テレワークのセキュリティとは?考慮すべき内容と具体的な対策を解説

この記事は約17分で読めます。
2020.12.22

テレワークを導入するにあたり、組織内での連絡体制の整備、人事評価制度や労務管理制度などを変更する必要がありますし、業務に使用する端末のセキュリティ、私物端末の使用を許可するか、ウイルス対策などのリスクについて検討しルール化しておく必要があります。 

今回はテレワーク(リモートワーク)セキュリティについて詳しく解説していきます。

また、LRMでは、Wi-Fiの設定やスクリーンセーバー、USBメモリの取り扱いといった、身近ながらも「実際、何をすればいいの?」というセキュリティ対策の中から、テレワークにまつわるものを9つご紹介した資料を無料で配布しております。こちらからダウンロードできますので、ぜひお役立てください。

無料!今すぐに実施できる!
テレワークの基本的なセキュリティ対策9選
テレワーク時にマストなセキュリティ設定をまとめた教材をみる
  1. テレワーク(リモートワーク)時にセキュリティ事故が起きる原因
    1. 不特定多数の人が行き交う場所での作業
    2. 端末の紛失
    3. 個人端末からの不正アクセスやウイルス感染、マルウェア感染
    4. セキュリティ対策不足のネットワーク利用(家庭やカフェなど)
    5. アプリやソフトウェアの更新不足
  2. 実際に起きたテレワーク(リモートワーク)時のセキュリティ事故 
    1. マルウェア「Emotet」に感染し、個人情報等の流出
    2. VPNのユーザーIDなどがインターネット上で公開 
  3. リモートワークのセキュリティで考慮すべき内容とは
    1. ガバナンス・リスク管理
    2. 資産・構成管理 
    3. 脆弱性管理 
    4. 特権管理 
    5. データ保護 
    6. マルウェア対策 
    7. 通信の保護 
    8. アカウント・認証管理 
    9. アクセス制御・認可 
    10. インシデント対応・ログ管理 
    11. 物理的セキュリティ 
    12. 脅威インテリジェンス 
    13. 教育 
  4. テレワーク(リモートワーク)導入のための具体的なセキュリティ対策
    1. 組織的セキュリティ対策
    2. 技術的セキュリティ対策
    3. 物理的セキュリティ対策
  5. テレワーク(リモートワーク)のセキュリティ対策を実施する際のポイント/注意点
  6. テレワーク(リモートワーク)下でのセキュリティ事故発生時の対応法
    1. すぐに情報セキュリティ担当者へ報告をする
    2. 情報セキュリティ担当者を中心に各担当者と連携して対処する
  7. まとめ

テレワーク(リモートワーク)時にセキュリティ事故が起きる原因

テレワーク時においてセキュリティ事故が起きる原因は、典型的には以下のようなものがあります。 

不特定多数の人が行き交う場所での作業

社外で業務を行う際、カフェや公共の場所での作業を行う場面は多いものです。 

こういった不特定多数の人が行き交う場所での作業では、画面の覗き見や電話の内容を盗み聞きされ情報漏えいにつながるといったリスクが考えられます。 

また、新幹線や電車での移動中に、スマートフォンやタブレット端末で、業務で使用する資料やメール、チャットの確認を行うときにも周りから画面が覗き見られることのリスクがあります。 

クラウドサービスの普及によりどこでも作業を行えるようになってきましたが、作業を行う環境には注意が必要です。 

端末の紛失

今までは社内でしか使用しなかったPCや書類をリモートワークのために持ち帰る機会が増えることにより、紛失や置き忘れ盗難といったリスクが高くなります。 

特にUSBなどの外部記憶媒体を自宅に持ち帰る際は、要注意です。極力持ち帰らないよう業務の方法を工夫したり、自宅の中でも管理場所を決めておくなど、ひと工夫しておきましょう。 

外部記憶媒体は、紛失リスクが高いだけに安全第一の取り扱いを運用上も徹底し、紛失に留意する必要があるのです。 

個人端末からの不正アクセスやウイルス感染、マルウェア感染

サイバー攻撃の被害にあい、不正アクセス、ウイルス感染による情報漏えい事故を引き起こしてしまうことが多発しています。 
ウイルス感染の手口として、典型的で被害も多いのが「標的型攻撃」です。 

IPAが公表している「情報セキュリティ10大脅威 2020」において、組織向けの脅威として1位に「標的型攻撃による機密情報の窃取」が取り上げられています。 

標的型攻撃」とは、特定組織の機密情報の窃取を目的として、PCをウイルスに感染させ、組織内に潜入することです。メールの添付ファイルやリンクを開かせることによってウイルスを感染させる手口や、webサイトを改ざんしそこへアクセスするとウイするへ感染するようにすることがあります。 

日ごろから怪しいメールは開かないようにするといった対策が必要です。 

標的型攻撃とは?その手口や被害、具体的な対策や教育についても解説
標的型攻撃は、明確な目的のもとに特定のターゲットに向けられた攻撃であるため、巧妙かつ被害が大きく...
www.lrm.jp

セキュリティ対策不足のネットワーク利用(家庭やカフェなど)

リモートワークにおいては、社外のネットワークを利用することになります。 
ただ、カフェなどの公共Wi-Fiなどのセキュリティ対策が不十分なインタ-ネット回線を利用していると盗聴改ざんのリスクが発生しがちです。 

そこで、社内のVPNを経由して社外回線に接続できる場合には、必ずVPNを利用することVPNが利用できない場合は、できるだけご自身で用意したモバイル回線を利用するなど、安全対策をしておくことが必要です。 

アプリやソフトウェアの更新不足

情報を窃取、サービスを不正利用しようとする犯罪者などには、アプリやソフトウェアの脆弱性を狙われることになります。 

脆弱性対策として、OS、ソフトウェアの更新を行い最新化にアップデートしている状態を保つことが重要です。 

前途のウイルス感染の対策として、ウイルス対策ソフトの導入が考えられますが、導入されている場合は、自動更新の設定を行いウイルスパターンを最新化することによりより効果的なものとなります。 

ご自分のOS、ソフトウェアが最新に更新されているか確認してみてください。 

実際に起きたテレワーク(リモートワーク)時のセキュリティ事故 

ここではテレワーク(リモートワーク)時のセキュリティ事故の事例を紹介します。 

マルウェア「Emotet」に感染し、個人情報等の流出

Emotet」は添付ファイルからのプログラム実行により、感染させる手口のマルウェアです。 

所属する従業員が使用するPC端末がマルウェア「Emotet」に感染、同社の従業員を装い社内外へ不審メールが送付するというセキュリティ事故が多くの企業で公表されています。 

感染した端末から社内外へ送られる不審メールには、暗号化されたZIP形式のマルウェアファイルが添付されており、それを開くことにより「Emotet」の感染を広げてしまいます。 

そこで、不審なメールからさらなる被害の拡大が予想されるため、不審なメールは開封しないこと、またメールをうっかり開封しても添付ファイルの開封はしないことをIPAなどで呼び掛けています。 

「Emotet」については、下記をご参考ください。 

Emotet(エモテット)関連情報 | 情報セキュリティ | IPA 独立行政法人 情報処理推進機構
情報処理推進機構(IPA)の「Emotet(エモテット)関連情報」に関する情報です。
www.ipa.go.jp

VPNのユーザーIDなどがインターネット上で公開 

ある会社では、VPN装置を利用していた社員およびVPN装置の管理用のユーザーIDとパスワードがインターネット上で、2週間限定でダウンロードできるようになっていたというセキュリティ事故がありました。 

緊急事態宣言によるリモートワークへの対応のために急ぎ対応したため、脆弱性が存在している古いVPN装置を利用していたことが原因でした。 

そうならないために、まずは手軽にできるセキュリティ対策をおさえましょう。 

テレワークの基本的なセキュリティ対策9選を無料でダウンロードする

リモートワークのセキュリティで考慮すべき内容とは

リスクの増大をうけて、経営者・管理者・勤務者、それぞれの行動を起こすことが求められます。 
リモートワークのセキュリティにおいて考慮すべき内容は次の通りです。 

ガバナンス・リスク管理

経営者は情報管理者の最上位に位置する責任者です。責任者が旗振り役となり、リモートワークのリスクマネジメントを強化すべきことを宣言、ルールの整備を指示する必要があります。 

また、関連部署の勤務者も、これに応じてリスクアセスメントと、アセスメント結果を踏まえたルールの整備を行います。全勤務者が、整備されたルールを順守することが必要です。 

資産・構成管理 

テレワークで利用するハードウェアやソフトウェアの資産・構成の特定や、管理を管理者が行います。 

業務上利用しているハードウェア・ソフトウェアの棚卸に加え、リモートワークで加わるもの、使わなくなるものを全件把握することがポイントです。 

脆弱性管理 

ソフトウェアのアップデート・追加のソフトウェアインストールによる十分な脆弱性の管理が必要です。ネットワーク管理者が実行します。できるだけ、勤務者任せにせずに、管理者が実行すること、アップデート状況を俯瞰的に把握できるようにすることがポイントです。 

特権管理 

管理者は、不正アクセス等にそなえ、システム管理者の権限の保護を行う必要があります。不正アクセス対策には、必要のないアクセス権はまず排除しておくことが重要です。同時に、管理者の管理権が悪意の侵入者によりはく奪された場合の通信回線遮断手順・バックアップアクセスや、通信経路・サーバの切り替え等の対策も考えておくべきです。 

データ保護 

データそのものの保護については、管理者と、勤務者が協力して保護すべき情報(データ)の特定や保存されているデータの機密性・可用性の確保に関する対策を施します。 

技術的な手段を管理者が講じ、強化された運用ルールを勤務者は遵守すべきです。運用ルールの周知徹底を経営者と管理者が協力して行います。運用ルールについては、繰り返し注意喚起をし、いつも勤務者が適度な危機意識を持てるようにしておきましょう。 

マルウェア対策 

マルウェアの感染防止・検出・排除・ネットワークの遮断について、管理者が必要なツールの導入などの技術的施策の実行を行います。エンドポイントにある端末が、社外のネットワークの中にあるため、今までの技術的セキュリティ対策よりも強化する必要があるのです。 

経営者は、これらの対策についての必要性をまず理解し、費用について予算・支出の承認を行います。 

通信の保護 

通信を暗号化で保護することも必要な対策です。技術的な施策は管理者が中心になって行い、勤務者は暗号化に伴うルール(ファイルのパスワードに関するルールを順守、各システム・端末の設定を行うなど)を遵守、求められる措置を実行します。 

アカウント・認証管理 

アカウント・認証管理については、情報システムにアクセスするためのアカウント管理や認証手法に関する対策を行います。 

リモートワークではゼロトラストの考え方に従った認証・シングルサインオンの活用を行う必要があります。管理者が実行しますが、アカウント・認証管理に関するルールを全勤務者が遵守する必要もあります。 

アクセス制御・認可 

セキュリティのリスクの増大には、アクセス権を付与するのは最小限とすることが基本対策になります。 

データやサービスへのアクセスを、必要最小限かつ正当な権限を有する者のみに制限することに関する対策を実行すしましょう。ルールの見直しや設定の変更などにより管理者と関係部署が協力して行います。また、アクセス権の設定(申請・操作など)に関して、ルール順守が全勤務者に要求されます。 

インシデント対応・ログ管理 

セキュリティインシデントに対しては迅速に対応することが必要です。マルウェアなどの脅威には、回線遮断・他のデバイスからの分離など、初期対応により被害を小さくする効果が認められます。迅速第一です。 

さらに、ログを取得したり、事故原因を調査するのは管理者が所属する専門部署・リスクマネジメント担当部署などが行うことが多いです。 

インシデントが発生していること、再発防止策等は、経営者に報告すべき事項とされています。報告が適時・迅速にできるか、また対策をとるだけに十分な技術的施策が打てているかなどを含めて管理者から経営者と情報を共有すべきです。 

こちらは、弊社で作成いたしました、インシデント発生時の情報共有や記録にお役立ていただける「インシデント管理台帳」です。無料でダウンロードしていただけますので、ぜひご活用ください! 

「インシデント管理台帳」を今すぐダウンロードする (無料) 

物理的セキュリティ 

端末・記憶保存メディアの管理など、物理的な手段による情報漏えいについての保護も管理者により行われるべきものです。 

通常の場合よりもリモートワークの場合、データが物理的に移動することが多いことから、紙ベースの台帳管理などは、現実的ではなくなっていることも見られます。より管理がしやすい方法に変更をすることも管理者が検討したほうがよいでしょう。 

脅威インテリジェンス 

最新の脅威・攻撃手法に対する動向調査・脆弱性情報を管理者は収集する必要があります。これも経営者に対して報告が必要であるのと同時に、勤務者の正常な業務に必要な情報のみに絞って警戒を呼び掛け、情報を提供することが必要です。 

セキュリティ事故は時折大きく報道されますが、最新の手口情報は、勤務者が知っているとは限りません。勤務者1人1人がどんな脅威があるのか、知っておくこと、そのうえで意識を高めることも重要です。 

教育 

テレワーク勤務者のためのセキュリティの理解はリスクの予防に非常に重要なものです。 

例えば、シャドーITなどは無意識の間に使っていた、などということがあるくらいですが、勤務者が自分の行動から生じるリスクを理解していないような状況を教育によって低減します。 

管理者が企画はしますが、例えば教育教材の中に経営者名義で方針を説明するなど、トップのコミットがあるとより浸透度が挙がることが知られています。 

テレワーク(リモートワーク)導入のための具体的なセキュリティ対策

ここまでで事故の原因を事例を交え紹介してきました。
では対策をどのように行うのが適切か、具体的なセキュリティ対策の方法を紹介していきます。

組織的セキュリティ対策

組織として実行できるセキュリティ対策としては以下のようなものが挙げられます。

1. リモートワークを前提としたルールの策定

出社が前提のルールから、リモートワーク前提のルールに変更していく必要があります。

策定するルールとしては以下が挙げられます。 

  • 会社として取り扱う情報資産について、その重要度に応じてレベル分けを行い、社外での利用可否、可の場合の取扱いの方法を定める
  • テレワークの実施や私物端末利用の申請フローの設定・改訂を行う
  • セキュリティ事故発生時に迅速な対応が可能になるよう緊急連絡先の設定、周知

2. セキュリティ教育の実施

リモートワークを実施するにあたり、情報の取扱いについて従業員が意識すべきことなどを再周知を行います。

今まで集合研修で行っていた企業も多いと思われます。しかし、テレワークに合わせweb会議ツールを使用した研修、eラーニングを使用するなど、教育の方法にも変更が必要です。 

3. 情報セキュリティ状況の把握

リモートワークで各従業員が別の場所で業務を行うからこそ、ルールが適切に守られているかを確認することも重要です。 

方法としては、社内アンケートを行い従業員がセルフチェックを行い、スクリーンショット等で検証する、セキュリティ担当者が抜き打ちで従業員とのweb会議を実施しチェックするなどがあります。 

4. 従業員とのNDA締結 

もし従業員とのNDA(秘密保持契約)を結んでいないようであれば、これを機に結んでおきましょう。 
現在、クラウドベースの電子契約・電子署名サービスが導入できるようになっているので、サービスを利用すればWeb上でカンタンに締結が可能です。 

また、NDAのフォーマットはWeb上で多数配布されていますので、それを活用すればすぐに締結を実施できます。 

技術的セキュリティ対策

技術的対策としては、セキュリティソフトの導入、データの暗号化、VDIの導入、ネットワークの整備、多要素認証などがあります。 これらの技術を使うとテレワークのセキュリティリスクに効果的に備えることができますので、ぜひ導入・整備しておくことをおすすめします。 

これらの技術の導入と整備に加え、さらに、講じておくべき対策は以下のとおりです。 

1. ソフトウェアなどの管理

ソフトウェアの管理レベルを上げる対策が必要です。テレワークでは、ソフトウェアを勝手に従業員にインストールされてしまうリスクが上がります。また、定期的にソフトウェアを最新化する必要もありますが、コントロールするための方法が問題です。 

まず、ソフトウェアの利用可否を会社として、システム担当者などが判断し、インストールする体制にしておきましょう。セキュリティ上の安全性に不安のあるソフトウェアを業務利用しないよう対策を行うことができるようになります。 

さらに、脆弱性対策として、OS、ソフトウェアは最新にアップデートを実施するようにします。できれば管理者が自動で実施できる体制としておき、従業員に任せきりにしない方が望ましいです。 

また、業務利用する端末には必ずウイルス対策ソフトをインストールし最新の定義ファイルが適用されているようにしておきましょう。 

2. 私物端末の利用

リモートワークを実施中のみ私物端末を利用しているという会社もあると思いますが、その管理は許可制にすること、また、端末を勝手に増やされる余地がないようにすることが重要です。 

さらに、OSの更新状況などの確認を行う必要があります。
この場合、更新は従業員に任せて行う必要がありますが、更新状況はスクリーンショットの提出を求めるなど、確実に更新が完了している状態であることを確認しましょう。 

3. ネットワーク

自宅で無線LANへ接続する場合は、脆弱性対策が講じられているかを確認しましょう。 

カフェなどの公共Wi-Fiは禁止にする・公共Wi-Fiの利用は、出張時のやむを得ない時にのみ利用することをルール化するなどの方策もあったほうがベターです。 

ルールの在り方は、会社ごとに少し異なると思います。
しかしポイントは、システム担当者が社外から社内システムへアクセスするための基準を明確に定め、適正に管理、運用していくことです。このことが不正アクセスなどのリスク対策となります。 

また、社内システムへのアクセスログの取得などを行い不正アクセスなアクセスがないかを監視します。 

物理的セキュリティ対策

リモートワークによって、取扱う場所が変わり、利用や管理の際に気を付けるべきことが変わることもあります。以下のような対策が挙げられます。 

1. 紙媒体の取扱い

まず、紙媒体について、リモートワーク時に紙媒体を持ち帰る場合は、社外から持ち出す際に許可制にするや、紛失に留意しカフェや公共の場では利用しないことなどが挙げられます。社外のプリンタの利用も禁止にするなど、プリンタ利用の制限を行う対策も必要です。 

また、廃棄方法についてもゴミからの情報漏えいも考えられるので、安全な廃棄方法または廃棄は社内のみで行うことなどをルールとして定めておくことが必要です。

2. PCの利用

PC持ち出しのルールも、紙媒体と同様に、管理者の許可の下持ち出しを行うようにするべきとなります。 

自宅でPCを使用し業務を行う場合、同居人がいる環境であれば、同居人も第三者に当たるのでweb会議を行うときにはイヤホンをつけるようにする、一時離席するときは画面ロック、スクリーンセーバーを設定するなどし同居人が会社の情報を知ってしまうことが無いように気を付ける必要がああります。 

テレワーク(リモートワーク)のセキュリティ対策を実施する際のポイント/注意点

テレワーク対策をするのは重要ですが、リスクがあるから何でもやっておけばいいというものではなく、意味のあるものでなければいけません。どの方策がどのリスクに具体的に対応するものなのか、意味が分からないと、ルールの遵守も難しい面があります。 

今回は組織的セキュリティ対策技術的セキュリティ対策物理的セキュリティ対策の3つに分けてご紹介しましたが、テレワークのセキュリティ対策では、これらを総合的に対応しつつ、同時にルールや設備投資状況を定期的に見直すことが必要です。

テレワーク(リモートワーク)下でのセキュリティ事故発生時の対応法

対策を万全にしていたとしても、どこかでセキュリティ事故が発生する可能性はあります。むしろ昨今のサイバーテロの巧妙さは、専門家にとっても想像を超えるものとなっています。
こういった場合、対策と同様に重要なことは実際にセキュリティ事故を起こしたときの対応/初動です。こちらについて紹介していきます。

すぐに情報セキュリティ担当者へ報告をする

各担当者は、セキュリティ事故の発生を確認した場合、すぐに上長や情報セキュリティ担当者へ報告を行います。組織としては、初動・顧客対応等を迅速に進められるよう、すぐに連携が取れるような連絡手段を決めておく必要があります。 

電話で直接セキュリティ担当者へ行うよう連絡先の伝達、チャットツールでセキュリティ事故発生の報告用ルームを作成することなども考えられます。 

情報セキュリティ担当者を中心に各担当者と連携して対処する

情報セキュリティ担当者は、報告を受け代表者への伝達を行ったもとで、セキュリティ事故を発生させた部署や情報システム担当者と連携し影響を最大限抑えるための処置を行います。 

情報セキュリティ事故の外部への影響度を踏まえ、本人、個人情報保護委員会、取引先への連絡、webサイトなどでの外部公表を行い、二次被害が起きないようにします。 

まとめ

テレワークによるリスクの増大に関し、リスクのありかを把握したうえで、組織的・技術的・物理的安全管理策を強化する必要があります。ここでご紹介した、リスクと事例を参考にし、御社においては何を強化することが必要か、是非ご検討下さい。 

検討や、実施に際しては、社外のコンサルタントの活用も有益です。客観的な立場から、助言を求めることもあわせてご検討ください。 

また、テレワークに必須のセキュリティ対策についてまとめた資料はこちら。 

無料!今すぐに実施できる!
テレワークの基本的なセキュリティ対策9選
テレワーク時にマストなセキュリティ設定をまとめた教材をみる
情報セキュリティ対策組織体制・ルールの構築
従業員教育標的型攻撃メールテレワーク脆弱性
タイトルとURLをコピーしました