総務省手引きにみるテレワークのセキュリティ事例。具体的な対策も解説

公開日:
2021.02.10
 / 
最終更新日:
2021.06.23
近年、マルウェアやランサムウェアの被害が増加しています。特に導入が進んでいるテレワークはセキュリティ上のトラブルが起こりやすいため、万全な対策が必要です。総務省の手引きを参考としたテレワークのセキュリティ事例、また、警視庁サイバーセキュリティ対策本部が推奨する、具体的な対策案についても紹介します。

テレワーク導入にはセキュリティ対策が重要


テレワークは企業にとって多彩な人材を雇用できるメリットがある一方で、さまざまなセキュリティリスクも抱えています。

オフィス以外で社員が仕事をするため、企業の機密情報が流出してしまったり、社員の使っているパソコンがマルウェアに感染してしまったりなど、業務に支障が出るトラブルが発生するケースは決して少なくありません。

また、総務省が2020年7~8月に全国企業3万社を対象に行った「テレワークセキュリティに関する実態調査」(回答:5433社)によると、テレワークの導入を見合わせている企業の多くが、セキュリティ上の懸念から導入に二の足を踏んでいるようです。

テレワークの導入・拡大に当たっては、しっかりとしたセキュリティ対策が重要なことが分かります。

参考:

セキュリティ対策を取らない危険性

テレワークの導入に際して企業が必要なセキュリティ対策を取らなかった場合、次のように、さまざまなトラブルが発生する可能性があります。

  • パソコン端末やシステムのウイルス(マルウェア)感染
  • サイバー攻撃被害
  • パソコンやHDD、USBメモリなどの端末・記録媒体の紛失

これらは、いずれも企業の顧客リストを含む重要な情報の漏えいにつながりかねません。

さらにサイバー攻撃を受けることによって業務に支障が出たり、他のシステムにも被害が拡大したりする可能性もあるため、テレワークの導入前に基本的なセキュリティ対策をしておくことが重要です。

総務省もガイドラインを策定して注意促す

総務省も企業のテレワークの導入拡大を背景に、テレワークセキュリティに関するガイドラインを策定してセキュリティに関する注意を促すようになりました。情報セキュリティの基本的な考え方や、セキュリティ対策のポイントについて解説されたものです。

それに加えて、昨今の新型コロナウイルスの感染拡大を受けて、新しくテレワークを導入する中小企業向けに、より具体的かつ実践的な対策の手引き(チェックリスト)も公表しています。

参考:

参考:

テレワークで想定されるセキュリティリスク事例

では、上記の総務省による手引きを参考に、テレワークで想定されるセキュリティリスクについて、具体的な事例を挙げながら解説していきます。

世界的に拡大している「マルウェア感染」

新型コロナウイルスの世界的蔓延に乗じて、いわゆるフィッシングメールやスパムメールによる被害が拡大中です。

メールに添付されているファイルを開いたり、本文に記載されているURLにアクセスしたりするとマルウェアに感染するものが多く、パソコン内の情報が抜き取られてしまう事件が多発しています。

場合によっては、パソコンの制御を乗っ取られて、他のコンピューターへの攻撃の踏み台にされてしまうケースもあるので注意が必要です。

(※マルウェアとは、コンピューターウイルスを含む悪意をもったソフトウェア全般のことを指します)

第三者による侵入行為「不正アクセス」

テレワークで利用しているパソコンのOSやアプリケーション、ハードウェアなどのぜい弱性を悪用して、外部からコンピューターの内部に侵入する不正アクセスも問題になっています。他者のIDやパスワードを無断で利用する手口も多数報告されています。

不正アクセスに遭うとパソコン内の情報が漏えいする可能性が高く、取引先の情報などが抜き取られた場合、安全対策を怠った責任を問われ、賠償問題に発展するケースもあります。

ついうっかりが大打撃「端末の紛失・盗難」

社内のパソコンを社員がテレワークで外部に持ち出す企業も多いですが、出先でパソコンを紛失してしまったり、盗難に遭ったりするケースも報告されています。

企業にとって重要な情報がパソコンや携帯端末に入っていた場合、秘密情報の漏えいはもちろん、情報流出に伴って取引先や顧客の信用が失墜してしまう可能性も出てきます。

賠償責任に発展する恐れも「盗聴・のぞき見」

公共施設やカフェなどでテレワークを行う人も多いですが、多数の人間が出入りする場所で重要な情報を扱っていると、悪意のある者にデータを盗み見られる危険もあります。

さらに公共の無線LANや無料Wi-Fiを使ってデータの送受信を行った場合、 第三者に通信内容を傍受され、情報が漏えいしてしまうリスクもあるでしょう。いずれも企業としての信用が失墜する原因になりえます。

警視庁サイバーセキュリティ本部がすすめる対策の主な事例

上述のセキュリティリスクに対して、警視庁のサイバーセキュリティ対策本部は、次の対策を取ることを推奨しています。

  • 使用するパソコンに対する対策
  • テレワークで使う通信環境対策
  • 自宅Wi-Fiを使う時の対策
  • 自宅外でWi-Fiスポットを使う時の対策

それぞれについて、具体的にみていきましょう。

使用するパソコンに対する対策

もっとも基本的な対策として、パソコンには必ずウイルス対策ソフトをインストールしておき、OSや使用するアプリケーションを最新の状態にしておくことが挙げられます。

特にサポートが終了してしまっているWindows 7 などのOSは、マルウェアに感染してしまうリスクが高いですから、テレワークでの使用を控えましょう。

また、プライベートでパソコンを共有している場合も、仕事で利用するパソコンは自分以外に使わせないようにする工夫が必要と言えます。出先でデータをやりとりする時も、不特定多数が使っているパソコンの利用は避けた方が賢明です。

テレワークで使う通信環境対策

テレワークで利用する通信環境は、可能な限りVPN(プライベートネットワーク)で暗号化されているものにしましょう。パソコンから接続先の社内ネットワークまでの通信経路が暗号化されていない場合、情報を盗み見られるリスクがあります。

尚、VPNの用意が難しい場合には、会社からモバイルWi-Fiを提供したり、自宅のインターネット環境整備のルール作りや費用負担などを検討するのもよいでしょう

(※VPNとは、インターネットをはじめとした公衆回線上で、高度な暗号化や認証技術によって特別に保護された仮想ネットワーク回線のこと)

パスワードの安全な管理と運用

パスワードを安全に管理するのもセキュリティ対策の基本です。同じパスワードを複数のサービスのログインに使い回していると、それが外部に流出してしまった場合、テレワークに必要なシステムにも不正アクセスの手が伸びる可能性があります。

できるだけテレワーク専用のパスワードを用意し、他人が推測しづらいものにしておきましょう。万が一、マルウェアに感染してしまった場合に備えて、パソコン内にパスワードを保存しておかないようにすることも重要です。

自宅Wi-Fiを使う時の対策

自宅でWi-Fi環境を利用している場合、ルーターを制御するファームウェアは常に最新のものにしておきましょう。

ルーターに問題がある場合、そのまま放置していると不正にアクセスされてしまうリスクが高まります。修正プログラムが配布されているケースもあるので、定期的にファームウェアの情報はチェックしておきましょう。

また、Wi-Fiの暗号化方式にWEPを利用している場合も注意が必要です。簡単に解読されやすい方式であるため、一般的に採用されているWPA2(Wi-Fi Protected Access 2)を使うようにしましょう。

自宅外でWi-Fiスポットを使う時の対策

重要な情報のやりとりには自宅外のWi-Fiスポット(公衆無線LAN)を使わないのが基本です。どうしても通信を利用しなければならない場合は、アクセス経路がVPNによって暗号化されている回線を使うようにしましょう。

場所によっては、悪意のある者が情報を盗み取るために偽のWi-Fiスポットを設置しているケースもあるので、十分に注意してください。

まとめ

総務省の手引きを参考に、テレワークを導入するうえで必要なセキュリティ対策の事例を解説しました。

パソコンのマルウェア感染や、ネットワークへの不正アクセス被害は年々増加しており、多くの企業がテレワークを導入することで、ますます被害が拡大する可能性が高いです。

ただし、警視庁が紹介しているセキュリティ対策をみると、ほとんどは基本的な措置で被害を回避できることが分かります。テレワーク従事者のセキュリティ意識を高めるとともに、守るべきルールを策定し、順守させることが重要です。