経済産業省所管の独立行政法人である情報処理推進機構（以下IPA：Information-technology Promotion Agency）は、2022年4月に「組織における内部不正防止ガイドライン」の改訂を発表した。この改訂は、法改正やコロナ禍による働き方の変化を踏まえたもので、組織による内部不正をより現代的な観点から防止する内容が盛り込まれている。

今回の改訂で注目すべきは、テレワークによる情報漏えいリスクの増大について多くの項目が追記されていることだ。情報漏えいによって一千億円規模にも及ぶ損害賠償が請求された事件などに触れつつ、「テレワークの常態化に対し、重要情報の機密レベルに応じたアクセス制限やPCなどの格納といった対処をしない場合、不適切なアクセスによる情報漏えいリスクが高まる」、「クラウドサービスを活用して機密情報を管理する際、アクセス権限設定に不備があると情報漏えいリスクが高まる」など具体的なケースを挙げて問題性を指摘している。

このようにIPAが警笛を鳴らすテレワーク時のセキュリティリスクに対し、企業はどのように対策すべきなのだろうか。まず気を付けるべきは、機密情報を誰が管理し、どのように運用するのかなどという、企業内での位置づけを再確認することだ。「何となく」のまま社外に持ち出した情報を無防備にテレワークで利用することは危険この上ない。

しかし、機密情報の取り扱いを規則でがんじがらめにしては仕事の能率が落ちる。そこで、以下のような技術を使い、セキュリティ性を高く保ちながらも身軽に業務を進められるような環境を整えよう。

VPN

VPN（Virtual Private Network）は、専用回線を設定し、情報を暗号化してやりとりする技術である。VPNを利用することにより、従業員はリモートワーク先からでも通信を保護された社内ネットワークにアクセス可能だ。

VPNには大きく分けて2種類があり、既存のネット回線上に仮想の専用回線を設定する「インターネットVPN」であれば、実際に専用の回線を引くわけではないため、コストを抑えつつ通信の安全性を高められる。

物理的に、あるいは論理的に隔離された専用回線を設定する「クローズドVPN」であれば、インターネットVPN以上に高いセキュリティ性を得られる。ただし、クローズドVPNと一般的なネット回線を同端末で同時に利用できないという不便さがあるほか、使用可能な通信プロトコルに制限があるため、導入の際には情報システム部門などに負荷がかかることになるだろう。

リモートデスクトップ

リモートデスクトップは、離れた場所にある端末を遠隔で操作するための技術である。オフィスに置いたPCを自宅のPCで遠隔操作する、といった活用も可能だ。

機密情報の詰まったPCは、盗難や紛失のリスクを想定すると社外に持ち出したくないものである。そこでリモートデスクトップを使って遠隔操作すれば、リスクを回避しつつテレワークの実施が容易になる。

仮想デスクトップ

仮想デスクトップとは、サーバー内に仮想のデスクトップ環境を作り上げる技術だ。Web上にもう一つのPCを作り、手元にある物理的なPCでそれを操作するようなものとイメージしていただきたい。

仮想デスクトップは利用者の手元のPCにはデータが保存されない。そのため、仮想デスクトップを利用したPCが盗難や紛失に遭っても、それによる情報漏えいは起こらないというメリットがある。

セキュアコンテナ

セキュアコンテナとは、PC内に安全な領域を作り上げる技術だ。セキュアコンテナ内で扱うデータは暗号化されて保護されるため、外部からの不正アクセスを受けた際に情報漏えいを防げる。

また、セキュアコンテナのメリットとして、PC内のデータを業務用と個人用で区分できる点がある。テレワークの際、プライベートのPCを仕事に流用するというケースが多々見受けられるが、その場合は業務で使うデータやアプリをセキュアコンテナ内に集約することが望ましい。業務の機密情報をセキュアコンテナ内だけで利用することにより、私的なPCの利用をきっかけとした流出を防止可能だ。

前述したIPAのガイドラインによると、企業の内部不正による情報セキュリティ事故が原因で事業の根幹を脅かすようなケースが近年目立つようになっているという。しかし、もはやテレワークは当たり前の働き方であり、完全にコロナ禍前の働き方へ戻る可能性はほとんどないだろう。テレワークを前提としたセキュリティ環境を整えることは、企業にとって必須なのである。