新型コロナウィルス感染症の影響により、急速にテレワークの活用が進んでいます。テレワークはオフィス以外の場所で、企業で管理する情報資産を、インターネット上でやりとりをしたり、持ち運びが容易なモバイルパソコン等の端末で利用します。そのため情報セキュリティ対策がなされたオフィス環境とは異なり、セキュリティのリスクが高まる側面があります。今回はテレワークのセキュリティリスクとその対策について紹介します。

 

テレワークにおけるセキュリティリスク

 

テレワークにおいては、マルウェア感染など外部の人間による悪意ある行為、テレワーク端末の紛失や盗難、通信内容の盗聴など、セキュリティの「脅威」が常に隣り合わせにあります。この時、端末やその設定、使い方において、セキュリティ上の欠陥（脆弱性）が存在すると、情報漏洩や重要情報の消失などのセキュリティリスクにつながります。

まずはテレワークにおいて想定される基本的なセキュリティの「脅威」と「脆弱性」について知ったうえで、その対策についてポイントを解説します。

 

１　マルウェア感染

 

マルウェアとは不具合を起こす意図で作られた悪意のあるソフトウェアの総称のことで、ウィルスやワーム、トロイの木馬、ランサムウェアなどがあります。マルウェア感染はインターネット経由の感染例が多く、インターネットを利用することが多いテレワークでは脅威となります。

 

テレワーク端末にウィルス対策ソフトが導入されていない、更新されていない場合には感染の恐れがあります。

 

---

＜対策ポイント＞

テレワーク端末にはウィルス対策ソフトをインストールし、最新の定義ファイルが適用されるようにしておきましょう。

---

 

 

マルウェア感染の多くはOSやウェブブラウザ、Officeアプリケーション、Acrobat Readerなどソフトウェアの脆弱性を悪用して感染します。

企業が管理するテレワーク端末でもテレワーク時に最新バージョンへのアップデートや、セキュリティパッチの不適応があった場合には感染のリスクがあります。

 

---

＜対策ポイント＞

テレワーク端末はOSおよび利用するソフトウェアについてアップデートを行い、最新の状態に保つようにしましょう。

---

 

 

また中にはウェブサイトを閲覧しただけで悪意のあるソフトウェアをインストールしようとするものもあり、社員が危険性のあるウェブサイトへアクセスすることも防ぐ必要があります。

 

---

＜対策ポイント＞

テレワーク端末はフィルタリング等を活用して、危険なサイトにアクセスしないように設定しましょう。利用者もOSやブラウザのアップデートが未実施の状態で社外のウェブサイトにはアクセスしないようにすることが大切です。

---

 

 

さらにテレワーク端末に社内で利用を許可していなかったアプリケーションがインストールされ、マルウェアも一緒にインストールされてしまったというトラブル事例もあり、社員が自由にアプリケーションをインストールできてしまう環境はリスクがあります。

 

---

＜対策ポイント＞

テレワーク端末はインストール権限を与えない、もしくはテレワーク端末に必要なプリケーションをインストールする場合は申請制とし、情報セキュリティ上の問題がないことを社内で確認するようにしましょう。

---

 

もし個人所有のパソコン、スマートフォン、タブレットなどをテレワークに利用させるような場合は、その端末に必要な情報セキュリティ対策が施されていることを確認したうえで認めることが大切です。

 

 

２　標的型攻撃、フィッシング詐欺

 

標的型攻撃、フィッシング詐欺とはメールやブラウザ、ソーシャルネットワークサービスなどを経由して、ウィルス付きのメールやメッセージを送ってきたり、特定のサイトに誘導して、各種ログイン情報や個人情報を窃取したりするものです。

 

こうした標的型攻撃、フィッシング詐欺はオフィスで作業している時も発生しますが、オフィスでは不自然なメールやメッセージが届いた場合に、すぐに近くの人に相談することができます。

 

しかし、テレワークでは気軽に相談する相手がいない上に、メールを使う頻度も高いため、届いた標的型メールをつい開いてしまいがちです。

 

---

＜対策ポイント＞

不審なメールは迷惑メールとして分類されるように設定しましょう。利用者には標的型攻撃、フィッシング詐欺について理解してもらい、会社全体への損害を自覚して、電子メールの添付ファイルの開封やリンク先のクリックに注意を払うようにしましょう。

 

また万が一の事故に備え、重要な電子データのバックアップは社内システムから切り離した状態で保存することがおすすめです。

---

 

 

３　盗聴

 

無線LAN(Wi-Fi)による盗聴

 

テレワークではインターネットを介してオフィスと電子データのやり取りを行いますが、インターネットにおいては、第三者によって通信内容を傍受される可能性があります。

 

在宅勤務で自宅の無線LAN(Wi-Fi)を利用する場合や、外出先のカフェなどで公衆無線LAN(Wi-Fi)を利用する場合などは注意が必要です。

 

無線LANルータでは暗号化の設定不備があったり、推測されやすいパスワードを使っている場合は、アクセスポイントを通じて情報が盗聴される恐れがあります。

 

暗号化されていてもパスワードが公然に知られているアクセスポイント（カフェやコワーキングスペースで提供されている公衆無線LAN）については、アクセスポイントのなりすましにより偽のアクセスポイントを通じて情報が盗聴される場合もあります。

 

---

＜対策ポイント＞

テレワーク端末においてはVPN等、通信経路を暗号化した状態でやり取りできるように対策を講じましょう。また必要な情報セキュリティ対策に対応した無線LANルータやモバイルルータなどを会社から提供し、利用してもらうのもよいでしょう。

---

 

 

メールによる盗聴

 

インターネット経由での電子メールでのやり取りでは特に指定しない限り、暗号化が行われません。機密性の高い情報を電子メールでやり取りする際に、暗号化せずに送信してしまうことも情報漏洩のリスクとなりえます。

 

---

＜対策ポイント＞

インターネット経由での電子メールでのやりとりにおいては、機密性が求められる場合は必ず暗号化して送りましょう。

---

 

 

覗き見による盗聴

カフェやコアワーキングスペース、交通機関などの第三者と共有する空間でテレワークをする場合、第三者による作業内容の覗き見に注意する必要があります。

 

また外出先で遠隔会議を実施する際、機密性の高い情報が映像に映り込んでいたり、業務情報がスピーカーから流れたりすることで、不用意な情報漏洩につながる可能性もあります。

 

---

＜対策ポイント＞

テレワーク端末にプライバシーフィルターを装着したり、自分の背中側が壁になっている席を選ぶなど、画面ののぞき見防止に努めるようにしましょう。

 

また資料や遠隔会議をしている映像には固有名詞など機密情報が入らないようするなど、情報漏洩の被害を限定的にする対策もポイントです。

---

 

 

４　端末の紛失・盗難

 

カフェやコアワーキングスペースなど自宅以外の場所で仕事をするためにテレワーク端末を外に持ち出す際に注意したいのが、端末の紛失や盗難です。

 

移動中に端末の入ったバッグを電車に置いてきてしまった、カフェで端末を放置して長時間離席してしまったなどの事例があります。

 

万が一紛失や盗難にあった時、テレワーク端末で電子データをバックアップしていなかったり、電子データを暗号化していなかった場合は、情報の消失や情報漏洩などの被害が大きくなってしまいます。

 

---

＜対策ポイント＞

オフィス外に情報資産を持ち出すときは、電子データのバックアップがとれるようにしておきましょう。原データが残っていれば情報の消失が防げます。

 

あらかじめ機密性が求められる電子データを扱わなくても済むように業務のやり方を工夫することも大切です。

 

カフェやコアワーキングスペースなどで離席する場合は、端末を一緒に持ち運ぶ、あるいは盗難防止用のワイヤーの設置などの対策が考えられます。

 

またテレワーク端末が今どこにあるのか、利用者はだれなのか管理できるように台帳を整備するとよいでしょう。不用意な端末利用を防ぐことができます。

---

 

 

５　不正アクセス

 

テレワーク端末を経由して情報システムの脆弱性を探し、社内システムへ不正に侵入されたり、なりすまして社内システムへ不正にアクセスされる場合があります。

 

インターネットと社内システムとの境界線にファイアウォールを適切に設置していなかったり、テレワーク端末のファイヤウォール機能が無効だったりすると不正アクセスや踏み台攻撃の危険があります。

 

また推測されやすいパスワードやパスワードの使い回し、ログイン方法を書いたメモの放置などパスワードの管理の方法によっても第三者による不正アクセスのリスクが伴います。

 

---

＜対策ポイント＞

テレワーク端末からインターネット経由で社内システムにアクセスする際には、アクセス方法を定めるようにします。また、社内システムとインターネットの境界線にはファイアウォールやルータ等を設置してアクセス状況の監視と不必要なアクセスを遮断するようにします。

また社内システムの利用状況についてアクセスログを収集することで不正侵入・アクセスがあった際の調査追跡が可能となります。

 

そして認証に用いるパスワードは、簡単に推測されないものにするとともに、外部に漏洩することのないように厳格な管理が必要です。また多要素認証の利用や、電子証明書の併用などにより、よりセキュリティ対策を強化することもおすすめです。

---

 

 

６　外部サービスの利用

 

Facebook、Twitter、InstagramなどのSNSや、LINEなどのメッセージングアプリケーションはインターネットを介して簡単に情報を共有できます。

 

しかしテレワークにおいてSNSやメッセージングアプリケーションで業務に関する内容をやり取りすることは情報流出につながる恐れがあります。

 

SNSでは投稿したテレワークの写真に機密性の高い文書や業務情報が映り込んでいたという事例があります。

 

メッセージングアプリケーションを個人のアカウントで利用する場合は、勤務先とプライベートの知人などが混在し、誤送信してしまう可能性もあります。

 

---

＜対策ポイント＞

SNSやメッセージングアプリケーションに関する利用ルールやガイドラインを整備することが重要です。たとえば、テレワーク時には業務上の守秘義務があるものは扱わないなど、そのルールやガイドラインに沿って利用するようにしましょう。

---

 

 

また顧客とデータをやり取りする際に、インターネット上のファイル共有サービスなどを利用する場合がありますが、暗号化の不備などで情報漏洩の事故の原因となることもあるので注意が必要です。

 

---

＜対策ポイント＞

ファイル共有サービス等のパブリッククラウドサービスの利用ルールを整備し、情報漏えいにつながる恐れのある利用方法を未然に防ぐようにしましょう。

---

 

 

今回はテレワークのセキュリティリスクとその対策について紹介しました。あくまでも想定される基本的なセキュリティの脅威と脆弱性を前提に、対策例を提示しています。様々な形で実施されるテレワークのすべてにおいて、紹介したセキュリティ対策を行わなければならないというものではありません。テレワークの実施方法によっては対策が不要であったり、追加的な対策が必要になることがありますので、それぞれの企業・組織にあった対策を検討するとよいでしょう。

 

＜参考＞

・テレワークセキュリティガイドライン 第 4 版(2018年 4 月、総務省)

https://www.soumu.go.jp/main_content/000545372.pdf

・テレワークを実施する際にセキュリティ上留意すべき点について（2020年4月、内閣サイバーセキュリティセンター）

https://www.nisc.go.jp/active/general/pdf/telework20200414.pdf

・テレワーク勤務のサイバーセキュリティ対策！ （2020年5月、警視庁）

https://www.keishicho.metro.tokyo.jp/kurashi/cyber/joho/telework.html

・テレワークを行う際のセキュリティ上の注意事項（2020年6月、情報処理推進機構）

https://www.ipa.go.jp/security/announce/telework.html