情報漏えいを防ぐために｜テレワークに必要なセキュリティ対策とは

テレワーク普及に伴うリスクの高まり

新型コロナウイルス感染症の影響により、多くの企業がテレワークを導入し、その後も雇用型テレワーカーの割合は増加傾向にあります。
一方で、急激な普及に対しセキュリティ対策が追いついておらず、IPAが発表した「情報セキュリティ10大脅威2024」では、「テレワーク等のニューノーマルな働き方を狙った攻撃」が組織向けの脅威としてランクインしています。

また、テレワーク環境において、従業員に対し具体的なセキュリティ指示を出していない企業が6割以上に上る（※）との調査もあり、十分な備えがないまま攻撃の標的となるケースが増加しています。

※参照元：独立行政法人情報処理推進機構 | テレワークの情報セキュリティ（https://www.ipa.go.jp/publish/wp-security/qv6pgp0000000vcv-att/000093737.pdf）

テレワーク中に起こる情報漏えいリスク

ヒューマンエラーによるリスク

安全でないネットワーク利用

自宅の脆弱なルーター設定や外出先の公衆Wi-Fiは、通信内容が暗号化されていないことが多く、第三者による盗聴や中間者攻撃につながるリスクがあります。
偽のアクセスポイントに接続してしまうと、社内システムの認証情報が漏えいするおそれもあります。

ショルダーハッキング

自宅で家族が近くにいる状況や、カフェなど外出先のオープンスペースでは、画面を背後から覗き見されるショルダーハッキングや、PCをロックせずに離席した際の情報流出といったリスクがあります。
対面での確認が難しいテレワークでは、こうした些細な不注意が重大な漏えい事故を引き起こす可能性があります。

デバイスの紛失・盗難など物理的リスク

社用端末や記録媒体の紛失・盗難

テレワークでは、PCやUSBメモリなどの会社支給デバイスを社外に持ち出す機会が増えるため、移動中の盗難や置き忘れによる情報漏えいのリスクが高まります。
実際、2022年6月には兵庫県尼崎市から業務委託を受けた社員が、約46万人分の市民情報を保存したUSBメモリを紛失するというインシデントも発生しています。

紙資料の持ち出し・紛失

デジタルデータだけでなく、紙の資料も外出先や自宅で適切に管理されないと、第三者による写真撮影や持ち出しといったリスクが生じます。
実際に、カフェで離席中に資料を撮影され、匿名掲示板へ顧客情報が投稿されたという事例も報告されています。

ネットワーク・システム上の技術的リスク

私用端末（BYOD）の管理不備

個人所有のPCやスマートフォンでは、セキュリティソフトが未導入であったり、OSの更新が遅れていたり、不要なアプリがインストールされているといった課題が見られます。
このような端末を業務に使用すると、マルウェア感染や情報流出のリスクが高まります。特に、脆弱な端末から社内システムへアクセスする行為は、重大なインシデントにつながりかねません。

クラウドサービス誤設定・シャドーIT

Office 365 や Google Workspace、Box などのクラウドサービスでは、共有リンクの権限設定ミスにより意図しない外部共有が発生することがあります。
さらに、許可なく導入されたクラウドサービス（シャドーIT）は管理対象外となるため、情報の所在や漏えい経路を把握できなくなるリスクもあります。

リモートデスクトップ脆弱性

在宅勤務者向けに導入されたRDPやVNCなどのリモートデスクトップサービスを、初期設定のまま運用するのは危険です。
認証情報の漏えいやブルートフォース攻撃（総当たり攻撃）の対象となるおそれがあります。
また、設定ミスによるポートの開放やパスワードの使い回しなどが、不正アクセスを招く原因となっています。

内部不正・悪意ある行為によるリスク

従業員の意図的な不正行為

テレワークでは管理者の目が届きにくくなるため、従業員が機密情報を無断で持ち出したり、外部に漏らしたりするリスクが高まります。
実際に、近年では「手土産転職」と呼ばれるようなケースも報告されており、退職者が在職中に入手した社外秘データを転職先へ持ち込むといった事例が問題となっています。

情報漏えいリスクへの主な対策方法

上記のようなリスクから企業の情報資産を守るには、「ルール（組織）」「人（従業員）」「技術（システム）」の三つの側面から総合的な対策を実施するのが有効です。

組織としてのルール整備と管理体制

情報セキュリティポリシー策定・見直し

在宅勤務時における機密情報の取扱いルールや、社外への持ち出しに関する規定を整備し、必要に応じて社内規則を見直すことが求められます。
たとえば、社用PCの持ち出し手順や、紛失時の報告フロー、私物端末の業務利用に関する禁止事項などを明文化し、従業員に周知します。

インシデント対応手順の策定

万が一情報漏えいが発生した場合でも、迅速かつ適切に対応できるよう、報告・連絡体制や復旧手順をあらかじめ定めておく必要があります。
社内に通報窓口を設けるほか、被害の拡大防止、原因の究明、関係者への説明までをカバーした対応マニュアルを準備しておくと安心です。

アクセス権限の管理とログ監視

従業員が業務で取り扱う情報へのアクセス権は、必要最小限にとどめ、不要なデータへのアクセスができないように制限します。
また、接続履歴やファイル操作に関する監査ログを定期的に確認し、不審な挙動がないかを監視します。
ログは内部不正が発生した際の証拠としても有効であり、監視されているという意識そのものが内部犯行の抑止力となります。

監査ログを集めたものの、どのツールでリアルタイムに監視すれば良いかで迷う方も多いですよね。
そこでおすすめのログ監視ツールを比較できる一覧を用意しました。

ログ監視ツールおすすめ12選を
チェックしてみる

従業員教育とセキュリティ意識向上

定期的なセキュリティ研修

従業員に対しては、フィッシングメールの見分け方や、SNS上での不審な接触への警戒、在宅勤務時の注意点などを、定期的に教育することが必要です。
標的型攻撃が巧妙化するなかでは、最新のインシデント事例などを教材に取り入れ、実践的な学びを提供することが効果的です。
研修は一度きりではなく継続的に実施し、習慣化する仕組みを整えることが求められます。

安全行動を促す企業文化をつくる

セキュリティ意識を高めるには、仕組みだけでなく企業文化の醸成も重要です。
たとえば、セキュリティチェックリストを達成したチームを表彰する「Security Champions」制度を導入することで、前向きな取り組みを後押しできます。
また、相談しやすい窓口を設け、ミスや異常を早期に報告できる環境を整えることで、報告隠しの防止にもつながります。

技術的なセキュリティ対策の導入

端末の暗号化とデバイス管理

社員が使用するノートPCや外部記憶媒体には、フルディスク暗号化やファイル暗号化を施しましょう。
端末が万が一紛失・盗難された場合でも、データが暗号化されていれば内容を第三者に読み取られるリスクを抑えられます。

さらに、USBメモリなど外部デバイスの使用を制限・管理できるデバイス制御ツールを導入することで、許可された機器以外によるデータのコピーを防げます。

ネットワークの保護（VPN・ゼロトラスト化）

テレワーク環境では、社外から社内システムへアクセスする際にVPNを経由させ、通信を暗号化したうえで社内ネットワークを通じて業務を行うことが推奨されます。
VPNを利用すれば、オフィス内と同様にファイアウォールやWebフィルタリングのセキュリティポリシーを適用でき、直接インターネットに接続させないことで危険なサイトへのアクセスや情報流出を防げます。

リモートワイプ・モバイルデバイス管理ツールの導入

端末の紛失や盗難に備えて、モバイルデバイス管理ツールやリモートワイプ機能を導入しておくことが有効です。
管理者は、遠隔操作で端末内のデータを消去したり、端末そのものをロックしたりすることで、被害の拡大を防止できます。

また、GPSによる位置情報の取得により、端末の所在確認や物理的な回収の手がかりを得ることも可能です。

情報漏えい防止に役立つセキュリティ製品・サービス

セキュリティ対策というと、難しい略語や専門用語が多く、どれを導入すべきか判断しづらいと感じる方も多いかもしれません。
そこで、基本的なポイントにしぼって、わかりやすく分類・解説します。

まず押さえたい3つの守り

分野別！セキュリティ製品・サービス

電話番号認証サービスをお探しの方は以下の記事からもご確認いただけます。

電話番号認証サービスの記事を
チェックしてみる

まとめ

テレワークの普及により働き方は柔軟になった一方で、情報漏えいリスクも複雑化・高度化しています。特に、自宅や外出先など企業の目が届かない環境では、従業員一人ひとりの行動が重大な事故につながる可能性もあります。

情報セキュリティは導入して終わりではなく、継続的な見直しと改善が求められる分野です。今一度、自社のテレワーク環境と対策状況をチェックし、必要な対策を着実に進めていきましょう。