ZENMU Virtual Drive
2018年に成立した「働き方改革関連法」や新型コロナウイルスの影響により、テレワークを導入する企業が増えています。総務省の「令和5年版 情報通信白書」によると、2023年(令和5年)に総務省が実施した調査で、テレワーク導入済の企業が51.7%と過半数を占めていることがわかります。
一方、テレワークの推進と共に懸念されるのがセキュリティ問題です。自宅やサテライトオフィスなどの慣れない環境で働く人が増えた結果、情報漏えいやウイルスの感染といったリスクが高まりつつあります。
テレワークを導入するにあたり、企業はどのような対策を行えばよいのでしょうか。3つの観点から探っていきましょう。
※本記事に掲載している情報は2024年9月時点のものです。
目次
ZENMU Virtual Drive Enterprise Edition
テレワークでの安全・快適なPC利用に
PCの社外持ち出しに関する課題を解決します。
働き方改革や新型コロナウイルスの影響によりテレワークが推進されると同時に、徐々にセキュリティリスクも高まりつつあります。
総務省の「令和5年版 情報通信白書」によると、2019年には20.2%だったテレワーク導入率が、2020年には47.5%にまで拡大。上記のインシデント報告件数が急増したタイミングと重なります。
インシデントが増えた理由はほかにもありますが、主にテレワーク導入率の向上がインシデントの増加に大きな影響を与えているといっても過言ではありません。
テレワークが増えるに連れてインシデントが急増した原因は、以下の2点が考えられます。
新型コロナウイルスの影響により、巣ごもり生活といったライフスタイルの変化だけではなく、自宅で勤務する機会も増えてきました。自宅で勤務する際でも、もちろん企業の機密情報を扱うわけですが、その情報を狙った犯罪が増加しています。
たとえば、危機感をあおるようなメールを送信し、そこからフィッシングサイトなどへアクセスさせ情報を盗み出すというような手口です。
テレワーク中は社員一人ひとりの細かい行動まで会社側が把握できるわけではありません。仕事の息抜きにと、社内から持ち出したPCでネットサーフィンを行い、悪質なサイトからウイルスに感染する可能性も潜んでいます。
また、機密情報を含んだメールを安易に送信してしまい、その情報が外部に漏えいする危険性もあります。
テレワークを実施するうえでもっとも注意しなければならないセキュリティ問題は、情報漏えいリスクです。特に、企業ではさまざまな機密情報や顧客の個人情報を扱っていることもあり、情報が漏えいした場合のダメージは計りしれません。
セキュリティ事故に備えるためには、まずは情報漏えいを引き起こす原因から探っていきましょう。
テレワークだからといって必ずしも自宅だけで仕事をするわけではありません。ときにはカフェやカラオケ店、サテライトオフィスなどで仕事をすることもあるでしょう。
その際、重要な情報が記載された紙の資料やUSBメモリを置き忘れたり、紛失してしまったりして情報が漏れてしまう恐れがあります。また、カフェでPCを使用しているときにトイレに行き、その間に内部データを閲覧されてしまう可能性も考えられます。
カフェやカラオケ店の一部では、公衆Wi-Fiサービスを利用できます。公衆Wi-Fiは安全に利用できるものも多い一方、有名なWi-Fiサービスに見せかけて悪質なサービスを提供しているケースもあります。
悪質なWi-Fiに接続すると、そのネットワークから情報を盗み取られ、情報漏えいに発展する恐れもあるので注意しなければなりません。
テレワークを実施するにあたり、さまざまなクラウドサービスを利用することも多いでしょう。たとえば仮想デスクトップやオンラインストレージサービスなどです。
こうしたサービスはテレワークの利便性を高める有効な手段ですが、サービス会社のサーバー経由で利用する以上、セキュリティもサービス会社に依存するので注意が必要です。
セキュリティが脆弱な企業のサービスを利用してしまうと、クラウドサービス経由でウイルスに感染してしまう恐れもあります。よって、セキュリティが万全なサービスを選び分けることが重要です。
ショルダーハックとは、PCやスマートフォンを見ている背後から情報を盗聴される不正行為です。カフェの窓際などでPCを開いていると、その後ろから簡単に画面を覗き見ることができるため、テレワークを実施する環境には注意しなければなりません。
悪意のある第三者ではなく、社員自身が不正行為を働く可能性も視野に入れておきましょう。特にテレワークの環境下においては各社員の細かい行動まで把握することが難しいため、社外に持ち出したハードディスクなどから情報を不正に窃取されてしまう恐れがあります。
また、もともとは悪意がなくても、テレワークの環境で緊張感が途切れてしまい、つい悪事に手を染めてしまうというケースも考えられます。
ここでは、テレワーク時に発生したセキュリティ事故の事例を5つご紹介します。実際に発生したケースを知ることで、セキュリティリスクを身近なものと感じることができ、セキュリティ対策の重要性を理解するのに役立つでしょう。
2023年、国内で大手コンビニエンスストアを運営する企業の従業員が、帰宅途中に立ち寄った先のロッカーにノートPCを入れたカバンを預け、カバンごと盗まれる事案が発生しました。盗まれたPCには、コンビニ約30店舗のアルバイト従業員に関する氏名・住所・性別・電話番号・銀行口座・時給などの個人情報が保存されていましたが、ログインパスワードを設定しており第三者への情報漏えい、不正使用などは確認されていません。
2022年、某市役所から給付金事務を受託していた企業の従業員が泥酔し、市民の個人情報が入ったUSBメモリをカバンごと紛失しました。個人情報には、全市民約50万人の住民基本台帳の情報、住民税の情報、非課税世帯等臨時特別給付金の対象世帯の情報、生活保護受給世帯・児童手当受給世帯の口座情報などが含まれ、市民から2日間で3万件以上の問い合わせがありました。その後、USBメモリは発見され、同市は「情報が流出した事実は確認できていない」としていますが、市と受託企業は第三者委員会を設置して、原因の分析と再発防止策の検討を行っています。
2020年、航空・宇宙事業などを手がける国内の大手企業グループで、外部からの不正な通信を検知しました。これは、在宅勤務中の従業員が社内ネットワークを経由せず、外部ネットワークからSNSを利用したときに、第三者からウイルスを含んだ不正ファイルをダウンロードしたことで、会社貸与のPCがウイルス感染、出社時に当該PCを接続し、会社のネットワークが感染したことが原因です。その後の調査では、従業員の氏名やメールアドレスなどの個人情報のほかに、サーバーのログやサーバーの設定情報などが流出したことが確認されました。
2023年、航空宇宙技術の開発などを手がける政府機関が、VPN機器のぜい弱性を狙った攻撃による不正アクセスを受け、一部のサーバーと端末に侵入される事案が発生しました。未知のマルウェアが複数使用されていたため検知できず、職員の個人情報が漏えいするとともに、正規のユーザーを装ってMicrosoft 365に不正アクセスしたことも確認されています。マルウェアの進化とともに、VPN機器のぜい弱性を狙った攻撃は増加しており、十分な対策が必要です。
近年、PCやタブレット端末、スマートフォンなどを利用して、ウェブサイトを閲覧しているときに、突然「ウイルスに感染しています」「至急サポートセンターに電話をしてください」などの偽の警告が表示されるケースが増えています。ポップアップの内容にしたがって電話をかけたらPCを遠隔操作され、サポート料として金銭を請求されたという被害も発生しているため注意が必要です。
テレワークのセキュリティ対策は、「体制整備・技術的対策・物理的対策」の3つの観点から総合的に実施する必要があります。いずれか1つでも欠けてしまうと情報漏えいリスクが高まってしまいます。
たとえばセキュリティ体制が脆弱だと事故が起きたときの対処が遅れてしまうといったように、「体制整備・技術的対策・物理的対策」の3つの観点をバランスよく構築するようにしましょう。
まずは、社内ルールや組織体制の整備から始めます。体制整備に必要な対策方法は次の4点です。
総務省では、テレワークを実施する企業の指針となる「テレワークセキュリティガイドライン」を公表しています。2018年4月に5年ぶりに改訂され、新しい時代に合った働き方やセキュリティ対策の考え方がまとめられています。
社内のセキュリティ体制、特に社内用セキュリティガイドラインを作成する際に便利です。
上記の「総務省テレワークセキュリティガイドライン」を参考に、社内用のガイドラインを作成していきましょう。
セキュリティガイドラインとは、情報セキュリティにかかわる組織内の基本方針や行動指針を定め、明文化した資料です。テレワークを行ううえで順守すべきセキュリティ対策の考え方をまとめておくことで、社内のセキュリティ方針や行動指針を統一できます。
以下は、ガイドラインの内容の一例です。
セキュリティガイドラインを策定したあとは、その内容に沿ってテレワークの環境を整え、問題があればガイドラインを見直すことが大切です。時代の変化や社員の働き方に合わせ、内容を徐々にアップデートしていきましょう。
上記のガイドラインはあくまでセキュリティ対策にまつわる指針(考え方)です。この考え方をより実務レベルに落とし込むためには、明確なテレワークルールを策定しておきましょう。以下はその一例です。
セキュリティに関するルールが社員全員に共有できるよう、情報の周知徹底が必要です。いくらガイドラインやルールを整備したとしても、社員一人ひとりのセキュリティ意識が低ければトラブルが起きる可能性が高まります。
テレワークのルールを多数の社員で共有できる研修や会議を開いて情報の周知徹底を心がけましょう。
また、PCを持ち出す際に管理責任者の許可を得る「持ち出し許可申請書」や、トラブルが起きそうなときにルールを確認できる「チェックリスト」を作成するのも方法の一つです。
セキュリティ管理の情報をデータとして残しておくことで、責任の所在を明確にし、トラブルが起きたときでも迅速に対処できます。
不正なアクセスを未然に防ぐため、推測が容易な単純なパスワードを使用しない、同じパスワードの使いまわしをしないなど、パスワードを設定するときの社内ルールを作成しましょう。セキュリティ対策ソフトによっては、パスワードマネージャーと呼ばれるIDやパスワードを強固なセキュリティで管理できる機能が搭載されているため、利用することをおすすめします。
次に、技術的なセキュリティ対策を実施します。主な対策方法は次のとおりです。
データ暗号化とは、社外に送信するメールの添付ファイルやハードディスクなどの保管されたデータにパスワードを設定することです。機密情報を多数扱う企業にとっては欠かせないセキュリティ対策といえます。
また、PCを社外に持ち出す場合は、端末にパスワードを設定しておくことも大切です。自宅以外の場所で仕事をする場合、席を外した隙を狙ってPCを盗まれる恐れもあるため、パスワードの有無で情報漏えいリスクが大きく異なります。
テレワークで利用する端末のOSやソフトウェアは適度に更新しておきましょう。古いバージョンのOSやソフトウェアはサービス提供会社のサポート対象外になっていることが多いため、セキュリティの脆弱性を突いて不正アクセスやウイルス混入といった事故に発展しがちです。
最新バージョンがアップデートされたときは、なるべく早めに更新することをおすすめします。
テレワークで利用するPCにセキュリティソフトを導入するのも重要です。
テレワークではカフェなどで公衆Wi-Fiを使う機会も多いため、常に確実に安全なネットワークを利用するわけではありません。また、席を外したときに、USBメモリをPCに接続して直接ウイルスを混入させる手口も存在します。
こうした事態に備えるためにもウイルス対策ソフトなどのセキュリティソフトが必須です。
社内外をつなぐネットワークに脆弱性があると、悪質な第三者に不正アクセスされ社員の個人情報が流出する恐れがあります。そのため、テレワーク勤務者がより安心して業務を行えるように安全なネットワークを構築しておきましょう。
たとえば、外部ネットワーク利用時は規定のプライベートネットワークから暗号化通信を行うほか、公衆Wi-Fiでの業務を禁止する、セキュリティの高いキャリアのWi-Fiルーターを支給するといった方法が有効です。
システムやネットワークにログインする際には、IDとパスワードを入力するのが一般的ですが、悪意を持った第三者に知られてしまうと、不正ログインによる情報漏えいのリスクがあります。近年、認証技術の進化により、ID・パスワードのほかに、SMS認証やアプリケーション認証、顔認証や指紋認証など、2つ以上の要素を組み合わせることで不正ログインを防ぐ多要素認証の技術が提供されているため、積極的に活用しましょう。
最後に物理的なセキュリティ対策を構築していきます。主な対策方法は次のとおりです。
テレワークで働く際は、自宅やカフェ、サテライトオフィスといった業務環境を利用します。特に公共施設では、利用する端末の盗難や紛失、ショルダーハックによる情報漏えいなどのリスクが生まれます。
そのため、事前に業務環境の安全性を確保しておきましょう。たとえば、持ち出しPCを管理するための棚やロッカーの有無の確認、業務スペースの立ち入り制限など、業務を行う環境に応じてルールを作っておく必要があります。
社外で仕事を行う場合、機密情報が含まれた書類を外部に持ち出すケースもあります。その書類が入ったバッグをカフェや公共施設のトイレなどに置き忘れたり、離席した隙に盗まれたりする可能性もゼロではありません。
そこで、書類はすべてオンラインストレージ上で共有するなど、ペーパーレス化の体制を整えておくことも重要です。
テレワークで利用する端末は、「持ち出しPC」「持ち出しHDD」など専用端末を用意しておきましょう。
普段から社内で使っている端末には重要な情報が蓄積されているため、紛失や盗難に遭うと大きな被害を受けます。よって、内部に保管するデータを最小限に抑えた専用端末が役立ちます。
ここまで、3つの観点からセキュリティ対策の手段を解説してきました。セキュリティ体制の構築や技術的・物理的な対策ももちろん重要ですが、業務や情報の共有をより安全に行えるオンラインツールを利用することも方法の一つです。
ここでは、テレワークのセキュリティ対策に役立つ4種類のツールをご紹介します。
※各サービスの内容は、2024年9月時点の情報となります
株式会社日立システムズエンジニアリングサービスの提供する、テレワークで仕事をするときに便利な仮想デスクトップサービスです。
仮想デスクトップとは、普段仕事で使っているPCの情報をクラウドに保存し、別の端末からアクセスしても職場PCと同じ環境を構築できる仕組みです。機密情報が蓄積された職場PCを持ち出す必要がないため、端末の紛失や盗難による情報漏えいリスクを抑えられます。
「ZENMU Virtual Drive Enterprise Edition」は、月額1,800円で仮想デスクトップを構築でき、新たにサーバーを購入したり、設計したりする必要がありません。
内部に保存するデータは複数のサーバーに分散して管理する(秘密分散技術)ため、不正アクセスやハッキングによる情報漏えいリスクが極めて低くなります。
ZENMU Virtual Drive Enterprise Edition
クラウド上で簡単にウェブ会議システムを構築できるサービスで、社員同士のウェブ会議やテレワークに役立つ個室型ブース、説明会などのライブ配信など活用方法が複数ある点が特徴です。
ウェブ会議製品である「V-CUBEミーティング」は、HD対応の映像と高い接続性を誇り、13年連続でシェアナンバーワンの実績を持ちます。また、月額制でテレワーク専用のワークブースを自由な場所に設置できる「TELECUBE」のサービスも特徴的です。
V-CUBEミーティング
オンラインストレージサービスとして人気の高い「Dropbox」の法人版です。個人が無料で利用する場合は合計2GBの容量しかデータを保存できませんが、法人版であるDropbox Businessは月額1,500円で最大9TBものストレージが使えます。
テレワークのような個人社員向けとチーム向けのプランがあるため、用途に合わせて選び分けられます。クラウド上にデータを保管し共有することで、紙の書類を持ち出す必要がなく、紛失や盗難による情報漏えいリスクを軽減できます。
Dropbox Business
エンドポイントセキュリティとは、PCやスマートフォンなどネットワークに接続されているエンドポイント、またはエンドポイントに保存されている情報をサイバー攻撃から守るためのセキュリティサービスです。
「ESET Endpoint Protection」は、ウイルス・スパイウェア対策やフィッシング対策、ネットワーク保護といったさまざまな機能でエンドポイントを守ります。
既知ウイルスの検出率は業界ナンバーワンを誇り、その安全性の高さから導入企業は39万社を超えます。テレワーク時のセキュリティソフトとして最適です。
ESET Endpoint Protection
テレワークの推進に伴って増加するセキュリティリスク。慣れない環境での業務や情報端末の持ち出しなどにより、社内の機密情報や社員の個人情報が漏えいする危険性が高まっています。
とはいえ、セキュリティリスクが高いからといってテレワークの実施を取り止める企業はほとんどないでしょう。新型コロナウイルスの影響や業務効率を改善するためには、テレワークがいまでは欠かせない働き方の一つになりつつあるからです。
そのため、今回ご紹介したような、「体制整備・技術的対策・物理的対策」の観点から総合的なセキュリティ対策を整えていく必要があります。まずは構築しやすい箇所から徐々に体制を整えていきましょう。
また、制度やルールは作成するだけではなく、時代の変化に合わせて内容を改善していくことも忘れないようにしてください。
※本記事における価格情報記載はすべて税抜表記です。
※Microsoft、Windows、Windows 10およびMicrosoftのロゴは、米国およびその他の国におけるMicrosoft Corporationの登録商標または商標です。
※その他、記載されている会社名、製品名は、各社の登録商標または商標です。
※ZENMU Virtual Drive Enterprise Editionは、株式会社ZenmuTechの製品です。
※株式会社日立システムズエンジニアリングサービスは、ZENMU Virtual Drive Enterprise Editionの正規販売代理店です。
テレワークでの安全・快適なPC利用に
PCの社外持ち出しに関する課題を解決します。