IT用語集 2022/05/16

テレワーク導入における企業のセキュリティ対策

多くの企業で採用され、今や当たり前のようになったテレワークですが、テレワークならではのセキュリティリスクが存在することを忘れてはいけません。これからテレワークを導入する企業や、必要に迫られて急いで環境を整えたという企業は、いま一度「テレワークにおけるセキュリティ対策」の基本を押さえておくとよいでしょう。

企業がテレワーク（リモートアクセス）環境を導入する際、セキュリティ対策を最も重視していることが「企業ネットワーク及び関連システムに関する調査」からも確認できます。

この記事では、テレワーク導入にともなうセキュリティリスクの代表例を整理したうえで、それらを軽減するための基本的な対策（ルール・人・技術）を解説します。加えて、現場でつまずきやすい「運用の落とし穴」も取り上げ、導入後に形骸化しないための考え方を補足します。

テレワーク導入にともなうセキュリティリスク

テレワークはオフィスから離れて仕事をする働き方です。端末をオフィス外に持ち出し、外部から社内ネットワークや業務システムに接続するため、セキュリティ対策が欠かせません。

テレワークにおけるセキュリティリスクとしては、次のようなものが挙げられます。

端末の紛失・盗難
情報漏えい
不正アクセス（なりすまし）
マルウェア感染

端末を社外に持ち出すため、データを保存した端末の紛失・盗難がそのまま情報漏えいにつながるリスクがあります。また、端末上に認証情報（IDやパスワード、ログイン状態など）が残っていると、社内ネットワークやクラウドサービスへ不正アクセスされる恐れもあります。

ただし、情報漏えい・不正アクセスは端末を紛失・盗難したときだけに起こるものではありません。たとえば、セキュリティ対策が十分ではないネットワーク（公衆Wi-Fiや家庭内ネットワークなど）でテレワークを行うと、通信内容の盗聴や、フィッシング等による認証情報の窃取をきっかけに、不正アクセスへつながる可能性があります。

また、テレワークでは「オフィスにいれば自然に守られていた前提」が崩れやすい点にも注意が必要です。具体的には、家族がいる空間での画面のぞき見、業務端末の私用利用、私物USBの接続、書類の持ち出しや印刷物の管理不備など、ヒューマンエラーが事故の起点になるケースもあります。

さらに、テレワークで管理すべき端末が増えると、更新漏れや設定ミスなど「管理が行き届かない端末」が出やすくなります。結果として、脆弱性が放置され、マルウェア感染などのリスクが高まります。

安全なテレワークを実現するためには、次に紹介するようなセキュリティ対策が欠かせません。

テレワークのセキュリティ対策

テレワークのセキュリティ対策では「ルール」「人」「技術」のバランスが重要です。ここでは、基本として押さえたい7つの対策を紹介します。

ルール作り

テレワークを利用する際のルールは、事前に策定しておくことが重要です。業務の都度「これは安全か」を判断して対策を講じるのは効率的ではありません。

また、従業員に判断を任せきりにしてしまうと、人によってセキュリティの強弱が生まれてしまいます。そうならないためにも、事前に「安全に仕事をするためのルール」を策定し、従業員に周知徹底したうえで、守ってもらえる状態を作りましょう。

たとえば、利用可能な端末の範囲、データの持ち出し可否、画面ののぞき見対策、公衆Wi-Fi利用の扱い、クラウドサービス利用のルール、インシデント時の連絡手順などを明確にしておくと運用が安定します。

特に「やってはいけないこと」を箇条書きで示すだけでなく、現場で迷いやすい例（例：個人クラウドへの一時保存、家庭用プリンターでの印刷、フリーWi-Fiでの会議参加、私物スマホでのメール確認など）まで想定しておくと、ルールが“実務で使える”形になります。

社員教育

テレワークのセキュリティ対策の「ルール」「人」「技術」のなかでは、「人」の部分が最も難しいといわれています。ルールを定めても守らなければ意味がありません。

テレワークでは離れて仕事をしているため、ルールが守られているかを常に確認することは難しいでしょう。ルールを習慣として定着させ、自然と守ってもらうためには、繰り返しの社員教育が重要です。

社員教育を通して、ルールの背景（なぜ必要か）まで理解してもらうことで、フィッシングや標的型メールなど、判断が求められる脅威への耐性も高められます。

教育は「年1回の研修」だけで完結させず、短い注意喚起の定期配信や、疑似フィッシング訓練、インシデント事例の共有など、小さな反復で“思い出す機会”を作ると定着しやすくなります。

クラウド利用の管理

テレワークとあわせてクラウドサービスの業務利用も増えました。クラウドサービスはインターネットにつながっていればどこからでもアクセスできる一方、管理が不十分だと情報漏えいなどにつながりかねません。

業務で利用できるクラウドサービスは限定し、従業員に周知徹底することが重要です。また、社内ネットワークからは許可されたクラウドサービスにしかアクセスできないように制限をかけることも有効です。

加えて、クラウドの事故で多いのは「サービス自体の危険性」よりも、共有設定や権限、外部共有の扱いなどの“設定・運用”です。社内の標準（共有範囲の基準、外部共有の申請フロー、退職・異動時の権限回収、アカウント発行手順）を決めておくと、シャドーITの温床も減らしやすくなります。

ログの収集・管理

テレワークでは従業員が離れた場所で仕事をしているため、業務状況を直接確認できません。「誰が」「いつ」「どこから」「どのような」アクセスをしているのかを把握するためにも、ログの収集・管理を行いましょう。

ログを管理しておくことで、不正アクセスなどが発生した際に通常とは異なる挙動を検知しやすくなり、早期発見につながります。

ただし、ログは「取っているだけ」では意味がありません。確認する観点（例：深夜帯のログイン、海外からのアクセス、短時間での多数失敗、普段使わないアプリへの接続、端末の入れ替わり）と、異常時の初動（誰に連絡し、何を止め、何を確認するか）まで決めておくと、インシデント対応が現実的になります。

データの暗号化

端末を社外に持ち出すことから、社外秘のデータなどを保存した端末の紛失・盗難は情報漏えいにつながります。これらを軽減するためには、端末に保存するデータ自体を暗号化することが有効です。

データが暗号化されていれば、仮に端末を紛失・盗難されたとしても情報漏えいのリスクを下げられます。また、社外に持ち出す端末はデータを保存できなくし、リモートアクセス中心で利用する「シンクライアント端末」の活用も選択肢のひとつです。

暗号化とあわせて、画面ロックの強制、OSの標準機能による端末保護、リモートワイプ（遠隔消去）なども組み合わせると「紛失しても事故にしない」設計に近づきます。運用面では、紛失時の連絡手順と初動（アカウント停止、端末の無効化、アクセスの遮断）を、ルールとして具体化しておくことが重要です。

VPN利用

VPN（Virtual Private Network）は、仮想的な専用線を構築する技術です。通信内容は暗号化されるため、インターネットを介して社内ネットワークに接続する場合でも盗聴リスクを軽減できます。

自宅などから社内のパソコンにリモートデスクトップ接続する際にも利用され、安全な通信経路を確保する手段として広く採用されています。

一方で、VPNは「通信経路を暗号化する」仕組みであり、なりすまし（認証情報の窃取）や、端末がマルウェアに感染した状態での接続まで自動的に防げるわけではありません。テレワークでは、VPNに加えて認証強化（多要素認証など）や端末の状態確認、アクセス範囲の最小化（必要なシステムだけに到達できる設計）を組み合わせることが重要です。