テレワークにおけるセキュリティ上のリスクとは？注意ポイントや対策を解説

2022/11/07 公開　2022/11/07 更新

最近では自宅で仕事を行う、いわゆる「テレワーク」の形で働いている方も少なくないと思います。テレワークを行う上で重要なのは、「セキュリティ上のリスクをできる限り減らす」ということです。特に自宅やコワーキングスペースなどで働いていると、情報漏洩などに関するリスクは、社内で働いているときの何倍にも跳ね上がってしまう可能性があります。

この記事では、テレワークの現状やテレワーク時に起こるリスク、PCを社外利用する際に注意したいポイントなどに関して説明します。

テレワークの現状

政府による働き方改革の推進と新型コロナの感染拡大に伴って、テレワークを導入する企業は急激に増えてきています。総務省の「令和3年情報通信白書」によると、2020年に出された1回目の緊急事態宣言の前時点でのテレワーク実施率は17.6%でしたが、緊急事態宣言発令後には56.4%まで上昇しました。それから、緊急事態宣言が解除されたのちに低下したものの、2回目の緊急事態宣言発令時には38.4％に再上昇しています。（※）

また、正社員約2万人を対象に行った調査では、2020年3月のテレワーク実施率は13.2％でしたが、緊急事態宣発令後の2020年4月には27.9％まで上昇したということが分かりました。その後も、2020年5月の調査では25.7％、2020年11月の調査では24.7％と、個人の実施率はやや低下したものの、2020年3月に比べると大幅に増加していることが分かります。（※）

なお、業務の内容によってテレワークの導入率には差があります。情報通信業（55.7％）や学術研究、専門・技術サービス業（43.2％）などでは高い水準となっているものの、医療、介護、福祉（4.3％）や宿泊業、飲食サービス業（11.1％）などは導入があまり進んでいないようです。（※）

ただ、いずれの調査においてもテレワークの導入が着実に進んでいることが分かります。

※出典：令和3年情報通信白書（テレワークの実施状況）｜総務省
https://docs.google.com/document/d/1NE4jNIC0qrx_WZG4uqJNiGHjV9yp8XV_/edit#

テレワーク時に起こるリスク

【最終稿】26032_5253_株式会社インボイス_テレワーク-セキュリティ.jpg

テレワーク時に起こりうるリスクとしては、主に以下のようなことが挙げられます。

自宅のインターネット回線利用による情報漏洩
公衆Wi-Fi利用による情報漏洩
私物端末利用によるマルウェア感染
端末の紛失や盗難
フィッシング詐欺や標的型メールによる被害
RDP（リモートデスクトップ）への不正アクセス

それぞれのリスクに関して説明します。

自宅のインターネット回線利用による情報漏洩

会社でインターネット接続を行う場合は、セキュリティ対策が適切に講じられた回線を利用できますが、自宅からインターネット接続を行う場合は必ずしもそうとは限りません。各社員が個々に利用するインターネット回線のセキュリティレベルには差があることから、セキュリティレベルの低い箇所から情報漏洩が起こってしまうことは十分考えられます。特にテレワークを導入して間もない場合は、セキュリティレベルの高い回線を用意しきれていないことも多いので、十分注意しなければなりません。

公衆Wi-Fi利用による情報漏洩

自宅ではなくカフェやコワーキングスペースなどで、テレワークを行う場合もあります。そうした場所では無料で利用できる公衆Wi-Fiが準備されていることも多いです。しかし、公衆Wi-Fiには十分なセキュリティ対策が施されていないものもあります。場合によっては、悪意の第三者によって通信傍受を目的としてWi-Fiが準備されていることもあるので、公衆Wi-Fiを利用する場合は十分注意しなければなりません。

私物端末利用によるマルウェア感染

リモートワークでの作業環境は企業によって異なり、会社から貸与される端末を利用する場合もあれば、私物の端末を利用する場合もあります。社用PCなどの端末であれば、会社側がセキュリティ対策を施しているケースが多いでしょう。しかし、私物の端末の場合はセキュリティ対策は各個人に委ねられることになります。対策がきちんと行われていない端末で仕事を行うことによって、マルウェア感染などのリスクが高まる可能性は、各社員に事前にきちんと説明しておかなければなりません。

端末の紛失や盗難

会社から支給されているノートPCや社用スマートフォンなどには、機密情報を含んださまざまな情報が保存されています。社外で仕事を行うことによるノートPCや社用スマートフォンなどの紛失・盗難のリスクは、社内で仕事を行う場合の何倍にもなることが想定されるでしょう。

また、注意すべきはノートPCなどの社用PCや社用スマートフォンといった端末だけではありません。USBメモリーなど、持ち運びできるストレージが情報漏洩の起点になる場合も考えられます。

フィッシング詐欺や標的型メールによる被害

近年、メールやSMSを使ったフィッシング詐欺や標的型メールによる被害は年々増加しています。会社のインターネット回線を利用していれば、こうした接触を最初から遮断してくれることもありますが、個人のインターネット回線の場合はそうはいきません。メール本文内のリンクや添付ファイルを誤って開いてしまい、セキュリティリスクが生じる恐れがあることを、念頭に置いておく必要があります。

RDP（リモートデスクトップ）への不正アクセス

RDPはWindows OSに付随するサービスで、外部の端末から組織内ネットワーク上のサーバーにアクセスし、サーバーのリソースを用いて作業を行う仕組みのことを指します。テレワーク環境においても社内にいるのと同じ環境で仕事を行えるなどの理由で普及が進んできていますが、テレワークの状況を狙った不正アクセスが増加していることは懸念材料です。

RDPからの不正侵入を許すと、接続先のコンピューターの管理者アカウントが乗っ取られてしまう可能性もあるので、きちんと対策を行うことを心がけましょう。

PCを社外利用するうえで注意したいポイント

テレワークのためにPCを社外利用するうえで注意したい主なポイントは、以下のとおりです。

リモートワーク時のルールを策定し周知徹底する
セキュリティソフトを導入する
多要素認証を導入する
OSやアプリを常に最新版にアップデートしておく
家庭内のネットワーク環境を見直す

それぞれのポイントに関して、説明します。

リモートワーク時のルールを策定し周知徹底する

リモートワークでは会社から離れた場所で各社員が仕事を行うことによって、さまざまなリスクが伴います。ただ、リモートワーク時のルール策定および周知徹底によって、リスクを最小限に抑えることは可能です。後述するセキュリティソフトの導入やアプリケーション利用の制限などのルールを設けることで、よりセキュリティソフト的に安全な環境で仕事を行うことができるでしょう。

セキュリティソフトを導入する

テレワーク時に利用する端末へのセキュリティソフトの導入は、セキュリティの観点上必須と言っても過言ではありません。セキュリティソフトには、ウイルスチェックといった基本的な機能のほかに、さまざまなセキュリティリスクを考慮した機能が用意されています。社用PCなど、会社が貸与する端末にセキュリティソフトを導入することはもちろん、社員の私物端末を利用する場合も、セキュリティソフトが導入されている端末に限定するとよいでしょう。

多要素認証を導入する

IDやパスワード以外に、SMSのワンタイムコードや指紋認証などを用いて複数の認証ステップを経ることを、多要素認証と言います。多要素認証を行うことで、何らかの理由でIDやパスワードが流出してしまったとしても、システムの不正利用などの被害を防ぎやすくなります。端末へのログイン時やシステム利用時などに多要素認証を利用して、安全性をより高めることを意識しましょう。

OSやアプリを常に最新版にアップデートしておく

OSやアプリはリリースされてからしばらくすると、脆弱性が報告されることも珍しくありません。OSやアプリを常に最新版にアップデートしておくことは、既知の脆弱性を狙った攻撃からのリスクを低減させることにつながります。端末のアップデートは時間がかかるため面倒に感じる方も多いと思われますが、セキュリティの観点からは非常に重要なことなので、業務の一環と考えて対応しましょう。

家庭内のネットワーク環境を見直す

家庭内でも普及が進むIoT機器などのなかには、脆弱性を抱えているものもあります。脆弱性がセキュリティホールとなって不正アクセスなどの被害に遭うケースは、決して少なくありません。ルーターなどのパスワードが初期設定のままでファームウェアもアップデートされていない、といったような状況は非常に危険なので、速やかな対応を心がけましょう。

【まとめ】