はじめに:テレワーク(リモートワーク)が一般的な働き方として定着した今、情報セキュリティ対策の重要性はますます高まっています。
総務省や厚生労働省、IPA(情報処理推進機構)などの公的機関は、「テレワークセキュリティガイドライン」や関連手引きを相次いで公表し、企業が押さえるべき最新のセキュリティ対策を提示しています。
本記事では、2024年時点での最新テレワークセキュリティガイドラインのポイントを整理し、小規模から中堅企業の担当者がすぐに取り組める実践的な対策を解説します。
情報漏えい防止、アクセス制限、端末管理、通信の暗号化、従業員教育といった多角的な視点から網羅し、自社のテレワーク環境を安全に維持するヒントを提供します。
⇒【ロリポップ!固定IPアクセス】 月額490円、すぐに使えて最大2ヶ月間無料!
テレワークセキュリティガイドライン2024の概要
まずは公的機関から示されているガイドラインの概要を押さえましょう。
総務省の「テレワークセキュリティガイドライン」(第5版)は、新型コロナ以降のテレワーク普及を背景に2021年5月に改訂された最新版で、テレワーク時に起こりうる脅威と対策が網羅されています。
この中では、経営者・管理者・利用者それぞれの役割で実施すべき項目が列挙され、クラウドサービス活用時の留意点や最新のゼロトラストセキュリティの考え方も紹介されています。
また、総務省は中小企業向けにチェックリスト形式の「テレワークセキュリティの手引き」(第3版)も公開しており、実務担当者が自社の対策を洗い出すのに役立ちます。
厚生労働省もテレワークガイドラインを策定し、労務管理面だけでなく情報セキュリティ面での注意事項に触れています。
さらにIPAは「テレワークを行う際のセキュリティ上の注意事項」を公開し、日常的に講じるべき基本対策やテレワーク時に特に気を付けるポイントを提示しています。
ガイドライン全体を貫く考え方として、「ルール(規程)」「人(従業員教育)」「技術(ツール)」のバランスよい対策が重要と強調されています。
いくら強力なツールを導入しても、ルール整備や社員の意識付けが不十分では効果を発揮できません。
以下では、この考え方に沿って各分野ごとの具体策を解説していきます。
情報漏えいを防ぐための対策
テレワーク環境で最も懸念されるのは機密情報の漏えいです。
これを防ぐために、まず社内情報の取扱ルールを明確化しましょう。
総務省ガイドラインを参考に、自社の重要データを分類し、テレワーク時に持ち出せる情報と禁止事項を決めておきます。
例えば、機密ファイルの社外持ち出し禁止や、USBメモリなど外部記憶媒体の使用制限・暗号化を規程化します。
併せて、紙の資料についてもペーパーレス化や持ち出し制限を行い、物理的な漏えいリスクを低減します。
データの暗号化も情報漏えい対策の要です。
万が一デバイス紛失や不正アクセスが発生しても、重要データ自体が暗号化されていれば第三者に悪用されるリスクを大幅に下げられます。
具体的には、社用PCのストレージをBitLockerなどでフルディスク暗号化する、クラウド上の機密ファイルは権限者のみ復号できるよう暗号化ソリューションを導入するといった方法があります。
また、在宅勤務中に作成したデータが個人PC内に残らないように、社内システムやクラウドストレージ上でデータ管理を徹底することも重要です。
クラウドサービス利用時はアクセス制御の設定ミスや共有リンクの扱いに注意し、必要以上の権限付与や公開設定をしない運用ルールを設けます(ガイドラインでもクラウド活用時のセキュリティ確保の観点が詳しく記載されています)。
⇒【ロリポップ!固定IPアクセス】 月額490円、すぐに使えて最大2ヶ月間無料!
リモートアクセスの制限と認証強化
社内システムやクラウドへのリモートアクセスは、「アクセスできる人・デバイス・場所」を厳密に制限することが原則です。
具体的な施策として、まずユーザー認証の強化があります。
テレワークではID・パスワードだけに頼らず、多要素認証(MFA)の導入を検討してください。ワンタイムパスコードや認証アプリ、ハードウェアトークンの利用によって、不正ログインのリスクを大幅に減らせます。
またパスワード自体も「推測されやすいものは使わない・使い回さない」という基本を徹底し、定期的な変更やパスワード管理ツールの活用を周知しましょう。
アクセス権限は業務上必要な最小限のユーザーにのみ付与し、権限ロールの管理を適切に行います。
特に管理者権限アカウントの共有利用は禁止し、権限ごとにアカウントを分けましょう。
またクラウドサービスでも、不要な管理者権限を持つユーザーがいないか定期的に見直します。
さらに、アクセス元を限定するための「場所」の制限も有効です。従来、社内ネットワークからのアクセスのみに限定するIPアドレス制限を設ける企業は多く、これは場所ベースで不正アクセスを防ぐ基本策でした。
しかしテレワークでは自宅や出先など社外ネットワークからのアクセスを許容する必要があり、単純なIPアドレス制限だけでは対応が困難です。
そこで登場したのが固定IPアドレスを利用したVPNサービスです。例えばロリポップ!固定IPアクセスのようなサービスを使えば、自宅やカフェなどどこから接続しても社員のPCに共通の固定IPアドレスを割り当てることができます。
社内システム側ではその固定IPからの通信のみにアクセスを許可し、それ以外をブロックすることで、不特定多数のネットワーク経由の不正アクセスを効果的に遮断できます。
このように「誰が」「どの端末で」「どこから」アクセスするかを限定する多層的な認証・アクセス制御によって、テレワーク環境の安全性を高めましょう。
端末管理とエンドポイントセキュリティ
社員がテレワークで使用するPCやスマートフォン、タブレットなどの端末管理(エンドポイントセキュリティ)も欠かせません。ガイドラインでは、テレワーク端末について共通に実施すべき基本対策として以下の項目を挙げています
- OSやソフトウェアのアップデート適用 既知の脆弱性を放置しないよう、常に最新の修正プログラムを適用する。 特にVPN機器やリモートアクセス用ソフトの脆弱性放置は重大なリスクです(実際にVPN機器の脆弱性放置による被害事例も報告されています)。
- ウイルス対策ソフトの導入と最新化 エンドポイントには必ず信頼できるマルウェア対策ソフトをインストールし、パターンファイルを最新に保つ。 加えて、未知のマルウェアに備える振る舞い検知やEDR製品の導入も検討します。
- 端末利用時の基本セキュリティ設定 パスワードによるログイン認証の設定(共有PCの場合は業務用アカウントを別作成)、一定時間無操作時の画面ロック有効化、不要なファイル共有機能のオフなど、端末の設定を適切に行います。
- 不要なソフト・デバイスの使用制限 業務に関係ないソフトウェアのインストールを禁止し、勝手なクラウドストレージやチャットツール(いわゆるシャドーIT)を使わないように指導します。 USBメモリ等の利用も原則禁止し、どうしても必要な場合は事前承認制とし暗号化されたものだけ使用するなどルール化します。
これらに加え、可能であればMDM(Mobile Device Management)やEMMツールでリモートから端末を一元管理すると理想的です。
端末の紛失・盗難時には遠隔でデータ消去(リモートワイプ)を実行できるように準備しておきましょう。
もし従業員の私物端末を業務利用(BYOD)する場合は、業務データと個人データを論理的に分離するコンテナアプリや仮想デスクトップの活用も検討すべきです。
難しい場合でも、最低限業務用に別ユーザーアカウントを作成し、管理者権限を与えない設定で利用するよう指導します。
⇒【ロリポップ!固定IPアクセス】 月額490円、すぐに使えて最大2ヶ月間無料!
通信の暗号化と安全なネットワーク利用
テレワークではオフィスの内側とは異なり、インターネット経由で社内やクラウドにアクセスする場面が増えます。
そのため、通信経路の暗号化とネットワークの安全確保は基本中の基本です。
具体策としては以下のとおりです。
- VPNの活用 社内システムにアクセスする際は、インターネット上にVPN(仮想プライベートネットワーク)経路を構築して通信を暗号化します。 通信内容が第三者に傍受されにくくなるだけでなく、利用者認証やアクセス制御も組み合わせられるため、安全なリモート接続手段として有効です。 ただし近年、VPN接続自体を狙った攻撃例も報告されているため、過信は禁物です。 VPN導入に加えて前述の多要素認証や端末対策を並行して講じ、「VPNさえあれば安心」ではなく多層防御にすることがポイントです。
- 自宅Wi-Fiの安全強化 在宅勤務者には、自宅の無線LANルーターのファームウェアをアップデートし、強力なパスフレーズ設定や不要なポート開放の無効化を徹底してもらいます。 一般家庭向けルーターは初期設定のままだとセキュリティが弱いケースも多いため、社内からガイドを共有するなどして安全な設定を促しましょう。
- 公共Wi-Fi利用時の注意 カフェや駅などの公衆無線LANを仕事で使う場合は要注意です。 暗号化されていない無料Wi-Fiでは通信内容が傍受される危険がありますし、悪意ある第三者が設置した偽のアクセスポイントに誘導される恐れもあります。 どうしても公共Wi-Fiを利用する際は、必ずVPNを接続してから業務データを扱うよう徹底させます。 また接続中はパソコンのファイル共有機能をオフにし、HTTPSなど暗号化通信を提供しないサービスは利用しないようにしましょう。
- 社内ネットワークの防御 会社側では、リモートからアクセス可能な社内サーバーやリソースについてファイアウォールやクラウド側設定で必要最小限のサービスだけを公開します。 例えば社内のVDIやリモートデスクトップ用サーバーはインターネットから直接アクセスさせず、VPN経由のみ許可する設定にします。 またクラウド利用が主体の場合でも、管理コンソールへのログインにIP制限やMFAを設定しておくことで、万一社外からの不正接続や乗っ取りを防止できます。
従業員教育とセキュリティ意識の向上
技術的な対策とルール整備ができたら、最後の砦は「人」の対策=従業員教育です。
テレワークでは社員一人ひとりが自宅や外出先という会社の見えない環境で仕事をするため、オフィス勤務以上に各人のセキュリティ意識が試されます。
情報セキュリティガイドラインの内容を社内ポリシーとして定めたら、定期的な周知とトレーニングを欠かさないようにしましょう。
具体的には、情報セキュリティ eラーニングの受講やフィッシングメール訓練の実施が効果的です。
IPAが毎年発表する「情報セキュリティ10大脅威」では、テレワークを狙った攻撃や巧妙化する標的型メールが上位に挙げられています。
こうした最新動向も踏まえ、怪しいメールの見分け方や不審なリンクへの注意、不用意に社外クラウドサービスを利用しないことなど、具体的なシナリオを交えて教育します。
また、インシデント発生時の報告フローも周知しておきます。
万一、自宅のPCでウイルス検知した、業務端末を紛失した、といった場合にすぐ相談・報告が上がるよう、連絡体制と手順を決めて訓練しておくことが大切です。
テレワーク勤務者とのコミュニケーション機会が少ない場合でも、チャットツールや掲示板で定期的に注意喚起メッセージを発信する、情報セキュリティハンドブックを配布するなどして継続的に意識付けを図りましょう。
ガイドラインでも従業員のセキュリティ理解と意識向上が重要な対策カテゴリの一つとして挙げられています。
⇒【ロリポップ!固定IPアクセス】 月額490円、すぐに使えて最大2ヶ月間無料!
安全なテレワーク実現のためのチェックリスト
最後に、本記事で解説した内容を踏まえて、自社のテレワークセキュリティ対策のチェックリストをまとめます。
IT担当者・総務担当者の方は、自社で未着手の項目がないか確認してみてください。
- セキュリティポリシー策定 テレワーク勤務時の情報管理ルールや禁止事項を定め、全社員に周知していますか?
- 重要データの管理 機密情報の社外持ち出し禁止や暗号化、ペーパーレス化など情報漏えい防止策を講じていますか?
- アクセス認証の強化 社内システムやクラウドへのログインに多要素認証(MFA)を導入し、パスワード管理を徹底していますか?
- アクセス元の制限 社外からのアクセスについて、IPアドレス制限やデバイス認証(証明書など)により許可された環境のみに絞り込んでいますか?
- 端末のセキュリティ テレワーク端末のOS・ソフトを最新状態に保ち、ウイルス対策ソフトを導入していますか?不要なソフトや周辺機器利用を制限していますか?
- 安全な通信環境 社内への通信はVPN経由に限定し、自宅Wi-Fiや公共Wi-Fi利用時のリスク対策(ルータ更新、VPN必須利用など)を講じていますか?
- 従業員教育 テレワーク時の注意事項に関する研修や定期的な注意喚起を実施し、インシデント対応手順も含めて社員に浸透していますか?
上記のチェック項目を定期的に見直し、足りない部分があれば早急に対策を講じましょう。
情報セキュリティは一度整備して終わりではなく、継続的な改善と運用定着が重要です。
社内の状況変化や新たな脅威にもアンテナを張りつつ、安全なテレワーク環境を維持してください。
⇒【ロリポップ!固定IPアクセス】 月額490円、すぐに使えて最大2ヶ月間無料!
ロリポップ!固定IPアクセスで実現する安全なテレワーク環境
最後に、当社が提供する自社サービス「ロリポップ!固定IPアクセス」(https://vpn.lolipop.jp/)をご紹介します。
これは、社外からのアクセスに固定IPアドレスを付与できるVPNサービスです。
テレワーク中の社員は、自宅・カフェ・出張先などどこにいても、このサービスを経由して接続することで常に同じ固定IPアドレスから社内ネットワークやクラウドサービスにアクセス可能となります。
社内のシステム管理者は、システム側の接続許可IPをこの固定IPアドレスのみに制限するだけで、不特定多数のIPからのアクセスをブロックでき、安全性を大幅に向上できます。
ロリポップ!固定IPアクセスの特長
- 低コスト&すぐに導入可能 月額539円(税込)~という国内最安値水準の価格でご利用いただけ、最大2ヶ月の無料お試しも可能です。 オンラインでお申し込み後、即日から利用開始できます。
- 個人でも法人でも利用OK 事業者登録不要で手軽に開始でき、中小企業はもちろんフリーランスや個人利用にも適しています。 複数端末から同時接続も可能なので、小規模チームでも共有の固定IP環境を構築できます。
- 高速で安心な通信(WireGuard採用) VPNプロトコルには最新のWireGuardを採用しており、安全性・安定性に優れ、モバイル回線でも高速に動作します。 専門知識がなくても簡単にセットアップでき、日々の業務にストレスを与えません。
- 柔軟なライセンス管理 利用する固定IPアドレス数(ライセンス数)は1単位から増減可能です。 必要な分だけ契約できるため、無駄なコストを抑えて段階的に運用規模を拡大できます。
当社はレンタルサーバー「ロリポップ!」をはじめ、多くの企業・個人のお客様のインターネットサービス利用を支えてきました。
その中で培った知見を活かし、リモートワーク時代の新たな課題である「社外からの安全なアクセス」を解決すべく生まれたのが「ロリポップ!固定IPアクセス」です。
テレワークセキュリティガイドラインでも推奨されるIPアドレス制限によるアクセスコントロールを、手軽かつ低コストで実現できる本サービスを活用し、ぜひ自社のセキュリティ強化にお役立てください。
詳しい機能や導入手順などは、ロリポップ!固定IPアクセス公式サイトでご確認いただけます。
テレワーク環境の安全性向上にお悩みの方は、ぜひ一度お気軽にお試しください。安心・安全なテレワーク環境を当社サービスで実現しましょう!
