テレワークにおけるセキュリティ不安とその対策
～ IPA調査から読み解く ～

コロナ禍で、テレワークはどれだけ導入されたのか

ただし、テレワークにまったく課題がないわけではない。基本的に完全テレワークを行っている従業員のうちの約5割が、セキュリティインシデントによりPCやスマートフォンが使えなくなった場合に、マニュアルが参照できないことへの不安を示している。また、週2回以下のテレワーク実施者もセキュリティインシデント発生時の対処方法がわからないことが不安であると回答している。

このようにテレワークを実施する頻度によって差はあるものの、セキュリティインシデント発生時の対応に多くの従業員が不安を感じているのが実情だ。

具体的にどんなセキュリティインシデントが発生することを危惧しているのだろうか。「テレワークの実施で不安に思うこと」という問いに対する回答として6割超の従業員が示した不安のトップ3は、端末の紛失（30.1%）、盗難（29.5%）、情報漏えい（25.1%）である。

切り口を少し変えた設問で、「個人端末を利用したテレワークで、自分の責任になってしまうのはないかと不安のあるセキュリティインシデント」という問いに対して寄せられた不安のトップ３は、ウイルス感染（39.1%）、情報漏えい（34.7%）、端末の紛失（27.3%）となっている。

同様に「会社支給端末を利用したテレワークで、自分の責任になってしまうのはないかと不安のあるセキュリティインシデント」という問いに対して寄せられた不安のトップ３は、ウイルス感染（35.4%）、端末の紛失（34.9%）、情報漏えい（29.8%）だ。

また、自分だけでなくテレワークの導入拡大に伴う取引先のセキュリティ対策に不安を感じている従業員も５割を超えている。内訳を見ると、情報漏えい時の経路が判明のしにくさに不安を感じている人が27.1％で最多となっており、テレワークにおけるリスクを多面的に捉えていく必要がある。

テレワークに対する上記のような不安を解消するために、従業員が安心できるセキュリティ対策を施すことが急務だ。

とはいえ、新型コロナウイルスの感染拡大に伴い発出された緊急事態宣言に対する一時的措置として始まった経緯もあり、本格的なテレワーク環境が整備されていないケースも多く、まずは従業員自身にセキュリティ対策を強く意識させる必要がある。

IPAでは、日常における情報セキュリティ対策として、個人端末の利用者に対して、以下の事項を常に留意するよう促している。

• 修正プログラムの適用
• セキュリティソフトの導入および定義ファイルの最新化
• パスワードの適切な設定と管理
• 不審なメールに注意
• USBメモリなどの取り扱いの注意
• 社内ネットワークへの機器接続ルールの遵守
• ソフトウェアをインストールする際の注意
• パソコンなどの画面ロック機能の設定

また、テレワーク時に特に気をつけるべきこととして次のような注意事項を示している。

テレワークで使用するPCなどは、できる限り他人と共有して使わないようにする。共有で使わざるを得ない場合は、業務用のユーザーアカウントを別途作成する。 Web会議のサービスなどを新たに使い始める際は、事前にそのサービスなどの初期設定の内容を確認し、特にセキュリティ機能は積極的に活用する。 自宅のWi-Fiルータなどは、メーカーのサイトを確認のうえ、最新のファームウェアを適用しておく。

ただし、テレワークを行っている従業員は必ずしもITについて詳しい知識を持っているわけではないため、IT部門や部門内のアドミニストレーターが常に実施状況を確認しつつ適宜サポートを行う必要がある。

さらに自社のテレワークにおけるセキュリティ対策は、取引先からも注視されていることをしっかり認識しておく必要がある。取引先のセキュリティ対策に不安を感じている従業員も５割を超えていると前述したが、裏を返せば自社のセキュリティ対策も同様に取引先から不安視されている可能性があるのだ。

IPAが2020年11月から12月にかけて実施した「テレワークにおける実施およびルール策定の状況、実施に伴う業務委託に関する不安に関する調査結果」によれば、テレワーク実施時の社内規程・規則・手順などの課題として、社員の理解が不十分とする項目で委託元は47.7％であるのに対して委託先は27.4％にとどまっている。同様にルールが周知できていないとする項目でも委託元は36.7％であるのに対して委託先は19.7％にとどまる。

このようにテレワークのセキュリティ対策に関する従業員の理解やポリシー/ルールの周知について、委託元と委託先で課題認識にはかなり大きな差がある。委託先がテレワークを実施することに対する課題として、委託先からの情報漏洩を懸念する委託元の割合が33.2%で最多となっていることからもそれが見てとれる。

自分たちが他社からどう見られているのかは、ついおろそかになりがちなだけに注意を怠らずにいてほしい。

具体的にはテレワーク導入後のセキュリティインシデントへの対応策を以下に記載する。これらを基にポリシー/ルールを見直すとともに、委託元と委託先の双方で対応体制や手順の取り決めを行うことが肝要だ。

• セキュリティインシデント発生時の連絡体制（社外から問い合わせできる連絡先）
• セキュリティインシデント発生時の対応マニュアル
• 情報システム担当者のテレワークを念頭に置いた対応計画システム障害対策を含むIT-BCPの計画・体制
• セキュリティインシデント対応の教育訓練の内容

テレワークのセキュリティ対策は広範囲に及ぶため完璧を期すのは容易ではないが、とにかく出来るところから始めることが重要である。 　例えばテレワーク時の従業員が何らかの異常を感じた際に、即座にそれを伝える手段を用意することも効果的だ。ある企業は、すべての従業員が利用するWebポータルに「緊急連絡」というボタンを配備した。このボタンを押すと、社内のセキュリティ部門に即座に通知され、状況に応じた対策が行われる仕組みだ。この施策はテレワーク環境において一人で不安を抱えている従業員のストレスを解消することにも役立っている。

さらに一歩進んだ企業の間では、テレワークで利用する端末にEDR（Endpoint Detection and Response）というエンドポイントセキュリティ製品を導入するケースも増えている。これによりロケーションを意識することなく、セキュリティインシデントに対して迅速に調査や対処を行うことが可能となる。マルウェア感染した端末をリモートから論理的に切り離すこともでき、社内外への二次感染を防ぐ意味でも効果を発揮する。

また、仮想デスクトップサ―ビス（DaaS）やシンクライアント端末の活用もぜひ検討していただきたい対策の一つだ。端末には一切データが残らないため、万一の盗難・紛失時にもリスクは少なく、アンチウイルスや情報漏えい対策などの施策もセンター側から実施することができ、前述のIPAの調査結果にもあったような、「自分がセキュリティインシデントの責任を問われるのではないか」といった従業員の不安を解消することができる。

IT部門だけでは対応しきれない場合は外部のセキュリティ対策ベンダーの協力も受けながら、打てる手を確実に実行していただきたい。