テレワーク（在宅勤務）のセキュリティリスクと対策とは？

2019年11月末に突然発生した新型コロナウイルス感染症（COVID-19）。発生からまもなく1年が経とうととしています。 感染拡大防止のため政府から推奨されたことによってテレワークが急速に普及することとなり、いまやすっかり定着した感があります。あらためて、テレワークを導入するうえで注意すべき課題とその対策について整理したいと思います。

1.テレワーク導入による課題

テレワーク導入の課題として、多くの企業が挙げているのが情報セキュリティの確保です。 総務省が実施した「ICT利活用と社会的課題解決に関する調査研究」では、テレワーク導入を検討している企業の導入にあたっての課題は、情報セキュリティの確保が一番の課題となっています。

では、どのようなセキュリティリスクがあるのでしょうか？ リスクを理解するためには、まずは利用者がどのような情報を社外の環境で扱うのかをよく把握し、扱う場所におけるリスクを洗いだすことが肝要です。以下に一例をあげてみます。

①PCや記録媒体の紛失

テレワークを実施する際、業務用PCやUSBメモリ、HDDといった機器・記録媒体の社外持ち出しが必要となる可能性があります。しかし、持ち出し時に物理的な紛失や盗難による情報漏えいのリスクが存在します。

②家庭内ネットワーク利用

ホームルーターのセキュリティ上の不備があると、悪意を持った第三者により、不正侵入、ネットワークに接続する端末や機器が不正なサイトへの誘導（フィッシング）や、マルウェア（不正かつ有害に動作させる意図で作成された、悪意のあるソフトウェアや悪質なコード）感染などの被害に遭うリスクが高まります。また、社内ネットワークに侵入するための踏み台として、家庭内ネットワークが悪用される可能性があります。

③個人端末利用

十分なセキュリティ対策が施されていない個人端末を使用することで、セキュリティリスクが高まります。また、個人端末が既にマルウェアに感染していることも想定されます。その他にも端末の紛失や、家族・知人の端末利用時に情報漏えいする可能性があります。

④マルウェア感染

業務に無関係なWebサイトの閲覧や不必要なソフトウェアのインストールによるマルウェア感染が懸念されます。悪意を持った第三者による不正サイトへの誘導(フィッシング)など様々な感染経路が想定されます。マルウェアに感染してしまうと、業務停止や情報漏えいなど様々な被害が発生する可能性があります。また、テレワーク環境でマルウェアに感染した端末をそのまま社内で使用することで、社内ネットワークに拡散する恐れがあります。

⑤内部不正

機密情報の持ち出しなど、内部不正のリスクは高まっています。IPA（情報処理推進機構）の「情報セキュリティ10大脅威2020」では、「内部不正による情報漏えい」は2位となっており、昨年の5位よりランクアップしています。また、テレワークでは周りに監視する人がいないため、不正のリスクが高くなります。

⑥脆弱性が内在するアプリケーションの利用

テレワークの実施においてチャットツールやWeb会議システムなど、情報連携を行う上で必要不可欠ですが、セキュリティ対策が万全ではない可能性があります。2020年4月3日にIPA（情報処理推進機構）より、ビデオ会議システム「Zoomの脆弱性対策について」の注意喚起が発表されています。セキュリティ対策が万全であったとしても、ユーザ側の過失によって情報漏えいなどのトラブルが発生する可能性があります。在宅勤務では社員間でのコミュニケーションが取りづらく普段より騙されやすい環境にあるため、注意が必要です。

２.セキュリティ対策

それでは、リスクへの対策にはどのようなものがあるでしょうか？対策には多岐にわたる観点が必要であり、システム管理者ならびにシステム利用者の双方が良く理解をして運用する必要があります。テレワークは企業が定めるポリシーに従って行動するのが原則です。システム利用者の理解として重要な点として、社内の整備されたセキュリティ環境外で業務を行う場合は、普段以上に注意を払って行動しましょう。企業・団体向けのテレワークにおける基本対策を以下にまとめました。

【システム管理者向け対策】

① 情報セキュリティ保全対策

• ・テレワーク勤務者の情報セキュリティに関する認識を確実なものにするため、定期的に教育、啓発活動を実施する
• ・情報セキュリティ事故の発生に備え、迅速な対応がとれるように連絡体制を整備する

② 端末の紛失・盗難に対する対策

• ・貸与するテレワーク端末や記録媒体の所在や利用者等を管理する
• ・貸与用のテレワーク端末に多要素認証の設定、HDDの暗号化を行う

③ マルウェア対策

• ・貸与用のテレワーク端末にウイルス対策ソフトをインストールし、最新の定義ファイルが適用されているようにする
• ・貸与用のテレワーク端末のOSおよびソフトウェアのバージョンは常に最新に保つ
• ・個人端末利用を許可する際は、その端末に必要な情報セキュリティ対策が施されていることを確認する
• ・不必要なソフトウェアの使用、業務外のWebサイト閲覧ができないよう設定する

④ 不正アクセス対策

• ・リモート環境からの情報資産へのアクセス制限設定を行う
• ・なりすましや不正アクセスを防ぐため、多要素認証を導入する
• ・社内システムとインターネットの境界にセキュリティ対策機器を設置し、ログを監視する
• ・社内システムにアクセスする際のアクセス方法を定め、アクセス状況を監視し不必要なアクセスは遮断する
• ・社内システムへのアクセス用のパスワードは、強度の低いものは使用できないよう設定する

⑤外部サービス利用に対する対策

• ・外部サービスの利用ルールを整備し、情報漏えいにつながる恐れのある利用を禁止する

【テレワーク利用者向け対策】

① 情報セキュリティ保全対策

• ・テレワーク作業中は、利用する情報資産の管理責任を自らが負うことを自覚し、情報セキュリティポリシーが定める技術的・物理的及び人的対策基準に沿った業務を行う
• ・情報セキュリティ事故の発生に備え、迅速な対応がとれるように連絡体制を確認する

② マルウェア対策

• ・個人端末利用時はOSおよびソフトウェアのバージョンは常に最新に保つ
• ・ソフトウェアの利用ルールに従い、許可されていないソフトウェアを利用しない
• ・新しいソフトウェアのインストールが必要な場合は管理者へ確認する
• ・不審なメールに添付されたファイルやリンクを不用意に開かない

③ 不正アクセス対策

• ・社内システムにアクセスする際は、システム管理者が指定したアクセス方法のみを用いる
• ・社内システムへのアクセス用のパスワードは強固なものにし、使い回しを避ける
• ・家庭内ネットワーク利用時は、ホームルーターなどのパスワード設定が初期のまま使用しない

④ 外部サービス利用に対する対策

• ・ビデオ会議用の招待メールやURLなどは公開しない
• ・外部サービスの利用ルールに従い、不必要なサービスを無許可で利用しない

⑤ 重要情報の盗難対策

• ・機密性が求められるデータをやり取りする際は、必ず暗号化する
• ・第三者と共有する環境で作業を行う場合、覗き見防止フィルターや作業場所を考慮し、覗き見防止に努める

3.まとめ

テレワークのセキュリティ対策を入念に行ったとしても、100%問題が起こらないと言い切れるものではありません。例えば、在宅ワークをしている社員が、自宅のネット環境に繋いでいたPCでウイルス感染してしまった場合、一度被害が出てしまうと、感染被害を広げないために、LANケーブルを抜く、もしくは無線LANをオフにすることが必要です。一方で、企業のヘルプデスクが遠隔地から感染デバイスを確かめようにも、ネットワークを通して連絡を取ることができなくなります。このような状況に対応できるよう、セキュリティ問題を防ぐ対策だけでなく、実際に被害を想定したレポートラインや対応方法をしっかりと共有しておきましょう。