働き方改革や新型コロナウイルスの感染拡大を受けて、多くの企業でテレワークの導入が進みました。テレワークにはメリットが多い反面、情報漏えいやサイバー攻撃によるランサムウェアの感染など重大なセキュリティ事故が発生するリスクを伴います。

この記事では、総務省が公開している「テレワークセキュリティガイドライン第5版」の内容をもとに、テレワーク環境下でのセキュリティ対策の必要性や対策ポイントを解説します。

日本におけるテレワークの現状

総務省が2020年12月から2021年1月にかけて実施した「テレワークセキュリティに関する2次実態調査」の結果によると、約3割の企業がテレワークを導入したことがあると回答しています。新型コロナウイルス感染症の拡大に伴って、中小企業を含む多くの企業でテレワークの導入が急速に進みました。

しかし、テレワークが拡大する一方で、情報セキュリティ対策に課題を感じる企業は多くあります。総務省の調査では、テレワーク用の端末や通信環境整備、社員の労務管理・進捗管理などと並び、約半数の企業が「セキュリティの確保」を課題に挙げています。

テレワークにおけるセキュリティ対策の必要性

情報処理推進機構(IPA)が公開した「情報セキュリティ10大脅威 2022」では、「テレワーク等のニューノーマルな働き方を狙った攻撃」が4位にランクインしました。テレワークの導入はメリットが多い反面、情報漏えいや不正送金、コンピューターウイルス感染などの、さまざまなセキュリティリスクにさらされています。

たとえば、業務用パソコンを社外の無料Wi-Fiに接続して仕事をする、またはカフェやシェアオフィスなどの不特定多数の第三者が出入りする場所で仕事をするなどして、通信内容の傍受や盗聴・のぞき見による情報漏えいが発生するケースです。

さまざまな脅威によるセキュリティ事故は、業務停止や情報消失といった直接的な被害だけでなく、取引先や顧客への損害賠償や、ブランドイメージの失墜を招くおそれがあります。企業の競争力・社会的信頼に大きな影響を与えかねません。そのため各企業には、テレワーク推進と並行して、強固なサイバーセキュリティの確保が求められています。

実際の事故事例から、セキュリティ対策の重要性について見ていきましょう。

なお、テレワークに関するセキュリティ脅威のほか、個人・組織が押さえておくべきセキュリティトレンドは「IPA『情報セキュリティ10大脅威2022』をもとにインシデント事例や対策ポイントを解説」で詳しく解説しています。ぜひご一読ください。

セキュリティ事故事例1: VPN製品の脆弱性を悪用した情報流出

VPN製品の脆弱性が悪用されて、不正アクセスにより窃取された認証情報がインターネット上で公開されていた事例となります。本来これらの脆弱性は、メーカー側で対策したあと、更新プログラムを適用することで対策します。しかし、この事例では利用者が脆弱性への対応を怠ったために、更新プログラムが未適用だった製品が攻撃対象となりました。

テレワークにおいて社外から社内ネットワークに安全に接続させるための手段であるVPN製品が、セキュリティ対策の甘さからサイバー攻撃の入り口として悪用されたケースです。被害を最小化するためにはVPNへのアクセスを制限する、緊急性の高いパッチを確実に適用させる、不正アクセスを検出する仕組みをつくるなどのセキュリティ対策が欠かせません。

セキュリティ事故事例2: テレワーク中にウイルス感染し、社内へ拡大

社内ネットワークを経由せず外部ネットワークに接続し、業務用パソコンからSNSを利用したときにウイルスに感染しました。当該社員が出社し、感染したパソコンを社内ネットワークに接続したことにより、社内ネットワークにウイルス感染が拡大してしまった事例です。

幸いにも、機密性の高い技術情報や取引先にかかる重要情報が流出することはありませんでしたが、あわや大事故となってしまうところでした。セキュリティ対策の重要性があらためて浮き彫りになった事例といえるでしょう。

テレワークにおけるセキュリティ対策のポイント

テレワークを円滑に導入にするためには、入念なセキュリティ対策が欠かせません。総務省が公開している「テレワークセキュリティガイドライン第5版」を参考に、セキュリティ対策のポイントを解説します。

参考:テレワークセキュリティガイドライン第5版

ルール・人・技術のバランスがとれた対策

企業全体でセキュリティレベルを高めるには、「ルール」・「人」・「技術」のバランスがとれた対策が必要です。具体的にはそれぞれ以下のような対策が該当します。

  • ルール:企業や従業員が扱うアカウント管理の徹底や持ち出し情報の制限など
  • 人:教育や研修によりセキュリティに関する必要な知識やルールの趣旨を理解させる。自主的にルールを遵守させる
  • 技術:適切なテレワーク方法の選択やデータの暗号化、アクセス制限といった対策

セキュリティ対策はルール、人、技術の最も手薄なところが全体のセキュリティレベルという特徴があります。安全な業務環境を構築するためには、いずれかに特化するのではなく、バランスよく対策することが重要です。いずれかのレベルが低ければ、他をどれだけ強化しても全体のセキュリティレベルの向上にはなりません。また、「経営者」・「システムセキュリティ管理者」・「テレワーク勤務者」がそれぞれの立場からセキュリティの確保の役割を担うことが重要とされています。

クラウドサービスの利用

テレワークでは、メールやチャット・オンライン会議などのクラウドサービス(SaaS)を活用するケースも多いでしょう。

クラウドサービスの利用は、セキュリティ対策としても有効です。クラウドサービスでは、利用企業がサーバーやOSといったセキュリティを考慮する必要がなく、取り扱うデータやアカウント管理のみが対象となります。オンプレミス型サービスと比較すると、セキュリティ管理対象が少なくなるため、セキュリティリスクが低減するだけでなく、運用コスト削減につながります。

ただし、クラウドサービスではセキュリティ対策の大半がクラウド事業者に委ねられるので、サービス導入前に信頼性の確認が不可欠です。

ゼロトラストセキュリティの実践

テレワークの推進によって、クラウドサービスの活用や社外コミュニケーションが増加しました。それに伴い、社内外の境界があいまいになり、従来の境界型セキュリティでは十分なセキュリティが担保できなくなるケースもあります。そこで、近年注目されている考え方が「ゼロトラストセキュリティ」です。

ゼロトラストセキュリティは、社内外を区別せずに、すべてのアクセスを常時検証する考え方です。アクセス要求のたびに、ユーザー情報や端末のセキュリティ状態を検証し、情報資産へのアクセス可否を判断します。従来のファイアウォールなどの境界型セキュリティでは対応できなかった、怪しいアクセスを検出・統制できるため、テレワークとも好相性の対策です。

ゼロトラストセキュリティについては、「ゼロトラストとは?メリットや課題、導入方法について解説」や「ゼロトラストの導入事例 各社はこのように導入している」の記事で詳しく解説しています。あわせてご一読ください。

セキュリティ対策を万全にしてテレワーク導入を進めよう

テレワークは、働き方改革の実現や生産性向上などのメリットが強調されがちですが、情報漏えいやサイバー攻撃などのセキュリティリスクが伴います。テレワーク導入・活用にあたっては、紹介したようなセキュリティ対策ポイントを踏まえて、セキュリティ事故による被害を防ぐ対策を万全にしておきましょう。

また、サイバー攻撃を100パーセント防ぐことは困難なため、いかに早く復旧できるかを対策する「サイバーレジリエンス」の考え方も非常に重要です。サイバーレジリエンスについては、「サイバーレジリエンスとは?その必要性や導入ポイントについて解説!」の記事で詳しく解説していますので、ぜひご一読ください。