1.はじめに
 新型コロナウイルス感染症(COVID-19)への対策として、テレワークを採用する企業が急増しています。政府の緊急事態宣言をきっかけに、いわば「突然やむを得ず」在宅勤務に移行した企業も少なくありません。特に中小企業では、ハードウェア面(通信インフラやテレワーク用端末など)とソフトウェア面(テレワークのルール策定や社員への教育など)の両面での準備が十分ではない企業がほとんどだと思われます。
 2020年9月11日、総務省は「中小企業等担当者向けテレワークセキュリティの手引き(チェックリスト)」(以下「本書」)を公表しました。同省は既に「テレワークセキュリティガイドライン」を公表していますが、予算や社内のセキュリティ体制が必ずしも十分ではない中小企業等を対象に、具体的な対策をチェックリスト形式で示したものです。

2.テレワークの類型
 本書では8つのテレワーク方式ごとにチェックリストを整理しています。
図表1
 事業所へ出勤して業務を行う形態と比較すると、テレワークのセキュリティリスクはどうしても高くなります。しかし、本書が読者に想定する「外部委託コストの捻出は難しい」「専任担当は存在しない」中小企業がすべてのリスクに万全の対策を実施することは現実的ではありません。
 本書に示された基本的かつ最低限必要な対策を「まずは」実施することを目標とすることで、こうした中小企業が効率的にセキュリティ対策を進めることができます。

3.テレワークのセキュリティリスク
 テレワーク環境で想定される脅威を本書では4点挙げています。その内容と対策チェックリストは本書を参照していただくこととし、これらの脅威が特にテレワークで問題となる理由を解説します。
図表2
ア)マルウェア感染
 マルウェアとは悪意のあるソフトウェアや有害なコードの総称です。一般的に「コンピュータウイルス」と呼ばれるものを含みます。
 多くの企業ではウイルス対策ソフトウェアを導入し、パターンファイルを常に最新化する対策を取っています。また、万一感染した場合の報告ルールや対応体制も明確化されています。
 しかしテレワーク環境ではLANを通じたセキュリティポリシーの徹底が難しいことに注意する必要があります。特に従業員所有の端末を使用する場合はウイルス対策ソフトウェアの導入自体が保証されていない場合もあります。
 また、万一感染した場合の報告ルールや対応体制がテレワーク環境に適合していない場合があり、いざというとき機能しないこともリスクを高める理由になります。

イ)不正アクセス
 不正アクセスには第一に、ソフトウェア・ハードウェアの脆弱性を悪用してアクセス権限を持たない第三者が内部侵入する行為があります。第二に他人のID・パスワードを無断で使用する「なりすまし」行為があります。
 第一の原因となるOS等の脆弱性は日々発見されています。それに対応するセキュリティパッチやバージョンアップが提供されていますので、常に最新のソフトウェアを使用することが対策の基本です。
 第二の原因はパスワードの管理が不十分なことです。パスワードの強度(長さと複雑さ)を強制する仕組みを作る、一定回数パスワードを間違えたらIDをロックする、多要素認証を利用するなどが対策の基本です。
 テレワーク環境において、特に従業員所有の端末を使用する方式や社内ネットワークに接続しない方式では、管理者が統制できる範囲が限られます。第一・第二のどちらも従業員個人のリテラシーに依存する割合が多くなり、事業所内業務に比較するとリスクが高くなる理由となります。

ウ)端末の紛失・盗難
 テレワーク特有の脅威が端末の紛失・盗難です。端末を持ち歩くモバイルワークやサテライト勤務では特に高リスクになります。
 多くの事業所では、セキュリティワイヤーや施錠できるロッカーによって端末を盗難から守る対策を取っています。端末を事業所外に持ち出すことを禁止している企業も少なくありません。
 テレワーク環境においてこうした対策を徹底することはできないため、紛失・盗難が発生した場合の対策が主になります。端末の位置情報を検出できる仕組み、データの暗号化、データのリモート消去などの対策が考えられます。
 なお、セキュリティブラウザ方式の場合は端末内にデータが保存されないため、紛失・盗難のリスクを抑えることができます。

エ)情報の盗聴
 情報の盗聴もテレワーク環境で特に注意すべき脅威です。会社非接続方式(手元作業型)以外のテレワーク環境ではインターネット通信が発生します。特にクラウドサービス(Webメールやオンライン会議含む)利用時はアクセスURLが正しいか、通信が暗号化されているかに留意する必要があります。
 テレワークではオンライン会議に参加することが多いですが、参加者の本人確認も大切な投稿防止対策となります。会議開始時はもちろん、途中参加者についても正規の参加者であるかの確認が重要です。
 盲点となりがちなのは、電車やカフェで端末画面を覗き見られるリスクです。電車内でPCを開くのはセキュリティ意識が低いという認識が一般的になりつつありますが、やむを得ない場合でも覗き見防止スクリーンなどを利用して対策することが最低限必要です。

4.セキュリティ対策の重要さ
 本書では、脅威が顕在化した場合の業務影響を
 Step.1 起因 添付ファイルの開封、端末の盗難など
 Step.2 過程 感染拡大、情報の漏洩など
 Step.3 被害 業務訂正、賠償義務など
の3ステップで解説しています。
 解説した4つの脅威すべてに共通する被害として「取引先や顧客からの信頼失墜・取引停止」が挙げられています。セキュリティ対策の不足や遅延は経営の根幹にかかわる問題となりえます。
 セキュリティ対策には「ここまでやれば十分」というゴールがなく、ゼロリスクを保証することはできません。しかし基本的な対策を実施するだけでも実用的なレベルまでリスク管理することが可能です。
 COVID-19に関して「正しく怖がる」という表現が広がっていますが、セキュリティリスクについても同様のことが言えます。脅威の内容を正しく理解し、顕在化した場合の怖さを理解した上で、各社の経営資源に応じた対策を実施していくことが必要です。

<参考リンク>
テレワークにおけるセキュリティ確保(総務省)
https://www.soumu.go.jp/main_sosiki/cybersecurity/telework/

<略歴>
浜崎正和(はまさきまさかず)
中小企業診断士、プロジェクトマネージャ、SAP認定コンサルタント(HCM)
東京都中小企業診断士協会中央支部 執行委員・総務部副部長
IT業界で30年以上勤務、専門は人事とセキュリティ。現在テレワーク中。