テレワークに潜むセキュリティ事故。総務省ガイドラインの事例に学ぶ

公開日:
2021.02.08
 / 
最終更新日:
2021.05.31

新型コロナウイルスの影響でテレワークの導入が国内で加速する一方、セキュリティ上の懸念を表明する企業も少なくありません。総務省のガイドラインを基に、テレワークで起こりうるセキュリティトラブルの事例と対策を紹介します。

テレワーク拡大の一方でセキュリティ危ぶむ声


テレワークは企業のコストの削減や優秀な人材の離職防止といったメリットがありますが、導入によってセキュリティに関する問題が起こる可能性を危ぶむ声も少なくありません。

事実、セキュリティ上の課題を理由にテレワークの導入に踏み切れない企業も多いのが現状であり、情報漏えいなどのセキュリティトラブルをいかに防止するかが、企業が安心してテレワークを実施するための重要な課題となっています。

総務省も安全なテレワーク実現へ注意喚起

新型コロナウイルスの拡大以前から、政府は働き方改革の一環で積極的にテレワークを推奨しており、安全なテレワークを実現するために、セキュリティ上の注意喚起を含めた次のような施策を行っています。

  • テレワークに関する無料相談窓口の設置
  • セキュリティガイドラインの策定
  • 中小企業向けのテレワークセキュリティの手引をリリース
  • テレワークセキュリティに関する実態調査

以下では総務省のガイドラインやテレワークに関する実態調査を基に、企業が行うべきセキュリティ対策について事例とともに解説していきます。

セキュリティへの不安、調査で浮き彫りに

総務省による「テレワークセキュリティに関する実態調査」(2020年7~8月実施、回答5433社)をみると、多くの企業がテレワークのセキュリティ面を懸念していることが分かります。

テレワークを導入していない企業は全体の60%を超え、うち約15%の企業が「セキュリティが心配だから導入を見合わせている」と回答しています。

それぞれの企業の業務都合を除くと、セキュリティに関する懸念がテレワークを導入しない理由のトップにきており、企業のセキュリティ対策がテレワーク拡大の鍵を握っているといっても過言ではないでしょう。

出典:総務省|テレワークセキュリティに関する実態調査

テレワークでのセキュリティ対策のポイント

では、テレワークで企業が考慮すべきセキュリティ対策のポイントをみていきましょう。総務省のガイドラインによると、次の点に留意することがテレワークを安全に進めるために必要とされています。

  • 運用に当たり「ルール」を決める
  • 「人」を啓発・教育しルール順守を徹底
  • 人やルールを「技術」で補完

それぞれの点について、解説していきます。

運用に当たり「ルール」を決める

テレワークの運用に当たっては、必ず自社でルールを決めて社員に徹底順守させることが重要です。

社員のテレワーク中の行動について事後的に安全かどうかを判断するのではなく、事前に仕事のやり方をルール化し、社員に守らせる方が安全を担保しやすいです。

「人」を啓発・教育しルール順守を徹底

テレワークをする社員やシステム担当者などの「人」を啓発・教育して、自社で定めたルールの順守を徹底するように働き掛けることも大事です。

たとえ守るべきルールを定めても、テレワーク勤務者がそれを無視してしまえば意味がありません。

テレワークは自宅や各々の社員が好きな場所で働くことになるため、管理者の目が十分に行き届かず、本当にルールが守られているのか確認するのは困難と言えます。

そのため、社員教育や啓発活動を通じて、ルールを順守する方がメリットがあり、守らないことで起こりうる損害が大きいことを社員に理解してもらうことが必要です。

人やルールを「技術」で補完

テレワークの運用では技術面の対策も不可欠です。情報漏えいやシステムのウイルス感染などのセキュリティ上の危機を防止するネットワーク環境の構築や、端末のアクセス制限などの技術なしに、テレワークは成り立ちません。

企業によっては独自にプライベートネットワーク(VPN)を構築したり、クラウドサービスを利用して重要なデータを保存したりといった事前準備が必要となるケースが出てくるでしょう。

セキュリティを担保するために技術面での投資を行い、導入したシステムやアプリケーションなどの使い方を社員にしっかりと教育することが重要です。

主なセキュリティ事故例と対策

次に、総務省の『テレワークセキュリティガイドライン(第4版)』に記載されているテレワークのトラブル事例と対策について、いくつか紹介していきます。

自社のテレワーク環境と照らし合わせながら、具体的にどんなトラブルが想定されるのか、それを防ぐためにどういう対策が必要かを確認しましょう。

出典:総務省|テレワークセキュリティガイドライン(第4版)

会社の秘密情報への容易なアクセスと情報漏えい

テレワークの実施に当たって、外部から社内の全ファイルにアクセス可能にしていた企業では、社員が出先で重要な顧客情報が表示されたパソコンを放置してしまい、情報を部外者に盗み見られてしまいました。

その結果、顧客情報がインターネットの掲示板で拡散され、顧客から取引停止を宣告されてしまったという事例です。

この企業の問題点は、テレワークで順守すべき基本ルールを社員が守れていなかった点でしょう。部外者が出入りする場所で重要な情報を扱う際に、パソコン画面を放置することの危険性を社員に伝えることは絶対に必要なことです。

加えて、特に重要な情報については、本当に必要な社員以外には、アクセス不可にしたり参照のみを許可するなど、アクセス権限による閲覧制限を掛けることも重要となります。

パソコンで海外サイトを閲覧しマルウェア感染

社員が社内のパソコンを外に持ち出してテレワークをしていた会社では、海外サイトの調査中にパソコンがランサムウェアに感染し、復旧のために業務を中断せざるを得なくなってしまいました。

このケースでは、社員が特定のサイトにアクセスしただけでマルウェアに感染してしまう可能性を考えていなかった点や、パソコンにマルウェアに強い対策ソフトが入っていなかったことなど、さまざまな原因が考えられます。

テレワークで使用するパソコンのセキュリティ対策には特に気を使わなければいけません。

対策ソフトのインストールやOSのアップデート、危険なWebサイトへのアクセスを禁止するフィルタリングソフトの利用など、基本的なセキュリティ対策は不可欠です。

また、オンラインストレージの機能の中には、ランサムウェアに感染したファイルを一つ前のバージョンファイルで復元できる手段についても検討しておいた方が良いでしょう

定期的なアップデートを怠ったため大幅な作業遅延

年に数回自宅でテレワークをしていた企業では、社員が数カ月ぶりに使用したパソコンが発端となりました。インストールされているOSやアプリケーションが古くなっており、アップデートが必要だったのが原因です。

本来であればアップデートすれば問題なかったのですが、差し迫った事情があった社員は、そのまま仕事をし続け、マルウェアに感染、偽のセキュリティソフトウェアの広告が頻繁に表示されるようになりました。結果、仕事の生産性が大幅に低下してしまったのです。

これは基本的なセキュリティ対策であるOSやアプリケーションのアップデートが疎かにされていた事例です。テレワークで使用するものはもちろん、社内のパソコンのOSやアプリケーションも必ず最新バージョンにしておく必要があります。

得意先リストが入った端末を紛失、得意先に謝罪

ローカル環境に得意先リストが入った端末を電車内に置き忘れてしまった企業の社員は、後日それに気づいて鉄道会社に問い合わせたものの、届いてないことを知らされました。

その数カ後、リストに記載されていた取引先の一社から「御社しか知らない番号に頻繁にセールスの電話が掛かってくる」とクレームが来て、謝罪する事態になってしまった事例です。

テレワークを導入している企業の中には、重要な情報が入ったパソコンや携帯端末を紛失してトラブルに発展するところが少なくありません。

盗難や紛失のおそれがある端末については、内部に重要な情報を保存しないようにしたり、端末内の情報を暗号化したりする対策や、クラウドサービスを利用している場合には、リモートでパスワードを無効化するなど、更なる被害が発生しないような対策を事前に確認しておくことも必要です。

公衆無線LANを使用し機密情報が競合者に流出

出先で公共の無線LANを使用して電子メールのやり取りをしていたケースでは、メールの添付ファイルに記載されていた機密情報が、社員の知らないうちに競合他社に流出しました。

このように、公衆無線LANやカフェなどのフリーWi-Fiを使ったために、重要な情報が流出してしまった事件も多く発生しています。

利用に当たってパスワードが不要なネットワークは、同じタイミングで回線を利用している他者に通信内容を盗み取られる可能性があるので、注意が必要です。

テレワークでネットワーク回線を利用する場合には、事前に情報を格納したファイルを暗号化したり、VPNのように通信経路を暗号化するサービスを活用したりするのが有効です。

新幹線で資料をのぞき見されSNSで公開された

移動中の新幹線で、自社の新製品に関するプレゼンテーション資料を作成していた社員の例では、内容を何者かにのぞき見されてしまい、情報をSNSに投稿されてしまいました。

こういった他者の「のぞき見」による被害もテレワークでは起こりえます。電車内やカフェなど、多くの人間が利用する環境では重要な情報を取り扱わないように注意したり、端末にプライバシーフィルターをかけるといった対策が重要です。

ただし、プライバシーフィルターを使用しても、隣の席から内容が見えてしまうケースもあります。基本的に多くの人が出入りする環境では、機密情報を扱わないよう徹底した方がよいでしょう。

まとめ

総務省の発行しているガイドラインをもとに、テレワークで起こりうるセキュリティに関するトラブル事例と、その対策について解説しました。

テレワークの導入に際しては、事前に運用ルールを定めて、それを順守するように社員を啓発・教育することが重要です。加えて、セキュリティを担保するためのプライベートネットワークの構築や情報の暗号化など、技術面の準備も徹底しましょう。

企業によってテレワークの形態は違ってきますが、セキュリティに関しては基本的にどの企業も気を付けるポイントに大差はありません。

社員に端末の取り扱いやデータの保存方法、機密情報の扱いなどついて基本的なルールを順守させ、情報管理の意識を養わせることが重要です。