成27年度から、テレワークの導入・活用を進めている企業・団体を「テレワーク先駆者」とし、その中から十分な実績を持つ企業等を「テレワーク先駆者百選」として公表しています。この度、PHONE APPLIは「テレワーク先駆者百選」の中から特に優れた取り組みを行っている企業として、「テレワーク先駆者百選 総務大臣賞」を受賞しました。
PHONE APPLIのテレワーク・ハイブリッドワークの概要・特徴について
PHONE APPLIは、「最もパフォーマンスが出せる、場所や働き方」を従業員それぞれが選んで実施できる環境を実現しています。単なるITツールや人事制度の導入だけではなく、毎週1回30分の1on1ミーティング制度や、コアタイムなしのフレックス制度、身体的健康に関するセミナー開催など、「ルール」「ツール」「プレイス」の3軸から、持続的で生産的な働き方を推進しています。
また、それぞれの施策についても、毎月全社員に対しパルスサーベイを実施しており、制度や施策を常にアップデートし続けていることも大きな特徴といえます。実際に、アンケートの結果、テレワークの推進によって孤独感を感じた社員が増えたことをきっかけに、セルフケアやラインケアの研修を実施し、1on1で部下の不調に気づいたマネージャーは、社外カウンセラー等専門家との面談にいち早くつなげられるよう体制整備を行いました。
【まとめ】テレワークのセキュリティについて
本記事では、テレワークのセキュリティについて、以下のポイントを中心にお伝えしました。
- デバイスの紛失や盗難、データの誤削除、情報持ち出しなどテレワークのリスクは多い
- 「ルール」「人」「技術」のバランスが取れたガイドラインを策定する
- セキュリティツールやVPNの導入、データの暗号化、ペーパーレス化などの対策が有効
- セキュリティツールを選ぶ際は、OSの対応範囲やインストール台数などに留意する
セキュリティ事故は、「起こってから」では手遅れです。不正アクセスや退職者による情報持ち出しなどによって、ひとたび機密情報が漏れると、甚大な損害につながってしまいます。事故を未然に防ぐためにも、お伝えしたような対策を講じてみてはいかがでしょうか。
PHONE APPLIの働き方を体感できる「オフィスツアー」
テレワークを始めとした、働き方改革推進の取り組みを社外へ発信しており、過去5年以内で2,500社以上の企業様がオフィスにお越しいただき、最もパフォーマンスが出せる働き方「ルール」「ツール」「プレイス」のフレームワークをご紹介しています。
【お申込み】オフィス体験ツアー参加
2年間で2,500社・5,000名以上に参加していただいたPHONE APPLIのオフィス体験ツアー
