
2020年、テレワークは未だかつてないほど多くの企業に広がりました。しかし、テレワークの実施により、社外に持ち出されたクライアント PC 等の端末にリスクが潜んでいるとしたら…。今回は、テレワーク実施により社外に持ち出した端末のリスクとセキュリティ対策について紹介します。
社外に持ち出した端末が戻ってくる時、どんなリスクがあるのか?
テレワークによるセキュリティインシデントがいくつも発生しています。その1つが、在宅勤務に用いたクライアント PC が社内ネットワークに接続した際のウイルス被害。それは次のようなケースでした。
――某社では、全社的に在宅勤務を実施。在宅環境では、企業貸与 PC を持ち帰り業務を行っていました。しかし、長期のテレワーク期間中、ある社員の PC がメール経由で不正なサイトにアクセスしマルウェアに感染。そして、社内のネットワークに再び接続した時に、無防備の社内ネットワーク経由でほかのクライアント PC にウイルス被害が拡大するという被害が発生してしまったのです。

従来であれば、社内の PC 等の端末は OS やセキュリティソフトを最新のバージョンに管理することができたでしょう。また、ネットワーク外の脅威からファイアウォール等で守られていたはずです。しかし、PC がテレワークのため社外に持ち出されると、セキュリティ対策が追いつかず、テレワーク期間中にマルウェア等に感染するリスクが高まります。このような PC が社内ネットワークに接続されてしまうと、その端末から社内に被害が拡大する恐れがあるのです。
このような被害に遭わないためにも、テレワーク端末にもアンチウイルスのアップデートを強化することが重要です。また、ウイルス感染端末を社内ネットワークに接続させないなど、不正接続を検知・遮断させるための仕組みづくりは即効性のある対策です。

“テレワーク帰りのPC” のセキュリティチェックとは
テレワークで社外に持ち出した端末を社内ネットワークに接続する際に、最も注意したいのがマルウェアを社内ネットワークに持ち込むことです。そのようなことがないように、持ち出し機器のセキュリティをチェックすることも大切です。JNSAでは、テレワーク環境におけるセキュリティ対策の一環として 『緊急事態宣言解除後のセキュリティ・チェックリスト解説書』 を発表していますが、解説書内「[2] テレワークで社外に持ち出した機器を社内ネットワークに接続する際の注意事項」を参考に下記のチェックリストを作成しました。ぜひ、自社の実態に合わせてこのようなチェックリストを作成して、持ち出し機器のセキュリティをチェックしてみてはいかがでしょうか。
持ち出し機器のセキュリティチェックリスト(例)
□ 社内から持ち出した PC 等の端末を紛失していないか
□ 各端末のセキュリティ対策が最新化されているか
(OS・ソフトウェアの最新化、アンチウイルスソフト定義ファイルの最新化等)
□ 持ち出した PC 等の端末がマルウェアに感染していないか
□ 無許可のソフトウェアがインストールされていないか
□ テレワーク期間中に、社内システムに不正アクセスされていないなどのログを確認したか
□ 社内ネットワークに接続した端末から、不審な通信が行われていないか監視を一定期間強化しているか
□ 緊急時に一時的に利用した、BYOD 端末の利用実態について確認したか
(私物端末のセキュリティ対策、マルウェア感染の有無、業務関連資料の削除確認等)
※JNSA 『緊急事態宣言解除後のセキュリティ・チェックリスト解説書』 より、「[2] テレワークで社外に持ち出した機器を 社内ネットワークに接続する際の注意事項」を参考に作成
また、参考に社員向けのチェックリストも掲載されていましたので、ここに引用します。こちらも社員のセキュリティ意識向上に向けて役立てられるのではないでしょうか。
一般従業員がチェックすべき事項
□ 会社のネットワークにつなぐ前に、セキュリティ対策を最新にすること
□ 持ち出した機器を紛失・破損をしてしまったら、正直に報告すること
□ 在宅勤務中に無断でインストールしたソフトがあれば、すべて報告すること
□ 在宅勤務中に、怪しい動きなどの心配なことがあったら、すぐに報告すること
□ 在宅勤務中に私物のパソコンを使って業務を行った場合には、その事実を報告すること
□ 在宅に必要な機器を整理し、ハイブリッド勤務に備えること
□ 在宅でもできる仕事、在宅ではリスクがある仕事をリストアップして業務を見直すこと
□ 会社のセキュリティルールに課題があれば、リストアップして報告すること
※JNSA 『緊急事態宣言解除後のセキュリティ・チェックリスト解説書』 より引用
まとめ
今回は、テレワーク端末のセキュリティで対策すべき事項や社員が意識すべき事項を紹介しました。さらに詳しい内容は、『テレワーク端末のセキュリティ対策ガイドブック』に記載されていますので、ぜひ下記よりダウンロードして対策に役立ててはいかがでしょうか。
また、ニューノーマル時代に向けて情シスに役立つ情報を テレワークチャンネル や情シスレスキュー隊にて随時提供していきますのでぜひ、チェックしてみてください。
