2022.02.09

ウイルスの侵入を防いでテレワークのセキュリティ対策を万全に!!

昨今、働き方の多様化にともない多くの企業がテレワークを導入、検討しています。テレワークは柔軟な環境で働けるため人材確保や生産性向上などのメリットがある一方、目が届きにくいためウイルス感染をはじめとしたセキュリティリスクが高くなりがちです。

この記事では、テレワークを安全に導入できるよう、テレワークのメリットやセキュリティリスク、実際のトラブル事例、まずは実践すべき対策について詳しく解説します。「テレワークを導入したいけど、大丈夫?」と不安な方に、ご一読いただきたい内容です。

STC診断

テレワークを導入するメリット

総務省の調査で社員10名以上の企業のうち25%がテレワークを導入、6.5%が今後予定と回答。(※1) 急速にテレワークが広まるなか、そのメリットについて見ていきます。

テレワークの導入状況

※1 総務省「テレワークセキュリティに関する2次実態調査」
https://www.soumu.go.jp/main_content/000744642.pdf

人材の確保・育成

人々の価値観が多様化している今日において、柔軟な働き方を求める声は少なくありません。そして、少子化による人材不足で売り手市場となっていることも含めると、テレワークの実施は優秀な人材を確保するための大きなアピールポイントとなります。

生産性の向上

テレワークを実施すると、社員は自宅やカフェ、コワーキングスペースなど自由な場所で働けるようになります。そして、多くの場合で社員のワークライフバランスは改善され、業務に集中できる環境が構築されることで生産性の向上が期待できるのです。

緊急時の事業の継続

オフィスありきで業務をしていると、災害や感染症拡大などの緊急事態で出社できなくなるだけで事業の継続が困難になります。一方、テレワークの仕組みづくりができていれば、柔軟に対応しやすく、緊急事態でも業務が麻痺するのを防ぎやすいわけです。

テレワークのセキュリティリスク

今後、さらに普及が予想されるテレワークですが、同時にセキュリティリスクが増えることも忘れてはいけません。例えば、以下のようなセキュリティリスクが挙げられます。

端末の紛失・盗難

テレワークではパソコンや、スマホなど端末が社外に持ち出されます。当然、こうした端末には紛失・盗難のリスクがあるわけで、万が一、商品の開発データや顧客情報などが漏えいする事態となれば、顧客からの信用を失うことにもなりかねないのです。

端末のウイルス感染

上司の目が届きづらいテレワークでは、端末の管理を疎かにする社員が増えやすいものです。また、企業によっては社員の私物端末で代用しているケースも珍しくなく、そうなると端末のウイルス対策が不十分になりやすいため、感染リスクが高まります。

詐欺メールの巧妙な罠

昨今、メールやSNSを悪用した詐欺メールが増加しています。(※2) その手口は年々巧妙化しており、「開かなければ大丈夫」くらいの認識では、気づいたときには添付ファイルを開くよう誘導され、ウイルス感染している可能性が十分にあるわけです。

※2 日経新聞「標的型メール攻撃、過去最多ペース、上半期3900件」
https://www.nikkei.com/article/DGXMZO64479980R01C20A0CR8000/

自宅回線から情報漏えい

社員の自宅回線は適切にセキュリティが施されているのか把握しづらく、そのためにテレワークでは不正アクセスにつながるリスクが高まります。また、気晴らしに外で仕事する社員もいると、無料の公衆Wi-Fiの危険性についても考えなくてはいけません。

RDPへの不正アクセス

テレワークではRDP(リモートデスクトップ)を活用する企業も多いわけですが、最近はここを標的とした不正アクセスが増加しています。そのリスクを理解せず、「便利だから」という理由だけで導入してしまうとサーバー丸ごと情報漏えいする可能性があるのです。

テレワークにおけるトラブル事例

テレワークは人材確保や生産性向上などメリットがある一方で、端末の紛失・盗難やウイルス感染などリスクもあります。例えば、過去には以下のような事件が発生しました。

USBの紛失から3,000名以上の個人情報が漏えい

2020年6月、ある教育機関でテレワークのためにUSBを持ち出したところ紛失する事故が発生しました。これにより、児童とその関係者のべ3,000名以上の氏名、住所、電話番号などの個人情報が流出。同機関は関係者に向けて謝罪する事態となりました。

この事例では紛失でしたが、これがもし悪意ある第三者による盗難であれば、関係者が別の犯罪に遭い、取り返しのつかない事態に発展していた可能性もあるのです。

1台のウイルス感染から個人情報1万件が漏えい

2020年5月、ある企業のグループ会社の社員にフリーメールが届き、その社員が誤って添付ファイルを開いたところパソコンがウイルス感染する事件が発生。これにより、氏名やメールアドレスなどの1万名以上の個人情報が漏えいする事態となりました。

この事例は不用意にメールを開いたのが原因ですが、フリーメールのような非正規アプリは対策ソフトの検知機能が適切に機能しないこともあるので注意が必要です。

テレワーク端末を踏み台に社内サーバーに侵入

2020年5月、テレワークのために社員が私物端末から社内ネットワークにリモートアクセスしたところ、正規アカウントを盗まれる事件が発生。悪意ある第三者に顧客情報を閲覧された可能性があるとして、180社以上の顧客に影響する事態となりました。

この事例では社内ネットワークは対策されていましたが、テレワーク端末の対策が不十分で踏み台にされたことが原因と考えられます。

なお、このほかにもテレワークでのトラブル事例はさまざま報告されています。詳しくは総務省のガイドラインに掲載されているので、ぜひ一読ください。(※3)

※3 総務省「テレワークセキュリティガイドライン 第5版」
https://www.soumu.go.jp/main_content/000752925.pdf

EUが世界一危険なウイルス撲滅に乗り出すも……

2021年1月、欧州刑事警察機構は世界一危険なウイルス「Emotet」のネットワーク制圧を発表しました。しかし、残念なことにその脅威が去ったとはまだ言えない状況です。

Emotetとは

Emotetとはメールを媒介にして、パソコンやスマホなど端末に感染するウイルスのひとつです。その特徴は、感染拡大の速さ。1台のパソコンがこのウイルスに感染すると、端末からメールアドレスや社内ネットワークのアカウントなどを盗取し、その情報をもとに感染を広げていくのです。Emotetによるとされる被害は世界で25億ドル(1,000億円)以上にのぼるとされ、日本でもこのウイルスによる被害例が報告されています。

EU圏では一斉摘発された

感染拡大の速さで世界中に被害をもたらしてきたEmotetに対して、欧州刑事警察機構はこのウイルスを撲滅するべくオペレーション「LADYBIRD(テントウムシ)」を決行。ウクライナ警察は犯行組織の拠点に突入し、オランダ警察はメインサーバー3台のうち、国内に存在した2台の制圧に成功しました。その結果、前述したように欧州刑事警察機構は2021年1月にEmotetのネットワーク制圧を世界に発表したわけです。

開発元を摘発しても安心できない

世界の警察機構はウイルスの開発元の摘発に乗り出してはいます。そして、Emotetの事例のように一定の成果をあげてはいますが、安心してはいけません。一度生まれ、拡散されたウイルスにはさまざまな悪意あるエンジニアが開発に参加するようになり、ひとつのウイルスからさまざまな性質をもつ変異種が次々に生まれてきます。

事実、欧州刑事警察機構により2021年1月にネットワーク制圧が発表されたEmotetでしたが、それから1年もたたずにその活動再開が報告されました。(※4) つまり、仮に一時的に収束したかに見えても、またすぐ流行するときがきてもおかしくはない。セキュリティ対策に終わりはなく、つねに最新の状態を維持するしかないのです。

※4 トレンドマイクロ「テイクダウンされた「EMOTET」が活動再開」
https://blog.trendmicro.co.jp/archives/29256

テレワークですべきウイルス対策

Emotetの事例のようにウイルスは収束と、再流行を繰り返すもので、テレワークでも継続したセキュリティ対策が欠かせません。とくに以下のような、基本の対策が重要です。

セキュリティソフトの導入

企業からの貸与、社員の私物にかかわらず、テレワークで使用するすべての端末にセキュリティソフトを導入しましょう。なお、サポート切れのものは最新のウイルスには対応していない可能性が高いので、すぐにアップデートすることをおすすめします。

OSやアプリは常に最新版

セキュリティソフトに限らず、使用している端末のOS、業務システムやアプリも最新版にアップデートしておきます。システムの開発元はプログラムの脆弱性を見つけしだい修正をかけており、基本的には最新版のバージョンほどウイルスに強いためです。

パスワード管理の徹底

テレワークで使用される端末、アプリなどのログインパスワードを誕生日や名前など推測されやすいものや、同じものを使いまわしていると不正アクセスのリスクが高まります。できるだけ長く複雑なものにして、さらに定期的に変更するとより安全です。

自宅ネットワークの見直し

社員の自宅ネットワークは、オフィスの社内ネットワークと比べてセキュリティ対策が不十分になりがちです。企業がネットワーク機器も貸与するのがいいのですが、難しいのであればVPNやクラウドサービスなどを活用して対策を強化する手もあります。

テレワークのルールの周知

ここまでのウイルス対策を含め、テレワーク時のルールを策定し、社員に周知しておきます。また同時に、ウイルス感染が起きた際にどのような被害が想定されるのか、責任の所在はどうなるのかなど社員がリスクを理解できるように研修も欠かせません。

テレワークには仮想デスクトップ(VDI)

社員一人ひとりに端末を貸与し、ウイルス対策を施して、とするのもいいですが、企業側に大きなコストがかかります。そこで、検討したいのが仮想デスクトップ(VDI)です。

仮想デスクトップ(VDI)とは

仮想デスクトップ(VDI)とはサーバーにあるデスクトップ環境を、遠隔地の端末からリモートで利用できるようにしたシステムです。通常は社員一人ひとりにパソコンを貸与し、それぞれにOSやアプリをインストールするものですが、仮想デスクトップ(VDI)はサーバーのデスクトップ環境を全員で共有できるためその必要がありません。

仮想デスクトップ(VDI)のメリット

  • データはすべてサーバ上にあるので、個々の端末にデータが残らない
  • 仮想デスクトップで一括運用するので、一貫したセキュリティ対策ができる
  • 一括して管理、運用できるので導入や保守管理に関わるコストを削減できる

テレワークでは社員一人ひとりの端末に目が届きにくく、セキュリティ対策が不十分になりがちですが、仮想デスクトップ(VDI)であれば一括管理できるわけです。

仮想デスクトップ(VDI)のデメリット

  • サーバ負荷が大きいため、企業が個別に導入するにはコストがかかる
  • 仮想デスクトップ側が感染すると、すべての端末に広がるリスクがある
  • 個々の端末を踏み台にして、仮想デスクトップ側が狙われるケースもある

企業が個別に仮想デスクトップ(VDI)環境を構築するオンプレミス型の場合、初期コストの高さやサーバ負荷などの問題が発生する可能性があります。一方、クラウド型仮想デスクトップ(VDI)であれば、初期コストが抑えられるためスモールスタートにも向いています。サーバのスケール管理もサービスを提供する事業者にゆだねることができます。

また、セキュリティリスクに関しても、企業が独自の責任とノウハウでサーバを守る必要のあるオンプレミス型と異なり、サービス提供事業者がさまざまな知見を積み重ねています。

NTTコムウェアの「s-WorkSquare」のようにサーバやシステムへのアクセスと回線を切り離したり、秘匿性の高い仮想専用回線を利用したりすることで、リスクを封じ込めることが可能です。(※5)

NTTコムウェア「s-WorkSquare」
https://www.nttcom.co.jp/dscb/sworksquare/index.html

まとめ

働き方が多様化している今、テレワークは優秀な人材の確保、生産性の向上などさまざまなメリットがあります。一方で、オフィスに社員がいないことで目が届きにくくなり、端末のウイルス感染や情報漏えいなどのセキュリティリスクがあることは無視できません。

ただ、そもそもセキュリティリスクはテレワークに関係なく存在しています。そして、大半のリスクは正しく理解し、適切に対処することで回避できるものばかりです。「リスクがあるから、テレワークは実施しない」と否定するのではなく今後、必要とされる働き方のひとつとして「どうすれば安全に実施できるのか」と前向きに検討してみてください。

なお、NTTコムウェアでは自社のセキュリティ状況やテレワーク環境、コミュニケーション環境を簡単に把握できる「STC診断」をオンラインで無料公開しています。よろしければ、以下よりお試しください。

STC診断

よくある質問

テレワークで社員の私物端末を使うのはダメ?

社員の私物端末はセキュリティ対策が不十分なことも珍しくありません。しかし、仮想デスクトップ(VDI)を適切に利用することで、社員の端末から直接業務システムにアクセスすることなく、また業務に必要なファイルを端末にダウンロードせずに扱える環境を構築することで、私物端末でも十分なセキュリティを確保することが可能です。

テレワークはウイルス感染のリスクが高いの?

オフィス勤務とは異なり、テレワークでは物理的に目が届きづらくなります。そのため、端末が適切に扱われなくても気づきづらく、ウイルス感染のリスクが高まるわけです。ただ、端末の取り扱いルールを明確にし、周知することでリスクは抑えられます。

テレワークはウイルス対策だけすればいいの?

テレワークのセキュリティリスクはウイルス感染だけではありません。詐欺メールのような外部の要因のほか、社員がうっかり端末を紛失するような内的な要因も考えられます。ウイルス対策だけでなく、基本の対策をバランスよく実施することが効果的です。