テレワークを始めてから「セキュリティが心配だけど何から手をつければいいか分からない」という状態が続いている会社は少なくない。大企業にはセキュリティ専任部門があり、社員教育から端末管理まで仕組みが整っている。中小企業にはそれがない。ITに詳しい担当者がいないまま、クラウドサービスへのリモートアクセスだけが増えていく。
この記事では、IT担当者がいない中小企業が最初にやるべきテレワークセキュリティ対策を、優先度順に整理する。高額なシステムは不要で、今週中に実装できる内容に絞った。
テレワークは事務所より危ない場合がある
なぜリモート環境は狙われやすいのか
事務所で働いている間は、社内ネットワーク・会社支給のパソコン・対面でのコミュニケーションが前提として存在する。何か問題が起きてもその場で確認し合える。
テレワークはその前提が崩れる。
- 社員が自宅の個人Wi-Fiから会社のクラウドサービスにアクセスする
- 家族と共用のパソコンや、会社が把握していない端末を業務に使う
- 業務連絡がSlackとLINEとメールに分散し、どこで何が共有されたか管理できなくなる
警察庁の発表によると、2024年のランサムウェア感染経路の内訳はVPN機器経由が約55%、リモートデスクトップ経由が約31%だった。合計すると、リモートワーク関連の機器が侵入口になったケースが全体の約86%を占める。テレワーク環境は、攻撃者が最も狙いやすい接続口になっている。
「うちは小さい会社だから狙われない」という認識は誤りだ。攻撃は自動化されており、システムが露出していれば企業規模に関係なく侵入を試みる。ランサムウェア被害を受けた企業のうち、中小企業が約6割を占めるというデータもある。
中小企業で実際に起きるインシデントのパターン
カフェのWi-Fiで会社のシステムにログインする
「外出先でちょっと確認したい」という動機は自然だが、暗号化されていない公共Wi-Fiでは、同じネットワーク上の人間に通信を傍受される可能性がある。VPNなしで会社のクラウドサービスにログインするのは、窓を開けたまま書類を広げているようなものだ。
個人パソコンに業務ファイルを保存する
「メールに添付されてきた資料を、とりあえず自分のパソコンに保存した」という状況が繰り返されると、会社のデータが個人端末に分散する。退職後もファイルが残り続けるリスクがあり、本人に悪意がなくても情報管理の問題になる。
VPN機器の更新を何年も放置する
VPNを導入したまま、数年間ファームウェアを更新しない会社がある。VPN機器の脆弱性は公開情報として出回るため、更新を止めた機器は攻撃者に既知の侵入口になる。2025年には、大手企業がリモートアクセス機器の脆弱性を突かれてランサムウェアに感染し、最大約200万件の個人情報が漏洩した可能性があると公表した事例があった。「導入しただけで安心」が最も危険なパターンだ。
今すぐやるべき対策(優先度順)
① 多要素認証(MFA)を全員に設定する
コスト:ほぼ無料 / 難易度:低 / 効果:高
パスワードが漏洩しても、多要素認証があれば不正ログインの大半を防げる。Google、Microsoft 365、freee、kintoneなど主要なクラウドサービスのほとんどに多要素認証の設定が用意されており、追加費用なしで設定できる。
設定の手順はサービスのヘルプページを見れば1アカウントあたり5〜15分で完了する。全従業員に設定するよう指示し、完了の確認をとる。これだけでリスクを大幅に下げられる。
まずここから始める理由は、コストがかからない・効果が高い・すぐできる、という3つがそろっているからだ。この3つがそろう対策は少ない。
② パスワードを使い回さない仕組みを作る
コスト:月1,000〜2,000円(チームプラン) / 難易度:低
「会社でも個人でも同じパスワードを使っている」社員がいる限り、1つのサービスへの不正アクセスが全サービスへの侵入口になる。
パスワードマネージャー(1Password、Bitwarden等)を会社で統一導入することで、各サービスごとに異なる長くランダムなパスワードを管理できる。社員が覚える必要があるのはマネージャーへのログインパスワード1つだけになる。
無料ツールも存在するが、チーム管理・アカウント共有・退職時の権限回収を考えると、有料のチームプランを選んだ方が運用しやすい。
③ VPNを導入し、定期更新を仕組みにする
コスト:初期2〜5万円+月5,000〜15,000円 / 難易度:中
社外から会社のシステムやファイルにアクセスする場合、VPN経由を必須にする。通信を暗号化するため、公共Wi-Fiや自宅回線でのアクセスリスクを大幅に下げられる。
中小企業でよく使われるインターネットVPNの費用は、VPN対応ルーターの購入費(2〜5万円程度)と月額利用料(5,000〜15,000円程度)が目安だ。接続するのが5人以下の小規模な会社であれば、Tailscaleのようなクラウド型VPNサービスを月数百円から試すことも選択肢になる。
ただし、最も重要な注意点がある。VPN機器は導入後も定期的にファームウェアを更新し続けなければならない。更新を止めた機器は前述のとおり攻撃者の格好の標的になる。3ヶ月に1回、更新確認のカレンダー通知を担当者に設定しておくこと。
④ 社外持ち出しのルールを文書で決める
コスト:無料 / 難易度:低
「どのデバイスで、どのデータにアクセスしていいか」を明文化する。曖昧なまま運用すると、悪意なく個人端末にデータを保存する社員が出てくる。
最低限決めるべき項目:
- 業務には会社支給の端末を使う(個人端末を使う場合は条件を明記する)
- 業務データの保存はクラウド(Google Drive、OneDrive等)のみとし、ローカル保存は禁止する
- 業務で使うクラウドサービスのリストを会社が管理し、承認なしのサービス利用は禁止する
A4一枚のルール文書を作り、全従業員に共有する。内容を複雑にする必要はない。「こうしてください」が伝われば十分だ。
⑤ OSとソフトウェアの更新を月次でリマインドする
コスト:無料 / 難易度:低
攻撃者が悪用する脆弱性の多くは、更新プログラムが公開済みのものを放置した端末に存在する。「後で更新しよう」が積み重なると、最もコストがかからないセキュリティ対策が機能しなくなる。
月に1回、全社員に「OSとブラウザとセキュリティソフトの更新を確認すること」をリマインドするカレンダー通知を設定する。担当者が各自の端末で実行し、完了したらチャットで一言報告する、という運用で十分機能する。
テレワーク中にやってはいけないこと
個人のLINEで業務の連絡をする
LINEアカウントが乗っ取られると、業務上の会話がすべて外部に漏洩する。業務連絡はSlackやTeamsなど、会社が管理できるチャネルに統一する。退職した社員が業務チャットにアクセスできない状態を会社が管理できることも重要だ。
VPNなしで公共Wi-Fiから会社のシステムにアクセスする
VPNを導入済みであれば許容範囲だが、VPNなしで公共Wi-Fiから重要なシステムにログインするのは避ける。スマートフォンのモバイルデータ通信(テザリング)を使う方が安全だ。
セキュリティを「後でまとめて対処する」にする
情報漏洩が発生してから慌てて対応するパターンは珍しくない。顧客データが流出した場合、対応費用と信用損失は、今すぐ対策を取るコストをはるかに上回る。セキュリティ対策は保険と同じで、問題が起きる前に最低限の構えを作っておくことが前提だ。
まとめ:今週やることだけに絞る
5つの対策をまとめると:
| 対策 | コスト | 優先度 |
|---|---|---|
| 多要素認証の設定 | 無料 | 今すぐ |
| パスワードマネージャーの導入 | 月1,000〜2,000円 | 今週中 |
| VPNの導入と定期更新の仕組み化 | 月5,000〜15,000円 | 今月中 |
| 社外持ち出しルールの文書化 | 無料 | 今すぐ |
| OS・ソフト更新の月次リマインド設定 | 無料 | 今週中 |
全部を一度にやる必要はない。今週は多要素認証の設定と持ち出しルールの文書化から始める。コストはゼロで、かかる時間は数時間以内に収まる。
テレワーク環境の整備やIT全般について相談できる専門家を探している場合は、ITのことを相談したいけど、どこに頼めばいいか分からない問題をあわせて読んでほしい。