近年のテレワークの普及により、企業は柔軟な働き方を実現できる半面、情報漏洩や不正アクセスといったリスクが増大しています。専任のIT担当者が不在であったり、十分な予算がない中小企業にとって、「何から対策すべきか」を判断するのは難しい課題です。本記事では、テレワークのセキュリティを担保するため、総務省のチェックリストを活用し、方式別に必要な対策を具体的に解説します。限られたリソースでも確実に実行できる、テレワークかのセキュリティ対策のポイントを押さえましょう。

テレワークにおけるセキュリティの重要性

テレワークでは業務環境が社外に広がるため、社内ネットワークの境界防御だけでは、安全を確保するのは困難です。社員が利用する端末や通信環境は多様化しており、標的型攻撃やマルウェア感染のリスクが高まっています。

特に、自宅Wi-Fiや個人端末を活用する勤務形態では、暗号化設定の不備やパスワード管理不足が情報漏洩につながる恐れがあります。こうした背景から、テレワークでは明確なセキュリティ基準を設けて、社員一人一人が安全に業務を進められる体制づくりが必要です。

テレワークセキュリティの対策チェックリストとは?

総務省は中小企業のシステム担当者向けに、テレワークのセキュリティに関するガイドラインとともに、チェックリストを発表しています。これは、主に中小企業の担当者がテレワークを導入・活用する際、留意する必要のあるセキュリティ上のリスクを確認し、優先的に実施すべき事柄を示したものです。

このチェックリストは、中小企業の担当者が、テレワーク環境のセキュリティ状態を網羅的に自己点検できるように設計されています。基本的な内容に特化し、専門知識がなくともリスクの所在を把握し、優先的に実施すべき対策を確認できるのが大きなメリットです。チェックリストを活用することで、端末管理や通信の安全性・多要素認証の導入など、必要な対策を確認できます。これから本格的にテレワークを導入する企業はもちろん、現在の対策に抜け漏れがないか確認したい企業も、総務省の基準を参考にしてみましょう。

※出典:中小企業等担当者向け テレワークセキュリティの手引き(チェックリスト)第3版|総務省

【テレワーク方式別】企業に求められるセキュリティ対策

それでは、総務省のテレワークセキュリティに関するチェックリストを基に、企業に求められるセキュリティ対策を確認していきましょう。同チェックリストは以下のように、テレワークの方式別に必要な対策を具体的に紹介しています。

①会社支給端末:VPN/リモートデスクトップ方式

社員が会社が支給した端末を使用し、オフィスのネットワークに接続して業務をする方式です。接続にはVPNを利用して安全性を担保しつつ、オフィスと同等の業務環境を実現します。

この場合、端末は企業が管理できるため、基本的なセキュリティポリシーは適用しやすいですが、通信の暗号化や多要素認証の導入などが必要です。アクセス権限の管理やウイルス対策ソフトの導入、OSのアップデートなど、基本的な対策を欠かさないようにしましょう。

端末は企業の管理下にあるため対策しやすいものの、「本当にOSのアップデートが適用されているか」「ウイルス対策ソフトが有効か」といった基本的な管理の徹底が手作業では困難です。これらの基本的な管理状況を自動で可視化・監査できる仕組みの導入が、管理者の負担を大きく軽減します。

②会社支給端末:クラウドサービス方式

会社が支給した端末を利用し、クラウドサービスを使って業務を実施する形式です。オフィスネットワークに接続しないのが特徴で、クラウドからダウンロードしたデータを用いて、業務に従事する場合も含みます。

データがクラウド上に保存されるため、端末の紛失や盗難時のリスクを軽減できますが、クラウドサービス特有のセキュリティ対策が必要です。使用するクラウドサービスの安全性を確認するのはもちろん、端末のマルウェア対策や、アカウント管理を徹底する必要があります。端末の紛失・盗難にも注意しましょう。

③会社支給端末:スタンドアロン方式

社員が会社支給のテレワーク端末にデータを保存し、それを処理する形で業務を進める形式です。社内のネットワークにはアクセスせず、クラウドサービスも利用しません。

他の形式に比べて、外部からの攻撃リスクは低いものの、端末紛失や内部漏洩のリスクがあります。端末のアクセス制限や暗号化に加えて、データバックアップの実施や、データの保管・移動時の安全管理を徹底しましょう。

④会社支給端末:セキュアブラウザ方式

会社が支給した端末からセキュアブラウザを活用し、オフィスネットワークにアクセスしたり、クラウドサービスを活用したりして業務を進める形式です。セキュアブラウザとは、不正アクセスや情報漏洩を防ぐため、高度なセキュリティ機能を備えたWebブラウザを指します。

端末へのデータ保存はせず、テレワークではセキュアブラウザに対応した業務のみ、限定して行うのが特徴です。端末上にデータを残さないため情報漏洩リスクは低いものの、ブラウザの設定に注意が必要です。他の形式同様に、通信の暗号化やアクセス権限管理など、基本的なセキュリティ対策も欠かせません。

⑤個人所有端末:VPN/リモートデスクトップ方式

社員が個人所有している端末から、社内ネットワークにある端末(PC)にリモートデスクトップ接続して、業務を進める形式です。ネットワークからダウンロードしたデータを用いて、端末で業務をするケースも含みます。

会社が支給する端末でテレワークをする場合とは違い、端末管理が難しく、セキュリティリスクが高まるので注意が必要です。社員が個人で所有している端末でも、会社が許可したものだけ使うようにルール化し、端末のマルウェア対策を徹底しましょう。また、その端末のマルウェア対策やOS・アプリの更新が確実に実施されているかをリモートで把握・確認できる体制が不可欠です。「個人のデバイス」だからと管理を放棄せず、業務に必要なセキュリティレベルを担保することが求められます。

⑥個人所有端末:クラウドサービス方式

個人所有の端末から、クラウドサービスに接続して業務を進める形式です。クラウドサービスからデータをダウンロードして、端末上で業務をする場合もあり、基本的にオフィスネットワークには接続しません。

アクセス権限の管理やログ監査などをクラウド側で強化し、端末も暗号化やパスワード管理を徹底して安全性を高めましょう。さらに多要素認証に加えて、場所・時間に応じた接続制限などが可能なクラウドサービスならば、不正アクセスや端末紛失時のリスクを低減できます。

⑦個人所有端末:スタンドアロン方式

社員が個人所有している端末を使い、外部記録媒体などで持ち運んだデータを使って業務を進める形式です。社内のネットワークにはアクセスせず、クラウドサービスも基本的には利用しません。

個人端末のスタンドアロン方式は、外部攻撃のリスクは低いものの、端末内にある情報の漏洩リスクがあります。暗号化やパスワード保護などの基本的な対策に加えて、データのバックアップや作業後のデータの削除なども徹底しましょう。定期的にセキュリティ研修を実施し、個人端末使用時の責任について、きちんと教育することも大切です。

⑧個人所有端末:セキュアブラウザ方式

個人所有のテレワーク端末からセキュアブラウザを使い、オフィス内のシステムやクラウドサービスに接続する形式です。端末にはデータを保存せず、セキュアブラウザに対応した業務のみを限定的に進めるのが特徴です。

データが端末に残らないため情報漏洩リスクは低めですが、ブラウザの脆弱性や設定の不備によるリスクは残ります。ブラウザ更新状況の確認やアカウントの認証管理とともに、端末やブラウザの使い方について、社員教育を徹底しましょう。

チェックリストを活用したセキュリティ対策のポイント

テレワークは、オフィス外の環境から社内ネットワークにアクセスしたり、社員個人の所有する端末から作業したりするケースが多くなります。情報漏洩や端末の不正利用などのリスクが増大するため、テレワークのルールの策定と社員教育、技術的な対策を徹底しなければいけません。

利用可能な端末や接続方法、データの持ち出しに関するルールを明確にして、社員に順守させる必要があります。また、テレワークの導入前には、社内研修などで社員のセキュリティ意識を高めておき、トラブルが発生した際にすぐ報告・相談できる体制を整えておきましょう。

さらに、暗号化や多要素認証・アクセス制御といった仕組みを導入し、できる限り安全にテレワークを進められる環境を整えることも大切です。「ルール」「人」「技術」のバランスが取れた対策を意識しましょう。

ガイドラインの活用で安全なテレワークのためのセキュリティ対策を

テレワークのセキュリティ対策は、技術面だけではなく、運用ルールの策定や社員教育も含めた、総合的な取り組みが求められます。

総務省のガイドラインやチェックリストを活用しながら、端末の管理やアクセス制御など、基本的な対策を忘れずに実施しましょう。チェックリストはテレワークの方式別に整理されているので、定期的に見直して、自社に必要な対策を確認することが大事です。

テレワーク環境でのセキュリティ対策ならWatchy

IT資産管理・ログ管理ツール「Watchy(ウォッチー)」は、リソースの限られた中小企業でもセキュリティ対策を実現するために開発されています。

Watchyを導入すれば、社員のテレワーク端末(PC)のOSバージョン、セキュリティパッチの適用状況、インストールソフトウェアなどを管理画面から一元的に自動収集・可視化できます。これにより、手動チェックの負担や漏れをなくし、「会社が許可していない個人端末」や「セキュリティ対策が不十分な端末」の業務利用を防ぐことが可能です。

シンプルなクラウド型サービスのため、導入や運用の負担も少なく、低コストでチェックリストが求めるセキュリティ水準を満たせます。まずは安全性の「見える化」から始めたい方は、この機会にぜひ導入をご検討ください。

低コスト&簡単運用 必要な機能だけを導入!だから低コストに始められる 低コスト&簡単運用 必要な機能だけを導入!だから低コストに始められる
編集部のイメージ画像
執筆者

Watchy編集部

従業員が安心して働ける環境を提供するための、IT資産管理、情報漏洩対策、労務管理に関するコンテンツを発信しています。

Watchyは、株式会社スタメンが運営するクラウドサービスです。企業のIT情報統制の課題やバックオフィスの課題を、情報システム担当者が手薄な状況でも、Watchyが解決。設定・運用の手間を最小化しながら、押さえるべきポイントを確実に押さえた企業統制の実現を支援します。

【株式会社スタメンについて】 東京証券取引所グロース市場上場。Watchy、TUNAGなど、人と組織の課題解決を実現するSaaSを展開。情報セキュリティマネジメントシステム(ISMS)及びプライバシーマークを取得。