テレワーク(リモートワーク)が普及し、自宅やカフェなどオフィス以外の場所でも仕事ができるようになりました。
働き方の柔軟性や通勤時間の削減などメリットは多い一方で、オフィス内での勤務に比べて情報漏えいのリスクが高まることに注意が必要です。
実際にテレワーク環境を狙ったサイバー攻撃やヒューマンエラーによるトラブル事例も報告されており、企業・従業員の双方がセキュリティ対策を意識することが重要です。
ここでは、テレワークによって増大する代表的な情報漏洩リスクを5つに分類して紹介し、それぞれの防止策(データを守る方法)について、企業・従業員双方の視点から解説します。
⇒【ロリポップ!固定IPアクセス】 月額490円、すぐに使えて最大2ヶ月間無料!
1. 端末や記録媒体の紛失・盗難による情報漏えいリスク
テレワークでは業務用ノートPCやタブレット端末を社外に持ち出して使用するケースが増えます。
また、自宅の私用PCやスマートフォンを業務に利用するBYOD(私物端末の業務利用)も一般的です。こうした端末や記録媒体の紛失・盗難は、テレワーク中の重大なリスクの一つです。
例えば外出先でノートPCを置き忘れたり、移動中にスマホを紛失したりすると、端末内の機密データや顧客情報が第三者の手に渡り、情報漏洩につながる可能性があります。
USBメモリなどの外部記録媒体や、紙の資料の紛失・盗難にも注意が必要です。
実際にデバイスの紛失が原因で個人情報が流出した事例も報告されており、企業にとって社会的信用を損なう重大な問題となり得ます。
防止策
- 企業側の対策 社外に持ち出す機器や資料の取り扱いルールを定め、従業員に周知します。 例えば「テレワーク用端末には社内データを保存せず、リモートデスクトップ経由で業務を行う」「社用PCの私的利用禁止」「退社時に端末を所定の場所へ返却する」などのルールを設けます。 併せて、モバイル端末管理(MDM)ツールの導入も有効です。MDMにより遠隔でデバイスのロックやワイプ(データ消去)が可能になるため、万一端末を失っても情報漏えいリスクを最小限に抑えられます。 また、端末内の重要データは必ず暗号化し、パスワードや生体認証の設定を義務付けましょう。
- 従業員側の対策 業務端末や資料の管理を徹底します。 外出先で作業する場合は常にデバイスから目を離さず、席を離れる際はPCをロッカーにしまうかケーブルロックをかけるなど盗難防止に努めます。 移動中もカバンの中にしまう・肌身離さず持つなどして紛失を防ぎましょう。 また、端末には必ずログインロックを設定し、万が一紛失しても第三者に中身を見られないようにします。 私物端末を業務に使う場合は、会社の許可したデバイスのみ利用し、セキュリティソフトやOSアップデートを適切に維持してください。
⇒【ロリポップ!固定IPアクセス】 月額490円、すぐに使えて最大2ヶ月間無料!
2. 公衆Wi-Fiなど安全でない通信環境の利用リスク
自宅以外でテレワークを行う際、つい無料の公衆無線LAN(フリーWi-Fi)を利用したくなるかもしれません。
しかし、暗号化されていないフリーWi-Fiやセキュリティの低い回線を使うことは大きなリスクです。
悪意ある第三者に通信内容を盗聴されたり、偽のWi-Fiスポットに誘導されて機密情報を抜き取られたりする可能性があります。
実際、フリーWi-Fi経由で社内情報が競合他社に漏れていたという事例も報告されています。
また、自宅のインターネット環境であっても安心はできません。
初期設定のままでパスワードが弱い家庭用ルーターや、十分なセキュリティ設定がされていないネットワークでは、社内と比べて通信傍受や不正侵入を許してしまうリスクがあります。
テレワークではオフィス内の安全な社内LANを離れて業務を行うため、常に「ここは社外だ」という意識で通信環境の安全性に注意を払う必要があります。
防止策:
- 企業側の対策 従業員に対し、公共の無料Wi-Fiスポットの利用を原則禁止するか、やむを得ず利用する場合のガイドラインを設けます。 「社外では可能な限りスマホのテザリングやモバイルルーターを使用し、安易にフリーWi-Fiに接続しない」等の指示を明文化しましょう。 また、VPNの利用を必須化することも有効です。 VPN(Virtual Private Network)はインターネット上に暗号化された仮想専用回線を構築する技術で、たとえ暗号化されていないWi-Fiを使用しても通信内容を保護できます。 会社支給のPCに信頼できるVPNクライアントを導入し、社外から社内システムにアクセスする際は必ずVPN経由にするよう徹底します。 これにより、通信の盗聴や改ざんリスクを大幅に低減できます。 併せて、自宅のネットワークについてもセキュリティチェックを行い、古いルーターのファームウェア更新や強力なパスワード設定を指導すると良いでしょう。
- 従業員側の対策 公衆Wi-Fiには極力接続しない習慣を持つことが大切です。 カフェなどで作業する場合は、自分専用のモバイルWi-Fiルーターやスマートフォンのテザリングを活用し、不特定多数が共有する回線を避けてください。 どうしてもフリーWi-Fiを使う必要がある場合でも、会社から支給されたVPNを必ず起動して通信を暗号化してから利用します。 また、自宅のWi-Fiルーターも定期的に設定を見直しましょう(暗号化方式はWPA2以上、管理画面のパスワード変更、ファームウェア更新など)。 些細な設定ですが、こうした積み重ねが情報漏えいの防止につながります。
⇒【ロリポップ!固定IPアクセス】 月額490円、すぐに使えて最大2ヶ月間無料!
3. 覗き見や画面・書類の放置による情報漏えいリスク
テレワーク中は自宅や公共の場でPC作業を行うため、第三者による画面の覗き見(ショルダーハッキング)にも注意が必要です。
カフェや新幹線の中でPC画面に社外秘の資料を表示したままにしていないでしょうか? 周囲に人がいる環境で機密情報が見えてしまうと、写真に撮られてインターネット上に拡散される恐れすらあります。
実際に「カフェで商談資料を机に置いたまま席を外した隙に、資料を撮影されて匿名掲示板に顧客情報が漏えいした」というケースも報告されています。
また、覗き見のリスクは外出先だけでなく自宅でも起こり得ます。家族が何気なく画面を覗き込み、そこに映っていた社内情報を口外してしまうといった可能性もゼロではありません。
加えて、端末画面の開きっぱなしや書類の放置も危険です。在宅勤務ではオフィスと違い他の社員の目が届かないため、つい気が緩みがちです。
例えば自宅で席を離れる際にPCの画面ロックをせず放置すると、家族や訪問者が画面を見てしまうかもしれません。
オフィスなら問題ない些細な行動でも、テレワーク環境では情報漏洩のきっかけになり得る点を意識しましょう。
防止策:
- 企業側の対策 従業員に対し、テレワーク中の覗き見防止策を徹底するよう教育します。 具体的には「外出先で機密資料を扱う業務は禁止」「どうしても公共の場で作業する場合は周囲に人がいない席を選ぶ」などのルール化が考えられます。 また、必要に応じてプライバシーフィルター(のぞき見防止フィルム)を配布するのも有効です。 フィルターを画面に貼れば横から画面内容が見えにくくなるため、カフェや新幹線での作業時も安心感が高まります。 さらに、「席を離れるときは必ず画面をロックする」「紙の資料は常に施錠できる引き出しに保管するか持ち歩く」ことをルールとして周知しましょう。 これらの対策を就業規則やガイドラインに明記し、違反時の注意喚起も行うことで抑止力を高めます。
- 従業員側の対策 自宅でも外出先でも、機密情報が載った画面や書類は他人に見られてしまう可能性があることを常に意識してください。 外ではノートPCにプライバシーフィルターを装着し、背後や横に人がいないか適宜確認しながら作業しましょう。 画面を他人に見られそうな場所では、画面の角度を調整したり、衝立のある席を選ぶ工夫も大切です。 離席するときはWindowsロック(Win+L)やスクリーンセーバーの自動ロックを必ず実行し、短時間でも端末を無防備な状態にしない習慣をつけます。 紙媒体の資料についても同様で、印刷した書類は必要最低限に留め、不要になったらシュレッダーで確実に廃棄してください。 自宅では家族にも「仕事の資料は他言無用」と説明し、子供がいる家庭では仕事エリアに立ち入らないよう配慮いただくと安心です。
4. サイバー攻撃(フィッシング詐欺・マルウェア感染)による情報漏えいリスク
テレワーク環境では、従業員がオフィス内にいる時以上にサイバー攻撃の標的になりやすい傾向があります。
実際、情報処理推進機構(IPA)の「情報セキュリティ10大脅威」でも、テレワークを狙った攻撃が上位に挙げられています。
社外でインターネットに常時接続して業務を行うテレワーカーは、攻撃者から見ると格好のターゲットだからです。
フィッシング詐欺メールやマルウェア感染は特に注意すべきリスクです。
例えば「在宅勤務の案内」や「宅配便の不在通知」を装った巧妙なフィッシングメールが届き、うっかり添付ファイルを開いてしまうとウイルスに感染する恐れがあります。
また、業務とは無関係なWebサイトを閲覧した際にマルウェアに感染したり、出所不明のフリーソフトを私用PCにインストールしてウイルスを招き入れてしまうケースも考えられます。
テレワークでは管理者の直接的な目が行き届かないため、端末がマルウェアに感染しても発見や対処が遅れてしまう可能性があります。
その間にウイルスが社内ネットワーク上の共有サーバーや他のPCにまで拡散し、被害が拡大する危険性も指摘されています。
さらにマルウェアに感染すると、端末内のデータを勝手に外部へ送信されたり、第三者にPCを遠隔操作されたり、機密ファイルを暗号化されて業務が止まる(ランサムウェア攻撃)といった深刻な事態にもなりかねません。
防止策:
- 企業側の対策 テレワーク用端末には必ずウイルス対策ソフトを導入し、最新の状態に保つよう管理します。 従業員任せにせず、IT部門が一元的にアップデート状況を把握できる仕組みが望ましいでしょう。 併せて、メールフィルタリングやWebフィルタリングの仕組みを用意できれば理想的です。不審な添付ファイルやURLを含むメールを自動検出・隔離したり、危険なWebサイトへのアクセスを社内ポリシーでブロックすることで、かなりの攻撃を未然に防げます。 また、セキュリティ教育の強化も重要です。 フィッシング詐欺の最新手口や在宅勤務で起こりがちなトラブル事例を社内研修やeラーニングで定期的に共有し、従業員のセキュリティ意識を高めましょう。 「怪しいメールやリンクは開かない」「業務に不要なアプリはインストールしない」といった基本ルールを継続して周知徹底することが肝心です。 万一ウイルス感染が疑われる兆候(PCの挙動が不審、身に覚えのないファイルの存在など)があれば迅速に報告させる体制も整えてください。
- 従業員側の対策 自分宛てのメールやチャットメッセージに常に警戒心を持ちましょう。 送り主をよく確認し、少しでも不審に思ったメールの添付ファイルやURLは開かず、上長や情シス担当者に相談してください。 会社支給のセキュリティソフトがインストールされている場合は必ず有効にし、定期スキャンとアップデートを怠らないようにします。 使用しているOSやソフトウェアも最新バージョンに更新し、既知の脆弱性を放置しないことが大切です。 万が一ウイルス感染してしまうと自分だけでなく同僚や顧客にも被害が及ぶ可能性があるため、「自分が会社の防波堤になる」くらいの意識で慎重に行動しましょう。 また、クラウドストレージやメール送信時には誤送信にも注意が必要です。 テレワークでは対面でのやり取りが減る分、メール添付で資料を送る機会が増えますが、宛先や添付ファイルを送信前に再確認する習慣をつけてください。 宛先を間違えて社外の人に機密ファイルを送ってしまうと、回収は困難で大きな漏洩事故につながります。 基本的なことですが、送信前のひと手間が情報漏洩防止には有効です。
⇒【ロリポップ!固定IPアクセス】 月額490円、すぐに使えて最大2ヶ月間無料!
5. 認証情報の漏えい・不正アクセスのリスク
テレワークでは社内システムやクラウドサービスにインターネット経由でアクセスするため、外部からの不正アクセスのリスクも高まります。
社内ネットワーク内だけで利用していた業務ツールを在宅勤務者にも開放した結果、IDやパスワードさえ盗まれれば誰でもログインできてしまう状況になっていないでしょうか。
実際、リモートデスクトップ(遠隔操作ツール)の設定を公開した結果、外部から不正侵入を許してしまった事例や、クラウドサービスの管理画面にパスワードだけでログインできたことでアカウントを乗っ取られたケースも報告されています。
認証情報(ログインID・パスワード)の漏えいや多要素認証の未導入、アクセス元IPアドレス制限の未設定といった対策不足が重なると、攻撃者にとって格好の的となってしまいます。
たとえば、社内で使っているグループウェアやデータベースをインターネット上から直接アクセス可能にしている場合、攻撃者は従業員になりすましてログインを試みるでしょう。
使い回されがちなパスワードや推測されやすいパスワードだと、総当たり攻撃で破られて侵入される危険があります。
オフィス内で使うシステムなら社内LANという壁がありますが、テレワークでは自宅やカフェから直接アクセスできるぶん、その壁が取り払われた状態です。
「社外からアクセスできる=世界中から狙われ得る」という前提で、防御策を講じなければなりません。
⇒【ロリポップ!固定IPアクセス】 月額490円、すぐに使えて最大2ヶ月間無料!
防止策
- 企業側の対策 テレワーク下でも社内システムへのアクセスセキュリティを確保するため、まず多要素認証(MFA)の導入を検討しましょう。 ID・パスワードに加えてワンタイムパスコードや生体認証など第二要素を要求することで、たとえパスワードが漏洩しても第三者による不正ログインを防ぐことができます。 主要なクラウドサービスやVPNはMFAに対応していますので、必ず有効化してください。 次に、アクセス制御の強化です。 具体的には接続元IPアドレスによる制限を設定し、許可したネットワークからのみアクセスさせるようにします。 従来オフィスの固定IPからしか入れなかったシステムであれば、テレワーク利用者にも固定IPアドレスを割り当ててあげれば同様の制御が可能です。 VPNサービスを用いてテレワーク利用時は社内と同じネットワーク経由に統一すれば、事実上アクセス元を社内に限定できます。 また、クラウドサービスでも「特定IPからのアクセスのみ許可」機能が提供されている場合は設定しましょう。アクセス制限と合わせて、システム管理者はログ監視も強化してください。 不審なIPアドレスからのアクセス試行や通常と異なる時間帯・頻度でのログインが発生していないか定期的にチェックし、早期発見・対処に努めることが大切です。
- 従業員側の対策 会社から提供されたVPNやセキュア接続ツールは必ず経由してから業務システムを利用するようにします。 「ログインが面倒だから…」とVPN接続を怠るのは厳禁です。 また、自分のID・パスワード管理も改めて見直しましょう。 使い回しのパスワードがあれば即刻変更し、推測されにくい十分長く複雑な文字列を設定します。 可能なサービスでは多要素認証を有効化し、スマートフォンの認証アプリやセキュリティキーなどを利用してください。 家族で共用のPCで業務を行っている場合、家族にもログインアカウントを教えたり共有したりしないことは言うまでもありません。 万一、自分のアカウント情報が漏えいした疑いがある場合や、不審なログイン通知を受け取った場合は、すみやかに会社のセキュリティ担当者に報告し対応を仰ぎましょう。 各従業員がセキュリティの番人となる意識を持つことで、組織全体の情報漏洩リスクは格段に下がります。
⇒【ロリポップ!固定IPアクセス】 月額490円、すぐに使えて最大2ヶ月間無料!
ロリポップ!固定IPアクセスで安全なテレワーク環境を
上記のような対策の中でも、「IPアドレス制限をかけて社外からのアクセスをブロックする」ことは不正アクセス防止に非常に有効ですが、従業員それぞれが異なる回線・環境から接続するテレワークでは固定IPアドレスの確保が課題でした。
そこで当社では、どこからでも固定IPアドレスを利用できるVPNサービス『ロリポップ!固定IPアクセス』を2025年3月にリリースしました。
このサービスをご利用いただくと、自宅やカフェなど場所を問わず社内システムへの接続時に常に同じ固定IPアドレスを割り当てることができます。
つまり、社内システム側では「ロリポップ!固定IPアクセス経由のIPアドレス以外からの接続は拒否する」設定を行えるため、許可された固定IP以外からのアクセスを遮断し、不正アクセスやなりすましを強力に防止できるのです。
テレワーク中でもオフィス内と同等のアクセス制御を実現できるわけです。
ロリポップ!固定IPアクセスは、高度なセキュリティ対策を低コスト・手軽に導入できる点も大きな特長です。
月額利用料金は539円(税込)からと業界最安級の価格で、初期費用も不要。
お申し込み後は専用アプリ(対応プロトコルは高速で安全性の高いWireGuard)に設定ファイルを読み込むだけで即日利用開始できます。
面倒なプロバイダー契約変更や回線工事も不要なので、専門知識がない方でもすぐにセットアップ可能です。
初めての方には1つ目の固定IPアドレスについて最大2ヶ月間の無料お試し期間も用意しております。
個人の在宅勤務から中小企業・大企業まで、規模を問わず柔軟にご活用いただけます。
テレワークにおける情報漏洩リスクを低減し、より安全なリモートワーク環境を構築したいとお考えの方は、ぜひロリポップ!固定IPアクセスの導入をご検討ください。
低コストで強固なセキュリティ対策を実現し、大切なデータを守りながら快適にテレワークを続けましょう。
