テレワークのセキュリティ対策を強化するための3ステップ

働き方改革などの影響で、テレワークの導入が進められています。しかしその一方で、オフィスワークと比べた「リスク」が拭えず、テレワーク導入に踏み切れていない企業も多いのではないでしょうか。

そこで今回は、テレワーク時に潜むリスクの中でも「セキュリティ上のリスク」に焦点をあて、具体的な対策とともに解説します。

【１】テレワーク時に潜むセキュリティ上のリスクとは？

テレワーク時に潜むセキュリティ上のリスクは、大きく2つに分かれます。

1.セキュリティの認識不足によるリスク
2.PCの脆弱性をついた攻撃によるリスク

まずは、それぞれのリスクの違いを見ていきましょう。

1.セキュリティの認識不足によるリスク

1つ目は、「セキュリティの認識不足によるリスク」です。

テレワークでは、働き方だけでなく「働く環境」も変わります。その影響で、以下のようなリスクにつながってしまう可能性があるのです。

①ウイルス感染
・不正サイトだと気づかず、アクセスしてしまった
・禁止ソフトウェアだと気付かず、ダウンロードしてしまった

②情報漏えい
・カフェの無料Wi-Fiを利用し、データを不正に見られた
・外で業務中にトイレに行く際、パソコンを盗難された

また、情報漏えいが起こる原因は、他にもいろいろあります。以下で情報漏えいの事例・対策についてまとめているので、ご一読ください。
5つの事例から学ぶ、テレワークの情報漏えい対策

2.PCの脆弱性をついた攻撃によるリスク

2つ目は「PCの脆弱性をついた攻撃によるリスク」です。

PCに脆弱性がある状態とは「PCに外部から攻撃しやすい”弱点”が残っている状態」を指します。その脆弱性（弱点）を突かれてウイルスなどに感染してしまい、セキュリティ事故を引き起こしかねません。

もちろん新しく脆弱性が見つかったとしても、そのほとんどはOSやソフトウェアの自動アップデートで解消することが可能です。しかし、PCなどの利用者がアップデートを「手動」に変更していると、更新漏れから脆弱性が残ってしまう場合があります。アップデートは全員常にできているものと考えるのは危険です。

とはいえ、現在多くの企業で使われているWindows10にも標準搭載されているセキュリティ機能があります。この機能では、脆弱性を突いた攻撃が防げないのでしょうか？

そこで「Windows10標準のセキュリティで守れるもの、守り切れないもの」について、解説します。

【２】脆弱性をついた攻撃は、Windows10標準のセキュリティでは防ぎきれないのか

ここからは、Windows10標準のセキュリティ「Windows Defender」で守れるもの、守り切れないものについて解説していきます。

「【前編】Windows10の標準セキュリティ機能だけで、会社の安全を守り切れるのか」で詳しく解説していますが、「Windows Defender」には「ウイルスと脅威の防止」機能があります。

この機能では、パターンファイル（過去に見つかったウイルスのパターンをまとめた、データファイル）を利用して、ウイルスを検知・駆除できます。そのため「すでに知っているパターンのウイルス」に対しては、とても有効です。

しかし近年では、「未知のウイルス」や既存のウイルスをもとに作り出された「亜種ウイルス」と呼ばれるものなど、パターンファイルに一致しないウイルスも増えてきています。

たとえばIPA（1970年に日本のIT業界の発展を支援する目的で設立された、独立行政法人）の発表では、「亜種が無数に存在し、ウイルスの種類の特定が難しい」と言われています。
参考：IPA「コンピュータウイルス・不正アクセスの届出状況［2019年（1月～12月）］」

このことから「パターンファイル頼りのWindows Defenderだけでは、未知のウイルスを防ぎきることは難しい」と言えそうです。

また、テレワーク時に必要なセキュリティ対策には「ウイルス感染の対策」だけではなく、「持ち出しPCの盗難」などの物理的な対策も必要です。

ではどうしていくべきか、テレワーク時のセキュリティ対策を強化する方法について考えていきます。

このことから「パターンファイル頼りのWindows Defenderだけでは、未知のウイルスを防ぎきることは難しい」と言えそうです。

また、テレワーク時に必要なセキュリティ対策には「ウイルス感染の対策」だけではなく、「持ち出しPCの盗難」などの物理的な対策も必要です。

ではどうしていくべきか、テレワーク時のセキュリティ対策を強化する方法について考えていきます。

【３】テレワーク時のセキュリティ対策を強化する方法は？

テレワーク時のセキュリティ対策を強化するには、以下3つの対策が重要です。

分類	対策
1.セキュリティの認識不足を解消する	1-1.ルールを作る
1.セキュリティの認識不足を解消する	1-2.社内教育を行う
2.認識不足に依存しない対策を行う	2-1.システムを導入する

1つずつ詳しく見ていきましょう。

1.ルールを作る

まずは、テレワーク時のルール作りです。

新たにテレワークを導入する場合は特に、「従業員が何を守ればセキュリティが担保できるのかを示すルール」が重要となってきます。

ルールの具体的な作り方や作るタイミングについては、厚生労働省の「テレワーク相談センター」にある、「ルールを作る流れ」や、「テレワーク勤務にかかる就業規則・諸規程改定項目一覧」を見るのがおすすめです。

参考：テレワークに関する社内ルール作り – テレワーク相談センター

こちらを確認し、まずは流れとルールを作るイメージを固めていきましょう。

その後、同じく厚生労働省の「テレワークモデル就業規則」を参考に、具体的な就業規程の変更点や、テレワーク時の新たな規程を作っていきましょう。

出典：テレワークモデル就業規則

総務省の「テレワークセキュリティガイドライン」もテレワーク時にどんな対策が必要か、基礎から詳しく解説されているので、ぜひ参考にしてみてください。

そうしてテレワーク時のルールを作成した後は、「テレワーク時のセキュリティを守るための社内教育」を実施するのがおすすめです。

社員として具体的に何を守ればいいのかを周知することで、社内全体のセキュリティ強化につながります。

2.社内教育を行う

社内教育とは、以下をまとめた資料を作り、「社内説明会」や「eラーニング」などを通じて教育を行うことです。

・テレワーク時に変わる働き方の変化
・テレワーク時に起こるセキュリティ上の問題の事例と対策
・自社でテレワークを行う際のセキュリティ上の注意点

「働き方の変化」については、先ほども紹介した総務省の「テレワークセキュリティガイドライン」が参考となります。

セキュリティ上の問題の事例と対策については、「5つの事例から学ぶ、テレワークの情報漏えい対策」などでも詳しく解説しているので、一読すると対策のイメージがつかみやすくなります。

さてここまでテレワークのルールや社内教育などについて解説しましたが、そもそも気を付けるだけでは防ぎきれないリスクも多数あるものです。

そのため「テレワーク時のセキュリティを強化するためのシステム」も導入する必要があります。

3.システムを導入する

セキュリティを強化するためによく挙げられるのはウイルス対策ソフトですが、それだけでは「脆弱性を突いた攻撃」や「持ち出しPCの盗難」などを防ぎきるのは困難です。

そこでウイルス対策ソフトと併用して、IT資産管理ツールを導入する企業が増えてきています。

たとえば、IT資産管理ツール『ISM CloudOne』には、これまでお伝えしたセキュリティ上のリスクが対策できる機能があります。

■ウイルス感染

不正サイトだと気づかず、アクセスした
→国内シェアNo.1を誇る「URLデータベース」を利用して、不正サイトへのアクセスを防止できる「URLフィルタリング」機能がある
禁止ソフトウェアだと気付かず、ダウンロードした
→「禁止ソフトウェア起動制御」機能で、禁止ソフトウェアの実行を阻止できる

■情報漏洩

普段よく行くカフェにある、無料Wi-Fiを使って仕事をし、情報が覗かれた
→「通信デバイス制御」機能で、会社ポリシーで許可したネットワークのみ接続を許可できる
持ち出しPCが盗難されてしまい、情報漏えいした
→ハードウェアを暗号化する『BitLocker』の対応状況の確認や制御ができる、「BitLocker管理・制御機能」がある

■脆弱性を突いた攻撃

Windows Updateを忘れてしまい、脆弱性を放置した
→「Windows10管理機能」が優れており、Windows Updateの管理や更新プログラムの一括送信ができる
未知のマルウェアから攻撃を受け、ウイルスに感染した
→パターンマッチング方式だけでは防ぎきれない攻撃から守る「ふるまい検知」機能がある

また、以下のように導入実績もとても多いです。