テレワークにおけるセキュリティ確保コラム

2025年1月30日に、独立行政法人情報処理推進機構（以下IPA）から、「情報セキュリティ10大脅威 2025」が発表されました。【図表1】は組織向けの脅威です。

2024年に発生した社会的に影響が大きかったと考えられる情報セキュリティの脅威では「ランサム攻撃による被害」が1位となっています。ランサム攻撃とは、マルウェア攻撃（悪意のあるソフトウェア）の一種です。感染したパソコン等のデータを暗号化して使用できない状態にした上で、データ復元のための身代金（金銭や暗号資産）を要求する攻撃手法です。

近年、日本でもランサム攻撃によるさまざまな被害が発生しています。具体的には、以下のような事例があります。

テレワークで気を付ける事（セキュリティ編）でも紹介しましたが、技術の進歩により、今やインターネットを通じて世界中から攻撃されるリスクがあります。その影響は大きく、インシデントが発生した際には企業のトップによる対応が求められる時代になっています。

IPAが公開している「情報セキュリティ 10大脅威 2025 組織編」では、以下のような技術進歩の高速化や不安定な社会情勢を考慮した情報セキュリティに関する内容が、セキュリティの専門家でなくても理解しやすい形でまとめられています。経営層の方々はもちろん、幅広い方々にご覧いただくことをお勧めします。

このような情報を通じて、現代のセキュリティリスクを理解し、適切な対策を講じることが重要です。

また、【図表2】はIPAが公開している情報セキュリティの個人向けの脅威です。五十音順に脅威が並んでいますが、1つ目の「インターネット上のサービスからの個人情報の窃取」と3つ目の「クレジットカードの不正利用」について筆者の体験をお話したいと思います。

筆者は年明け早々、クレジットカード情報を不正利用されました。【図表3】が、身に覚えのない課金情報です。朝、ふとスマートフォンの明細を見ると、いつもより多いなあと思い、詳細を確認してびっくり！別の意味で目が覚めました。

そもそも、筆者はハンバーガーを少なくとも20年以上食べていません。それも、モバイルオーダーで1万円前後とは、いったいどれだけの分量なのか…。また、ネットショップCは利用どころか見たこともなく、さらには3,500円のSIMを買うのに1枚ずつ2回にわけて購入しています。普通なら一度に2枚買うでしょうと、ツッコミたくなる気持ちと犯罪に巻き込まれた悲しい気持ちが混じり合い、複雑な感情でした。

これはできるだけ早くカード会社に連絡をしないといけない、営業が始まったらすぐに連絡しようと電話番号を探しますが、なかなか見つかりません。ネット検索でも出てきませんし、アプリでも見つけられませんでした。しかしながらカードをよく見ると、やっと読み取れるくらいの小さな文字で電話番号の記載があります。カードが手元にあってよかったと思うと同時に、紛失の場合に備えるには番号をメモしておく必要があることもわかりました。

電話して、事情を話して、おそらく保険で賄えるのでは？とのことでしたが、確定的なことは調査してみなければなんともいえず時間もかかるとのことでした。その後、調査の方と思しき電話があり、心当たりのあるお店の話もしましたが、かなり前にネットで買い物をした際に盗まれたものかもしれないとのこと。だとしたら、「クレジットカード情報の不正利用」のみでなく、「インターネット上のサービスからの個人情報の窃取」にもあたるのではないかと、改めて脅威を見直した次第です。

また、数ヶ月前に「偽警告によるインターネット詐欺」の画面が立ち上がったこともありました。ブラウザー上に警告が表示され、電話をかけることを促されます。閉じるボタンが機能しないので少し焦りましたが、よくよく考えたらブラウザーを使っただけで情報を抜かれたりしないなと冷静になり、強制終了の後セキュリティソフトでスキャンして事なきを得ました。20年以上前になりますが、会社のパソコンが部署内で感染したことがあり、その経験も活きたといえます。当時はまず社内LANから切り離し、セーフモードで立ち上げ直して抜けるデータだけ抜き出して保存、と大変な騒ぎでしたが、現在はクラウドサービスを活用しているのでデータがなくなる心配は減り、その点は堅牢になってきたといえます。

組織、個人、それぞれが被害に遭わないためのセキュリティ対策については、上述のIPAの情報はもちろんですが、警視庁のホームページでもわかりやすく解説されています。マルウェア｢ランサムウェア｣の脅威と対策（対策編）警視庁には、基本ルールとして、

と書かれています。Web会議で共有された画面で、OS更新の準備ができているのに再起動されていないマークを見かけることも少なくありません。再起動に時間がかかる場合もありますので、心情的には理解できるのですが、仕事よりも優先して更新するよう心がけましょう。また、会社のパソコンを帰宅時にシャットダウンしない方も多いようです。省エネルギーになるのはもちろんですが、パソコンの電源を切ることは不正アクセスを防ぐことにもつながります。遠隔で電源を入れるのは、技術が進んだとはいえ、なかなか難しいからです。海外からの攻撃が増えていますので、365日24時間狙われていることを踏まえると、電源を落とすだけでリスクを抑えることができます。さらに、定期的にシャットダウンすることでシステムのリフレッシュが行われ、パフォーマンスが向上します。
パスワードもパソコンの重要なセキュリティ要素ですので、しっかりと管理し、大切に扱いましょう。パスワードは複雑にしすぎると忘れてしまうという場合、数字の読み方やアルファベットの読み方を変えて、自分にゆかりのあるキーワードとして覚えることもお勧めです。例えばテレワーク相談センターの電話番号は0120-861009ですが、86をハロー、10をテ（ン）、0をレ（イ）、0をワ、9をク、ハローテレワークとして覚えやすいようにしています。これらを参考にしてパスワードを考えてみてください。英字や記号を混在させることも忘れずに。

警視庁の動画テレワークサイバーセキュリティ対策啓発用映像「そのテレワーク、犯罪者が狙ってる！」には、カフェやWi-fiスポットで仕事をする場合の注意も喚起されています。安心安全テレワーク施設認証｜日本テレワーク協会にある施設等でしたらあまり気にする必要はありませんが、そうでない場合はできるだけ機密情報のやりとりは避けるようにしましょう。また、ファイル共有をオフにする、長時間席を離れない、のぞかれない場所に座ることも有効です。カフェやオープンな場所でのぞかれる、こんな時にもテレワークサポーターやのぞき見プロテクターが強い味方になってくれます。

2025年3月5日、フランスのマクロン大統領は国民向けの演説で、「あなたの画面の向こうから、国家プロジェクトが我が国を狙っている」と警告しました。地政学的リスクに起因するサイバー攻撃が増加している現代において、個人がその脅威を意識することが重要です。IPAの「情報セキュリティ10大脅威（個人編）」や、警視庁のサイバーセキュリティ情報を定期的に確認することをおすすめします。

一方で組織においても、被害にあった可能性のある場合は、速やかに関係先に報告することが大事です。自分に落ち度があると考えて時間を要すると、さらに被害が拡大する場合もあります。結果的に被害が及んでいないこともあるでしょう。そのような情報をみなさんで共有し、自分事としてとらえることで、避けられるリスクもあります。
一番大事なのは、テレワークで気を付ける事（セキュリティ編）｜コラム・レポート｜キヤノンITソリューションズにも記載していますが、何かが起こった時に絶対に当事者を責めないことです。責めることで、当事者のみでなく組織全体での情報共有が難しくなります。小さいことでも共有しておくと、意識も高まり、防衛対策案が出てきますので、みんなで守ろうとすることが大事です。風通しの良い職場では、セキュリティが守られるのみでなく、仕事もはかどります。セキュリティを意識した行動は、管理をするためのものではなくて、人を守るためのものです。先述したテレワークサポーターやのぞき見プロテクターも、管理するためのものではなく、就業者を守るためのものです。これから、ますます技術の進歩の速度は速まり、10年後にどのような世界が待ち受けているのかは未知ですが、人を大事にすることが守りに繋がるのは「人は城、人は石垣、人は堀」（武田信玄）と言われた時代から変わっていません。最も大事なセキュリティ対策は、人を大事にすることであるといえます。