コロナ禍や働き方改革の影響で、急速にテレワークが普及しました。場所や時間にとらわれず働けるテレワークはメリットが多く、今後も活用の機会は広がると予想されます。
一方で、オフィス以外の場所で仕事をすることによる情報漏えいやウイルス感染などのセキュリティリスクも高まっています。本記事では、テレワークとそれに伴う持ち出しPCによるセキュリティリスクと対策について詳しく解説します。

テレワークにおけるセキュリティリスク

IPAによる「情報セキュリティ10大脅威2023」において、「テレワークなどのニューノーマルな働き方を狙った攻撃」が5位にランクインしています。

2020年以降、新型コロナウイルス感染症対策により、テレワークが定着してきました。それに伴い社用PCの持ち出しや、私有端末・自宅のネットワーク利用が求められています。一方で、攻撃者もこのような業務環境を狙って不正アクセスや情報窃盗、ウイルス感染などの攻撃を仕掛けるケースが増加しています。

2022年6月、国内の製造業者であるニチリンの米国子会社がランサムウェア攻撃を受けたことが報告されました。この攻撃は、外部からのリモート接続の設定の脆弱性を悪用して侵入されたと考えられており、攻撃者は管理者の認証情報を用いてサーバーにリモートアクセスツールをインストールし、ネットワークを調査してからランサムウェアを展開したとされています。

このような攻撃によって万が一機密性の高い情報が流出したり、ウイルス感染が拡大したりすれば、業務に影響があるだけでなく、社会的な信用失墜の可能性もあり企業にとって大きな損失となるでしょう。テレワークの普及に伴い、このようなセキュリティ事故は増加傾向にあります。

テレワークを導入する場合は、同時にセキュリティ対策の見直しや強化が重要です。

テレワークによるセキュリティリスク

具体的にテレワークによって想定されるセキュリティリスクには、以下のようなものが挙げられます。

PCやモバイル端末の紛失、盗難

オフィス外で仕事をするためにPCやモバイル端末を社外へ持ち出し、紛失もしくは盗難されてしまうケースです。端末内のデータを悪意のある第三者に盗まれ、情報漏えいにつながる恐れがあります。

ネットワーク環境からの情報漏えい、不正アクセス

公共の場で提供される公衆Wi-Fiのセキュリティ対策が脆弱であったり、悪意のある第三者が不正なアクセスポイントなどを用意していた場合、Wi-Fiを使用した際に通信内容を傍受されたり不正アクセスの標的になったりするリスクがあります。

テレワーク用製品の脆弱性の悪用

VPNなどのテレワーク用に導入した製品に脆弱性や設定ミスなどがあると、それを悪用されて社内システムに不正アクセスされることもあります。前述の事例にもあったように、不正侵入の上ランサムウェアなどでシステムを暗号化されてしまうと甚大な被害につながります。

シャドーIT

シャドー IT とは、企業側が把握していない機器やサービスを使って社員が業務を進める状態のことです。テレワークでは一人ひとりの状況を把握しにくくなるため、シャドーITが蔓延しやすくなっています。企業の管理外で利用されることにより、情報漏えいなどのリスクや、事故が起きた際の把握が困難になることも懸念されます。

テレワークのセキュリティ対策

こうしたリスクを回避するために、「ルール」「人」「技術」のすべての面においてバランスよく対策することを総務省が推奨しています。

ルール：全ての従業員が専門的な知識を持ち、都度判断して対応することは現実的ではありません。安全な方法をルールとして定めておけば、従業員はルールに従うだけでよく、本来の業務に集中することができます。

人：ルールを定めても、それに従わなければ効果は発揮されません。特にテレワークでは目が届きにくくなるため、一人一人がセキュリティ対策の重要さを自覚できるよう啓発することが重要です。従業員各個人のセキュリティ意識が高まることで、フィッシングや標的型攻撃の被害も受けにくくなります。

技術：「ルール」や「人」では対応できない部分を補完するのが技術です。しかし、技術的な対策を実施する際には、実際の利便性とのバランスの兼ね合いを意識することも重要です。

これら３つの面を念頭に置いた上で、効果的なセキュリティ対策について解説します。

テレワークに対応したセキュリティポリシーの策定（ルール）

テレワークの導入により、使用する業務システムや連絡体制などが変わることで従来のセキュリティポリシーではカバーできない場合もあります。そのためテレワークに対応したポリシーを策定することが大切です。内容については、総務省による「テレワークセキュリティガイドライン（第5版）」を参考にするのもおすすめです。

アカウント・認証管理（技術）

テレワーク時にアクセスする社内システムやクラウドサービスへのアクセスで必要となる利用者認証機能について、技術的な基準を明確に定める必要があります。たとえば多要素認証方式の利用や、強力なパスワードポリシーの適用などです。

サーバーやクライアント、ネットワーク環境のセキュリティ対策を強化する（技術・ルール）

攻撃者に狙われやすいインフラ環境は特にセキュリティ対策を強化する必要があります。脆弱性対策やセキュリティ製品の導入などを適切に行いましょう。また、公衆Wi-Fiはセキュリティ対策が十分ではないため使用を禁止する、もしくは社外から社内システムへアクセスする際はVPNを利用するなど、安全なネットワーク環境を整備する必要があります。

クラウドサービスの活用（技術）

クラウドサービスの活用も効果的です。オンプレミス環境では物理的セキュリティ・脆弱性管理など自社で適切に管理・統制する必要がありますが、クラウドサービスを適切に用いれば、管理負荷を軽減しつつ、先端の技術を活用して高いセキュリティレベルを実現しやすくなるでしょう。

従業員へのセキュリティ教育（人）

テレワークを行う従業員一人ひとりに対して、セキュリティへの理解と意識向上を図る必要があります。テレワークにおける機密保持と違反時の対応をルール化するとともに、研修などを行いルール遵守のメリットを理解してもらいましょう。教育は一度きりではなく、継続して行うことが重要です。

適切な報告・連絡・相談を行う（ルール・人）

万が一被害に遭った場合は適切に報告・連絡・相談を行えるように、エスカレーションのルールなども整備しておきましょう。これを怠ると被害拡大だけでなく、重大なセキュリティインシデントによる信頼失墜につながることもあります。

持ち出しPCのセキュリティ対策にはDaaSがおすすめ

持ち出しPCの紛失・盗難は、情報漏えい事故につながる原因の一つですが、テレワークの実施においてPCを社外へ持ち出すことは避けられません。そこで、持ち出しPCのセキュリティ対策としておすすめなのがDaaSです。DaaSについて詳しく解説します。

DaaSとは

DaaSとは「Desktop as a Service」の略で、VDI（Virtual Desktop Infrastructure＝仮想デスクトップ環境）を提供するクラウドサービスのことです。

DaaSはクラウド上に構築された仮想デスクトップ環境にネットワークを通じて接続して作業を行います。そのため、データは仮想デスクトップ環境に保存され、個人のPCには残りません。

万が一PCを紛失、もしくは盗難された場合でも、PC自体にデータは残っていないため情報漏えいのリスクを減らすことができます。

DaaSのメリット

ほかにもDaaSにはテレワークに適したメリットがあります。

導入しやすい

VDI環境を自社で構築しようとすると初期コストと時間、手間がかかりますが、DaaSならクラウドサービスのため環境構築の手間がかからずすぐに導入できます。

運用負荷を軽減できる

従来のオンプレミス型のVDIでは、インフラ環境含めシステムを構成する全てを自社で監視・運用する必要がありましたが、DaaSの場合メンテナンスや障害発生時の対応などはクラウドサービス事業者が管理するため、運用負荷を軽減できます。

リソースの柔軟な使用

クラウドサービスのため、必要に応じてリソースを追加したり、不要になったら削減することも可能です。従業員の増減を見据えた設備設計やリソースを追加するための設備増強なども不要になります。

まとめ

コロナ禍以降急速に普及したテレワークは利便性が高い反面、セキュリティ上のリスクを抱えています。特に持ち出しPCの盗難・紛失による情報漏えいの被害件数は多く、対策が必要です。対策の一つとして、VDIを提供するクラウドサービスであるDaaSを利用することで、個人のPCにデータを保存することを避け、情報を漏洩のリスクを減らすことができます。また導入の容易さや管理負荷が低いこともメリットです。ぜひテレワークのセキュリティ対策として、DaaSを検討されてみてはいかがでしょうか。