IT用語集
多要素認証(MFA)とは? その重要性や3つの認証要素について解説
テレワークセキュリティの基本とは?リスクと対策を実務順に解説
目次
テレワークセキュリティとは、社外で業務を行う前提に合わせて、業務ルール、利用者教育、認証、端末管理、アクセス制御、ログ、事故対応を組み合わせる取り組みです。特に認証は、社外からアクセスする利用者だけでなく、利用端末が許可されたものかどうかまで確認する設計が重要になります。社内システムへ接続する手段を用意するだけでは足りません。勤務場所、端末、通信経路、クラウドサービス、周囲の環境が分散するため、情報漏えい、不正アクセス、端末の紛失・盗難、情報の盗聴といったリスクも広がります。
総務省の「テレワークセキュリティガイドライン(第5版)」では、テレワークのセキュリティ対策を進める前提として、「ルール」「人」「技術」のバランス、経営者・システム・セキュリティ管理者・テレワーク勤務者の役割分担、7種類のテレワーク方式、共通対策、トラブル事例が整理されています。さらに、中小企業等担当者向けの手引きでは、会社支給端末と個人所有端末を分け、方式ごとのチェックリストで優先度を確認できる構成になっています。
この記事では、公式資料の考え方をもとに、テレワークセキュリティで最初に固める項目、基本対策、方式別の注意点を実務の順番で整理します。
- 対象業務、扱う情報、利用端末、勤務場所、接続方式を先に整理する
- ルール、人、技術を分け、どれか一つに偏らないようにする
- 認証、端末管理、アクセス制御、データ保護、ログ、事故対応を基本対策として整える
- IDとパスワードだけに頼らず、多要素認証、端末認証、デジタル証明書などを必要な範囲で検討する
- VPN方式、リモートデスクトップ方式、クラウドサービス方式など、方式ごとに注意点を変える
テレワークセキュリティで最初に整理すること
セキュリティ対策を製品選定から始めると、業務側の抜けが残ります。先に決めるべきなのは、どの業務を社外で行うのか、どの情報を扱うのか、どの端末を使うのか、どの方式で接続するのかです。ここが曖昧なままでは、強固な認証や端末管理の仕組みを導入しても、例外運用が増えます。
| 確認項目 | 整理する内容 |
| 対象業務 | 社外で実施する業務、社外では扱わない業務、承認が必要な作業を分けておく |
| 扱う情報 | 顧客情報、個人情報、機密資料、社外秘データの保存先と共有範囲を定める |
| 利用端末 | 会社支給端末、私物端末、スマートフォン、タブレットの利用条件を分けておく |
| 勤務場所 | 自宅、サテライトオフィス、外出先、移動中など、作業場所ごとの制約を明文化する |
| 接続方式 | VPN、リモートデスクトップ、VDI、クラウドサービスなど、方式ごとの対策を整理する |
| 認証条件 | ID・パスワード、多要素認証、端末認証、デジタル証明書など、アクセス時に求める確認項目を決める |
| 事故対応 | 端末紛失、不審メール、誤送信、不正アクセスの疑いが出たときの連絡先と初動を決めておく |
この表を埋める前にツールを選ぶと、運用設計が後追いになります。対象業務と情報の扱いが固まっていれば、認証、端末管理、ログ、クラウド設定の要件も絞り込めます。認証条件まで先に決めておくと、後から「この業務だけIDとパスワードで例外運用する」といった抜けを抑えられます。
テレワークでリスクが増える理由
オフィス勤務では、入退室、端末、ネットワーク、書類保管、会議室、来訪者対応を会社側でまとめて管理できます。テレワークでは、その前提が弱まります。自宅の家族、外出先の周囲の人、私物端末、家庭用ルーター、公衆Wi-Fi、個人アカウントで使うクラウドサービスなど、会社の管理が届きにくい要素が増えるためです。
事故の発生点は、高度なサイバー攻撃だけではありません。不審メールを開く、共有リンクの公開範囲を誤る、会議URLを転送する、端末を置き忘れる、家庭内で画面を見られる、私物クラウドへ業務ファイルを保存する。こうした日常的な行動も、テレワークでは事故につながります。
通信を暗号化しても、アカウントが乗っ取られれば情報へアクセスされます。端末を暗号化しても、共有リンクが公開状態なら情報は漏れます。多要素認証を入れても、私物端末や退職者アカウントの扱いが曖昧なら抜けは残ります。対策は一つで完結しません。
ルール・人・技術の三つで設計する
テレワークセキュリティは、ルール、人、技術に分けると整理できます。総務省ガイドラインでも、この三つのバランスが対策の前提として扱われています。どれか一つを強めても、残りが弱ければ全体の水準は上がりません。
| 区分 | 内容 |
|---|---|
| ルール | 主な内容:勤務場所、端末、保存、印刷、共有、持ち出し、事故報告、例外承認を定める 放置した場合の問題:現場任せの対応が増え、部署ごとに運用がばらつく |
| 人 | 主な内容:教育、訓練、順守、早期報告、管理者の設定・承認手順を整える 放置した場合の問題:不審メール、誤共有、端末紛失などの報告が遅れる |
| 技術 | 主な内容:認証、端末管理、アクセス制御、暗号化、ログ、マルウェア対策を実装する 放置した場合の問題:ルール違反や設定ミスを仕組みで抑えられない |
ルールだけを整えても、利用者が理解していなければ守られません。教育だけを行っても、端末やアカウントを制御できなければ事故は止まりません。技術だけを導入しても、例外承認や事故時の連絡先がなければ運用上の抜けが残ります。
最初に押さえる基本対策
テレワークでは、影響が大きく、抜けやすい項目から着手します。最低限、認証、端末管理、アクセス制御、データ保護、通信の保護、ログ、インシデント対応は分けて点検します。
認証を強化する
社外からのアクセスでは、IDとパスワードだけに頼る運用は避けます。多要素認証、端末認証、デジタル証明書、強度のあるパスワード、不要アカウントの停止、管理者権限の限定、初期パスワードの変更を確認します。デジタル証明書は、利用者本人の確認に加え、許可された端末かどうかを確認する選択肢になります。特に管理者アカウントと重要情報へアクセスするアカウントは、優先度を上げます。
端末を管理する
端末管理では、利用を許可した端末だけを把握し、OSやアプリを更新し、画面ロック、暗号化、紛失時の停止や遠隔消去を用意します。持ち出しPC、スマートフォン、タブレットがある場合は、MDMなどの管理手段も検討対象です。私物端末を認める場合は、会社支給端末と同じ前提で扱わないことが肝心です。
アクセス権限を絞る
テレワークでは、社外から業務システムやクラウドサービスへアクセスする場面が増えます。利用者、端末、接続元、職務、扱う情報に応じてアクセス範囲を絞ります。正しい利用者であっても、許可されていない端末からの接続は止める、といった条件も検討対象です。共有フォルダやクラウドストレージの権限が広すぎると、誤共有やアカウント侵害時の影響が大きくなります。
データ保存と共有を制御する
ファイルの保存先と共有範囲は、事故の原因になりやすい領域です。端末への保存、印刷、外部記録媒体、クラウドストレージ、共有リンク、オンライン会議の録画ファイルを分けて、許可条件を定めます。共有リンクの期限、パスワード、外部共有の承認者、退職者アカウントの停止も確認項目です。
通信経路と接続先を確認する
社外から業務システムやクラウドサービスを使う場合、通信の暗号化、接続先URL、無線LANの暗号化方式、VPN利用条件を確認します。VPNやリモートアクセスの入口では、通信経路だけでなく、利用者と端末をどの強度で確認するかも重要です。公共のWi-Fiでは、周囲の環境や接続先の正当性も問題になります。通信だけを守っても、端末やアカウントが弱ければ事故は防げません。
ログを残し、確認する
ログは、事故後に原因を追うためだけの記録ではありません。平時の不審なアクセス、権限変更、外部共有、管理者操作を見つける材料にもなります。VPN接続ログ、クラウドサービスのアクセスログ、ファイル共有ログ、管理者操作ログをどこに残し、誰が確認するのかを決めます。勤怠記録とセキュリティログは目的が違うため、混同しないようにします。
インシデント対応を事前に決める
端末紛失、不審メール、誤送信、アカウント侵害の疑いが出たとき、最初の連絡先と止める対象が決まっていなければ対応が遅れます。緊急連絡先、アカウント停止、端末隔離、ログ保全、関係部署への連絡、復旧確認を短い手順にしておきます。セキュリティインシデント時は、報告を迷わせない設計が必要です。
経営者・管理者・勤務者の役割を分ける
テレワークセキュリティは、情報システム部門だけの仕事ではありません。総務省ガイドラインでは、経営者、システム・セキュリティ管理者、テレワーク勤務者の役割が分けて整理されています。役割を分けないまま「気をつける」で済ませると、投資、設定作業、日々の順守が曖昧なまま残ります。
経営者の役割
経営者は、守る情報、許容できないリスク、体制、予算、責任者を決めます。業務継続や働き方改革のためにテレワークを続けるなら、セキュリティ対策も業務基盤への投資として扱います。事故が起きた後に現場だけへ責任を寄せる運用では、対策は定着しません。
システム・セキュリティ管理者の役割
管理者は、経営方針を具体的な設定と運用へ落とします。端末、アカウント、権限、ログ、教育、例外承認、インシデント対応の手順を作り、定期的に見直します。例外を認める場合も、対象者、期間、承認者、記録方法を残します。
テレワーク勤務者の役割
勤務者は、ルールを理解し、端末と認証情報を適切に扱い、異変があれば報告します。不審メール、端末紛失、共有設定の誤りは、早く報告するほど影響を抑えられます。報告した人を責める文化があると、初動は遅れます。報告しやすい連絡窓口も対策の一部です。
テレワーク方式ごとに対策は変わる
総務省ガイドライン第5版では、代表的なテレワーク方式として、VPN方式、リモートデスクトップ方式、仮想デスクトップ(VDI)方式、セキュアコンテナ方式、セキュアブラウザ方式、クラウドサービス方式、スタンドアロン方式が整理されています。方式が変わると、端末にデータが残るか、社内ネットワークへ接続するか、クラウド側の権限管理が重くなるかが変わります。
一方、中小企業等担当者向けの手引きでは、会社支給端末と個人所有端末を分けた8区分でチェックリストが用意されています。総務省ガイドラインの7方式と、チェックリストの8区分は目的が異なる整理です。方式名だけを拾うのではなく、自社の端末所有形態と接続方式を合わせて確認します。
| 方式 | 重点対策 |
| VPN方式 | 社内ネットワークへ接続する範囲、端末の状態、VPN機器の更新、多要素認証、端末認証、証明書認証、接続ログ |
| リモートデスクトップ方式 | 接続先PCの稼働管理、多要素認証、端末条件、画面転送、端末側へのデータ保存、接続ログ |
| 仮想デスクトップ(VDI)方式 | 仮想基盤の権限管理、利用者認証、端末条件、多要素認証、ログ、基盤障害時の代替手段 |
| セキュアコンテナ方式 | 業務領域と私用領域の分離、データ移動制御、紛失時削除、端末条件、接続時の認証 |
| セキュアブラウザ方式 | ダウンロード制御、画面コピー、閲覧範囲、利用者認証、端末認証、利用ログ、私物端末の条件 |
| クラウドサービス方式 | アカウント管理、多要素認証、端末条件、権限、外部共有、監査ログ、責任分界、退職者アカウント停止 |
| スタンドアロン方式 | データ持ち出し、外部記録媒体、端末紛失、ファイル暗号化、作業後の回収・削除 |
方式ごとの長所と制約は、テレワーク方式の比較で横並びに確認できます。自社条件から方式を絞る場合は、テレワーク方式の選び方へ進んでください。
BYODを認める場合の注意点
BYODは、テレワーク方式そのものではなく、個人所有端末を業務に使う運用条件です。VPN方式でも、クラウドサービス方式でも、セキュアブラウザ方式でも、BYODを含めると端末統制の難しさが増します。
私物端末は、OS更新、セキュリティソフト、家族との共用、私用アプリ、データ保存、紛失時対応を会社側が制御しにくい場合があります。業務で扱う情報の範囲、端末への保存可否、画面ロック、暗号化、退職時の削除、サポート対象を先に決めます。利用者本人であることと、業務利用を許可した端末であることは分けて確認します。詳しくは、BYODでテレワークを行う場合で整理します。
よくある事故と防止策
不審メールの添付ファイルやURLを開く
在宅勤務では、隣の席へすぐ相談できないため、不審メールへの対応が個人任せになりがちです。フィッシング詐欺、なりすまし、添付ファイル、偽のログイン画面への誘導を想定し、訓練、報告先、メールフィルタ、端末更新を組み合わせます。
共有リンクや会議URLを広く公開する
ファイル共有やオンライン会議は便利ですが、共有範囲を誤ると関係者以外へ情報が届きます。外部共有の承認、URLの再転送禁止、期限付きリンク、会議の待機室、参加者確認、録画ファイルの扱いを決めます。
端末を紛失する
ノートPCやスマートフォンは、移動中、カフェ、交通機関、自宅外の作業場所で紛失や盗難に遭う可能性があります。画面ロック、端末暗号化、遠隔ロック、遠隔消去、緊急連絡先、利用停止手順を用意します。
家庭内や外出先で画面・音声が漏れる
家族がいる場所で顧客情報を表示する、オンライン会議の音声が周囲へ聞こえる、外出先で画面を見られる。こうした漏えいもテレワーク特有のリスクです。作業場所、ヘッドセット、のぞき見防止フィルター、会議資料の表示範囲を運用ルールに入れます。
中小企業はチェックリストから始める
専任のセキュリティ担当者がいない組織では、総務省の「中小企業等担当者向け テレワークセキュリティの手引き(チェックリスト)」を使うと、着手順を決める材料になります。この手引きは、会社支給端末か個人所有端末か、VPN・リモートデスクトップ方式か、クラウドサービス方式か、スタンドアロン方式か、セキュアブラウザ方式かを分け、方式ごとに対策を確認する構成です。
まずは、許可端末の把握、重要情報の把握、マルウェア対策、アクセス制御、のぞき見防止、スクリーンロック、OS更新、インシデント時の連絡体制、多要素認証など、効果が高く着手しやすい項目から埋めます。すべてを一度に完璧にしようとするより、方式ごとの最低限を先に埋め、次に発展的な対策へ進む方が現実的です。
次に読む記事
| 確認したいこと | 次の記事 |
| 公式資料の要点 | テレワークセキュリティガイドライン・チェックリストの要点を整理 |
| 方式ごとの違い | テレワーク方式の比較 |
| 自社に合う方式 | テレワーク方式の選び方 |
| 社内ルール | テレワークのルール整備とは? |
| 私物端末 | BYODでテレワークを行う場合 |
まとめ
テレワークセキュリティは、社外から安全に接続する仕組みだけではありません。対象業務、扱う情報、端末、勤務場所、接続方式、事故対応を決め、ルール、人、技術を組み合わせる必要があります。
最初に整えるべきなのは、認証、端末管理、アクセス制御、データ保存と共有、通信経路、ログ、インシデント対応です。認証では、多要素認証に加え、端末認証やデジタル証明書をどこで使うかも検討します。そのうえで、VPN方式、リモートデスクトップ方式、VDI方式、クラウドサービス方式など、自社の方式に合わせて対策を変えます。
全体方針を掴んだら、次はテレワークセキュリティガイドライン・チェックリストの要点で、公式資料の読み方と実務への落とし込みを確認してください。
参考情報
よくある質問
Q.テレワークセキュリティで最初に整理することは何ですか?
A.最初に整理するのは、対象業務、扱う情報、利用端末、勤務場所、接続方式、事故時の連絡先です。製品や方式を先に選ぶより、社外で何をどこまで扱うのかを固めた方が、対策の抜けを減らせます。
Q.テレワークではなぜセキュリティリスクが高くなりますか?
A.働く場所、端末、通信経路、クラウドサービス、周囲の環境が分散するためです。オフィスでは会社側で管理できていた入退室、端末、ネットワーク、書類保管の前提が弱まり、紛失、盗難、のぞき見、誤共有、不正アクセスの発生点が増えます。
Q.総務省のテレワークセキュリティガイドラインは何に使いますか?
A.テレワーク方式の選定、方式別の注意点、経営者・管理者・勤務者の役割、共通対策、トラブル事例を確認するために使います。個別製品の導入前に、自社の方式と守る情報を整理する根拠になります。
Q.ルール・人・技術とは何ですか?
A.ルールは社内規程や手順、人は教育・順守・報告、技術は認証、端末管理、アクセス制御、ログ、暗号化などの対策です。どれか一つだけでは弱点が残るため、三つを組み合わせて設計します。
Q.多要素認証はどこから導入すべきですか?
A.社外から利用する業務システム、クラウドサービス、管理者アカウント、重要情報にアクセスするアカウントから優先します。全社一括が難しい場合でも、被害時の影響が大きい認証経路から適用します。端末確認が重要な業務では、デジタル証明書も選択肢になります。
Q.端末管理では何を確認しますか?
A.会社支給端末か私物端末か、OSやアプリを更新できるか、暗号化できるか、紛失時に利用停止や遠隔消去ができるかを確認します。許可していない端末から業務情報へアクセスできない設計も必要です。
Q.ログは何のために残すのですか?
A.誰が、いつ、どこから、どの情報やシステムへアクセスしたかを後から追跡するためです。平時の不審アクセスの発見にも、事故後の範囲特定にも使うため、保存対象、保存期間、確認担当を決めておきます。
Q.クラウドサービスを使えば安全になりますか?
A.クラウドサービスを使うだけで安全になるわけではありません。アカウント管理、権限設定、外部共有、監査ログ、退職者アカウント停止、責任分界の確認は利用者側にも残ります。
Q.BYODはテレワーク方式の一つですか?
A.BYODは方式そのものではなく、個人所有端末を業務に使う運用条件です。VPN方式やクラウドサービス方式など、どの方式でもBYODを認めると端末統制が難しくなるため、別の条件として整理します。
Q.事故が起きたときの初動で何を決めておくべきですか?
A.連絡先、報告項目、アカウント停止、端末隔離、ログ保全、関係部署への連携を決めておきます。端末紛失、不審メール、誤送信、不正アクセスの疑いごとに、最初の行動を短く書いた手順があると対応が遅れません。
ピックアップ Pick up
-
インタビュー顧客ごとに最適なSASEを見極め、提供するリコージャパンの取り組み ― Soliton OneGateの認証を組み合わせ、更に安心して使える環境に ―
-
インタビュー情報資産の確実な保全に向けて ― バッファロー、ソリトン、パトライトの3メーカーで取り組む、危機を「見える」「聞こえる」形で捉えるソリューション ―
-
インタビューBUFFALO「AirStation Pro」のセキュリティはなぜ強固?JC-STARとデジタル証明書認証
-
インタビューFNETSが描く次世代セキュリティ像「セキュアアクセス+」とは?その認証で果たすソリトンの役割
-
インタビュー消防DXで命を守るNEC、 その信頼を支えるソリトンセキュリティ
-
インタビュー手軽で高機能な無線ネットワーク「Cisco Meraki」と認証で果たすSoliton OneGateの役割
タグ Tag
金融
流通・小売
医療
エネルギー
運輸
サービス
情報通信
中央省庁・独法
自治体・地方公共団体
教育・文教
認証
エンドポイント
ネットワーク
ゼロトラスト
販売店インタビュー
メーカーインタビュー
セミナーレポート
展示会・フェアレポート
サイバーセキュリティ
リモートアクセス
テレワーク
社内LAN
無線LAN
プロダクト検証
サプリカント設定
技術解説記事
調査報告
Windows
iOS
macOS
Android
ChromeOS
DHCP/DNS
Soliton OneGate
NetAttest EPS
NetAttest D3
SmartOn ID
InfoTrace 360
Soliton SecureBrowser
Soliton SecureDesktop
WrappingBox
FileZen S
VVAULT
コラム
調査レポート目次
Soliton SecureWorkspace
HiQZen
外部リンク
VVAULT AUDIT
サイバー攻撃
SASE
