テレワークセキュリティポリシー策定ガイド｜在宅勤務を安全に運用する方法

はじめに｜テレワークの定着がセキュリティポリシーの見直しを迫る

テレワークはもはや一時的な対応策ではなく、恒常的な働き方として多くの企業に定着している。総務省の「通信利用動向調査（2025年）」によれば、従業員100名以上の企業のテレワーク導入率は約65%に達し、週2〜3日のハイブリッド勤務が主流となっている。

しかし、テレワーク環境に対応したセキュリティポリシーを正式に策定している中小企業は、依然として少数にとどまる。「なんとなくVPNを使わせている」「個人PCの利用は暗黙的に認めている」という状態では、情報漏えいやマルウェア感染が発生した際に、企業としての管理責任を問われる可能性がある。

本記事では、テレワーク環境におけるセキュリティリスクを体系的に整理し、実務で使えるセキュリティポリシーの策定手順と具体的な対策を解説する。

---

テレワーク環境における主要なセキュリティリスク

リスク1｜ネットワークの安全性

オフィスでは企業が管理するファイアウォールやプロキシを経由してインターネットに接続するが、在宅勤務では家庭用ルーターを経由する。家庭用ルーターはファームウェアの更新が放置されていることが多く、既知の脆弱性が残ったまま使用されているケースが少なくない。

また、カフェやコワーキングスペースの公衆Wi-Fiを利用する場合、通信の傍受（中間者攻撃）のリスクが生じる。

リスク2｜端末のセキュリティ

会社貸与PCであれば、IT部門がセキュリティソフトの導入やOS更新のポリシーを管理できる。しかし、BYOD（個人端末の業務利用）の場合、端末のセキュリティ状態を企業が完全に管理することは困難だ。

個人PCにインストールされたフリーソフトや、家族と共有しているPCでの業務利用は、マルウェア感染のリスクを高める。

リスク3｜物理的な情報漏えい

在宅勤務中の画面の覗き見（ショルダーハッキング）、業務資料の印刷物の放置、Web会議中の会話の漏洩など、物理的な情報漏えいリスクはオフィス環境とは異なる形で存在する。

リスク4｜認証情報の管理

テレワーク環境では、VPN接続、クラウドサービスへのログイン、社内システムへのアクセスなど、認証が求められる場面が増える。パスワードの使い回しや、メモ帳へのパスワード保存といった不適切な管理が発生しやすい。

リスク5｜データの持ち出しと保存

業務データがローカルPCに保存される、個人のクラウドストレージに同期される、USBメモリに複製されるなど、データの所在が分散するリスクがある。退職時にデータが回収できない事態にもつながる。

---

テレワークセキュリティポリシーの構成要素

実務で使えるポリシーを策定するために、以下の8つの構成要素を網羅的に設計する。

1. 適用範囲の定義

• 対象者: 全従業員、派遣社員、業務委託先を含むか
• 対象場所: 自宅、コワーキングスペース、出張先、海外出張時
• 対象業務: すべての業務か、機密性の高い業務は対象外とするか

2. 使用端末の規定

• 会社貸与PCのみ許可するか、BYODも認めるか
• BYODを認める場合の最低要件（OS、セキュリティソフト、暗号化）
• 私用端末への業務データ保存の可否

3. ネットワーク接続の規定

• VPN接続の義務化範囲
• 公衆Wi-Fiの利用可否と条件
• 自宅ルーターのセキュリティ要件（WPA3推奨、ファームウェア更新）

4. 認証とアクセス制御

• 多要素認証（MFA）の必須化対象
• パスワードポリシー（長さ、複雑性、変更頻度）
• 特権アクセスの制限（管理者権限は社内ネットワークからのみなど）

5. データの取り扱い

• 業務データの保存場所の指定（クラウドストレージのみ、ローカル保存禁止など）
• USBメモリや外部記録媒体の使用可否
• ファイル共有の方法（メール添付ではなく共有リンクを推奨など）

6. 物理的セキュリティ

• 作業場所の要件（覗き見防止、施錠可能な部屋）
• 印刷の可否と印刷物の取り扱い
• 離席時のPC画面ロック

7. インシデント発生時の対応

• 端末紛失・盗難時の連絡先と手順
• マルウェア感染が疑われる場合の初動対応
• 情報漏えいが発生した場合の報告フロー

8. 従業員教育と同意

• ポリシーの周知方法（入社時研修、年1回の更新研修）
• 同意書の取得（ポリシーを理解し遵守する旨の署名）
• 違反時の対応（警告、アクセス権の停止、懲戒処分）

---

VPNとZTNAの選択｜リモートアクセスの設計

VPN（Virtual Private Network）

従来型のリモートアクセス手段。社内ネットワークにトンネルを張り、あたかもオフィスにいるかのようにアクセスできる。

メリット: 導入実績が豊富、既存のネットワーク構成を大きく変更せずに導入可能

デメリット: VPN装置に脆弱性が発見された場合、そこが攻撃の入口となる（2024〜2025年にかけて、VPN機器の脆弱性を突いたランサムウェア被害が多発した）。また、VPN接続時にはネットワーク全体にアクセスできるため、万が一端末が侵害された場合の被害範囲が広い。

ZTNA（Zero Trust Network Access）

ゼロトラストの思想に基づき、ユーザーとデバイスの認証を都度行い、必要なアプリケーションにのみアクセスを許可する方式。

メリット: アプリケーション単位のアクセス制御が可能、VPN機器の脆弱性リスクを排除、クラウドサービスへのアクセスに適している

デメリット: 導入コストが高い、既存の社内システムとの統合に設計工数がかかる

中小企業における現実的な選択

従業員50〜200名規模の中小企業では、以下のアプローチが現実的だ。

1. まず社内システムがクラウド化されている割合を確認する
2. クラウドサービスが中心であれば、ZTNAまたはSASE（Secure Access Service Edge）の導入を検討
3. オンプレミスの社内システムが残っている場合は、VPN + 多要素認証で当面の安全性を確保しつつ、段階的にZTNAへ移行

---

BYOD管理｜個人端末を安全に業務利用させる方法

BYODを認める場合のリスクと対策

BYODを認めることで、企業はPC調達コストを削減でき、従業員は使い慣れた端末で作業できる。しかし、以下のリスクを十分に認識した上で制度設計する必要がある。

• IT部門による端末管理が制限される
• 業務データと個人データが混在する
• 退職時の業務データ消去が困難

MDM（Mobile Device Management）の導入

BYODを認める場合、MDMの導入は事実上必須だ。MDMにより、以下の管理が可能になる。

• 端末のセキュリティ状態の確認（OS更新状況、暗号化の有無）
• リモートワイプ（端末紛失時のデータ消去）
• 業務領域と個人領域の分離（コンテナ化）
• アプリケーションの配布・制限

主要なMDMソリューションとしては、Microsoft Intune、Jamf（Mac向け）、VMware Workspace ONEなどがある。Microsoft 365を利用している企業であれば、IntuneはMicrosoft 365 Business Premiumプランに含まれているため、追加コストなしで利用開始できる。

BYODポリシーに記載すべき事項

• 業務利用を許可する端末の最低要件（OS種類・バージョン、ストレージ暗号化）
• MDM登録の義務化と、MDMにより企業が取得・管理する情報の範囲
• 個人領域のプライバシー保護（企業が個人のアプリ利用履歴や写真にアクセスしないことの明記）
• 端末の修理・交換時の業務データ消去手順
• 退職時の業務データ消去と、MDMプロファイルの削除手順

---

印刷管理｜テレワーク環境での紙の扱い

テレワーク環境での印刷は、見落とされがちだがセキュリティ上のリスクが高い領域だ。

印刷に関するリスク

• 家庭用プリンタは印刷ログが取得できない
• 印刷した書類の保管・廃棄が適切に行われる保証がない
• 機密文書が家庭のゴミとして捨てられる可能性がある

対策の方針

原則禁止型: テレワーク環境での印刷を原則禁止とし、どうしても必要な場合は上長の承認を得た上で、使用後のシュレッダー処理を義務化する。

条件付き許可型: 印刷を許可する文書の機密レベルを定義し、「社外秘」以上の文書は印刷禁止とする。許可する場合も、印刷部数と廃棄方法の報告を求める。

技術的制御: クラウドプリントサービスや仮想デスクトップ（VDI）環境でプリンタマッピングを無効化することで、技術的に印刷を制限する方法もある。

---

ポリシー策定から運用までのロードマップ

フェーズ1（1〜2か月目）｜現状分析とポリシー草案

• 現在のテレワーク環境の利用実態を調査
• 既存のセキュリティポリシーとのギャップを特定
• ポリシー草案を作成

フェーズ2（3か月目）｜関係部門との合意形成

• 人事部門（労務管理、BYOD手当の検討）
• 法務部門（個人情報保護、労働法との整合性）
• 経営層（予算承認、ポリシーの適用範囲の最終決定）

フェーズ3（4か月目）｜技術的対策の実装

• VPN/ZTNAの設定または強化
• MDMの導入・設定
• 多要素認証の全社展開
• エンドポイントセキュリティの確認と強化

フェーズ4（5か月目）｜教育と展開

• 全従業員向けの研修実施
• ポリシーの配布と同意書の取得
• ヘルプデスクの対応マニュアル整備

フェーズ5（6か月目以降）｜運用と改善

• インシデント発生時の対応訓練
• 四半期ごとのポリシー遵守状況の確認
• 年1回のポリシー見直しと更新

---

よくある失敗とその回避策

失敗1｜ポリシーが厳しすぎて現場が従わない

対策: 現場の業務実態をヒアリングした上でポリシーを設計する。全面禁止よりも、条件付き許可の方が遵守率は高い。

失敗2｜ポリシーを策定しただけで教育が不十分

対策: ポリシー文書を配布するだけでなく、具体的な事例を用いた研修を実施する。「なぜこのルールがあるのか」を理解させることが重要だ。

失敗3｜技術的対策とポリシーが乖離している

対策: 「USBメモリ使用禁止」というポリシーがあるなら、技術的にもUSBポートを無効化する。ポリシーと技術的制御を一致させることで、実効性を担保する。

失敗4｜一度策定して更新しない

対策: テレワーク環境を取り巻く脅威は変化し続けている。最低でも年1回はポリシーを見直し、新たな脅威や技術トレンドを反映する。

---

まとめ｜セキュリティポリシーは「制約」ではなく「安心して働ける基盤」

テレワークセキュリティポリシーの目的は、従業員の行動を制約することではない。適切なルールと技術的対策があることで、従業員が安心してテレワークを実施でき、企業も情報資産を守れる状態を作ることだ。

ポリシー策定に完璧を求める必要はない。まずは現状のリスクを把握し、優先度の高い領域から対策を始めることが重要だ。VPN + 多要素認証の徹底、BYOD利用ルールの明文化、インシデント発生時の連絡フローの整備。この3つだけでも、セキュリティレベルは大きく向上する。

GXO実務追記: サイバーセキュリティで発注前に確認すべきこと

この記事のテーマは、単なるトレンド紹介ではなく、自社で最初に塞ぐべきリスク、外部診断の範囲、初動体制を決めるための検討材料です。検索で情報収集している段階でも、発注前に次の観点を整理しておくと、見積もりのブレ、手戻り、ベンダー依存を減らせます。

まず決めるべき3つの論点

論点	確認する内容	未整理のまま進めた場合のリスク
目的	売上拡大、工数削減、リスク低減、顧客体験改善のどれを優先するか	成果指標が曖昧になり、PoCや開発が終わっても投資判断できない
範囲	対象部署、対象業務、対象データ、対象システムをどこまで含めるか	見積もりが膨らむ、または重要な連携が後から漏れる
体制	自社責任者、現場担当、ベンダー、保守運用者をどう置くか	要件確認が遅れ、納期遅延や品質低下につながる

費用・期間・体制の目安

フェーズ	期間目安	主な成果物	GXOが見るポイント
事前診断	1〜2週間	課題整理、現行確認、投資判断メモ	目的と範囲が商談前に整理されているか
要件定義 / 設計	3〜6週間	要件一覧、RFP、概算見積、ロードマップ	見積比較できる粒度になっているか
PoC / MVP	1〜3ヶ月	検証環境、効果測定、リスク評価	本番化判断に必要な数値が取れるか
本番導入	3〜6ヶ月	本番環境、運用設計、教育、改善計画	導入後の運用責任と改善サイクルがあるか

発注前チェックリスト

• [ ] 重要システムと個人情報の所在を棚卸ししたか
• [ ] VPN、管理画面、クラウド管理者の多要素認証を必須化したか
• [ ] バックアップの世代数、復旧時間、復旧訓練の実施日を確認したか
• [ ] 脆弱性診断の対象をWeb、API、クラウド、社内ネットワークに分けたか
• [ ] EDR/MDR/SOCの必要性を、監視できる人員と照らして判断したか
• [ ] インシデント時の連絡先、意思決定者、広報/法務/顧客対応を決めたか

参考にすべき一次情報・公的情報

• IPA 情報セキュリティ
• JPCERT/CC
• NISC
• OWASP Top 10
• NIST Cybersecurity Framework

上記の一次情報は、社内稟議やベンダー比較の根拠として使えます。一方で、公開情報だけでは自社の現行システム、業務フロー、データ状態、予算制約までは判断できません。記事で一般論を把握した後は、自社条件に落とした診断が必要です。

GXOに相談するタイミング

次のいずれかに当てはまる場合は、記事を読み進めるだけでなく、早めに相談した方が安全です。

• 見積もり依頼前に、要件やRFPの粒度を整えたい
• 既存ベンダーの提案が妥当か第三者視点で確認したい
• 補助金、AI、セキュリティ、レガシー刷新が絡み、判断軸が複雑になっている
• 社内稟議で費用対効果、リスク、ロードマップを説明する必要がある
• PoCや診断で終わらせず、本番導入と運用改善まで進めたい