在宅勤務時代の情報管理｜企業が直面する課題と内部脅威検知の重要性

2025/12/22（更新：2025/12/22）著者・監修｜株式会社エルテス編集部主なデジタルリスク

在宅勤務の普及は、働き方の柔軟性を高めた一方で、情報管理のあり方を大きく変えました。従来のオフィス内での勤務を前提とした対策では防げない「見えないリスク」が増大し、特に従業員の不注意や内部不正といった「内部脅威」への対応が急務となっています。

このコラムでは、在宅勤務におけるリスクの分析から最新の検知技術までを網羅し、課題解決に役立つ情報を解説します。

目次[非表示]

1.在宅勤務で起きる情報管理の具体的なリスク

1.1.① 社用デバイスの持ち出し・紛失に伴う情報漏洩リスク
1.2.② シャドーITや私物の端末（BYOD）の利用による管理外リスク
1.3.③ 管理されていないネットワーク利用による通信上のリスク

2.企業が取るべき在宅勤務の情報管理対策

2.1.強固なアクセス制御と認証
2.2.VPNの活用による安全な通信確保
2.3.ルール策定と運用体制の構築

3.人的行動が引き起こすリスクと管理方法の限界
4.エルテス「内部脅威検知サービス（Internal Risk Intelligence）」3つの特長

4.1.① UEBAによるシステムと専門アナリストのハイブリッド分析
4.2.② Webポータルによる迅速なリスク把握と相関分析
4.3.③ 既存資産を活かした低コスト・手軽な導入と運用

5.まとめ

在宅勤務で起きる情報管理の具体的なリスク

risk

在宅勤務では、業務の多くをオンライン上で行い、かつオフィス以外の自由な場所で情報を扱うことになります。そのため、入退室管理や物理的な監視が行き届くオフィス環境と比べて、情報漏洩のリスクが高まりやすい点が特徴です。特に在宅勤務で注意すべき情報漏洩リスクとして、主に以下の3つが挙げられます。

① 社用デバイスの持ち出し・紛失に伴う情報漏洩リスク

在宅勤務の普及により、社用PCやスマートフォンといった業務用デバイスを社外へ持ち出す機会が増え、移動中や外出先、自宅内での置き忘れや盗難など、物理的な紛失リスクが高まっています。

オフィス内であれば入退室管理や監視体制による一定の抑止効果が期待できますが、自宅やカフェ、公共交通機関といった環境では管理が十分に行き届かず、端末内のデータ暗号化や認証設定が不十分な場合には、紛失したデバイスを起点として第三者に機密情報を閲覧・持ち出される危険性があります。

② シャドーITや私物の端末（BYOD）の利用による管理外リスク

在宅勤務では業務効率を優先するあまり、会社が許可していないクラウドサービスやアプリケーション、私物の端末を業務に利用してしまう「シャドーIT」に該当するケースが増えやすく、企業の管理範囲から外れた場所で情報が扱われるリスクが高まります。

「シャドーIT」は利便性を高める一方で、セキュリティポリシーやアクセス管理の対象外となるため、機密情報がどこに保存され、誰がどのように利用しているのかを企業側が把握できず、結果として情報漏洩時の検知や対応が遅れる原因にもなります。また、BYOD（Bring Your Own Device）では端末のセキュリティ状態や利用状況を企業側で十分に管理できないため、マルウェア感染や公私混同をきっかけとした意図しない情報流出につながる恐れがあります。

③ 管理されていないネットワーク利用による通信上のリスク

在宅勤務では、企業の管理下にない自宅のWi-Fiやカフェ、ホテルなどのネットワークを利用する機会が増えるため、通信経路の安全性が十分に確保されないリスクもあります。

例えば、推測されやすいパスワードを設定している場合には外部から不正侵入される可能性があり、公衆無線LANでは、通信内容を第三者に傍受されたり、正規のネットワークを装った偽のアクセスポイントに接続してしまうことで、IDや業務データが盗み取られる危険性があります。

▶情報漏えいの実態を【無料】ダウンロード

【資料】情報漏えいの実態 | エルテスセキュリティ、コンプライアンス担当者必見の情報漏洩の実態に関するレポートです。日本と諸外国の比較から、日本企業が明日から取り組むべき情報漏えい対策をまとめました。株式会社エルテス

企業が取るべき在宅勤務の情報管理対策

在宅勤務の情報管理対策

在宅勤務における情報管理は、単一のツール導入だけで完結する問題ではありません。オフィスという物理的な境界が曖昧になり、情報資産が多様な環境に分散しているなか、次に示す多層的なアプローチが必要になります。

強固なアクセス制御と認証

在宅勤務環境における情報管理の基本は、強固なアクセス制御と認証の実施です。IDとパスワードのみの単一要素認証では、不正アクセスを完全に防ぐことは難しく、パスワード漏洩やアカウント乗っ取りのリスクがあります。

そこで、多要素認証（MFA）を導入し、パスワードに加えてワンタイムパスワードや生体認証などを組み合わせることで、不正ログインのリスクを大幅に低減できます。具体的な方法としては、SMS認証（登録携帯番号へのコード送信）、認証アプリ（スマホ生成コードの利用）、ハードウェアトークン（専用デバイスによる認証）などがあります。

また、昨今のセキュリティ対策では「ゼロトラスト」の考え方が主流です。「社内ネットワークからのアクセスであっても決して信頼せず、すべてのアクセス要求を常に検証する」というアプローチです。従業員の職務に応じ、必要最小限の権限のみを付与する「最小権限の原則」を徹底することで、万が一の際も被害範囲を最小限に抑え、内部不正のリスクも低減できます。

VPNの活用による安全な通信確保

在宅勤務や外出先での業務において、社内システムへ接続する際は、情報管理の観点からVPN（Virtual Private Network：仮想プライベートネットワーク）の活用が重要です。

VPNは安全にデータ通信をするために開発された技術であり、第三者によるデータの盗聴や改ざんを防ぐことができ、安全に社内ネットワークへ接続することができます。VPNを利用せずにインターネット経由で社内システムへ接続した場合、通信内容を盗み見られたり、不正アクセスを受けたりするリスクが高まるため、企業は「業務時には必ずVPN を経由させる」というルールを徹底させる必要があります。

ルール策定と運用体制の構築

在宅勤務の安全な運用には技術的対策に加え、ルール策定と運用体制の構築が欠かせません。総務省の「テレワークセキュリティガイドライン」でも、「ルール」「人」「技術」のバランスが取れた対策の重要性が強調されています。

具体的には、情報資産の取り扱い、私物の端末の利用、許可するソフトウェアの範囲といったセキュリティポリシーを策定し、全従業員に周知徹底することが重要です。また、研修や啓発を通じて意識向上を図るとともに、規程違反時の対応を就業規則に明記し、インシデント発生時の報告フローの整備や定期的な見直しが必要です。

▶事例から学ぶ、転職者による情報持ち出しの特徴を【無料】ダウンロード

【資料】事例から学ぶ、転職者による情報持ち出しの特徴 | エルテス日本で発生する情報漏えいの多くは組織の内部関係者を起因としています。その中でも、従業員の情報持ち出し対策の一助となる、転職者が情報を持ち出す際の行動の特徴と対策をまとめました。ぜひご活用ください。株式会社エルテス

人的行動が引き起こすリスクと管理方法の限界

PCとUSB

ここまで説明した対策は重要ですが、あくまで「守るべき行動を定義する」ものであり、実際に守られているかどうかを継続的に把握することは難しいという課題を抱えています。

その実態を示すデータの一つとして、エルテスが2025年10月に行った「転職時の情報管理アンケート調査」をご紹介します。

出典：【資料】転職時の情報管理アンケート調査 | エルテス

同調査において、「退職時、前職の業務で使用していた情報（紙・データなど媒体問わず）を持ち出した経験はありますか？」という質問に対し、回答者300名のうち約20％（57名）が「ある」と回答しました。これは5人に1人が情報を持ち出していることを意味します。

出典：【資料】転職時の情報管理アンケート調査 | エルテス

さらに、「情報を持ち出した理由は何ですか？」という質問に対しては、「転職先で業務に活用するため」29.8％と最多の回答でした。この結果からは、情報持ち出しが必ずしも衝動的なミスではなく、本人の合理性や目的意識を伴って行われているケースが多いことが分かります。

在宅勤務では上司や同僚の目が届きにくく、業務行動が可視化されづらくなるため、ルールは存在していても行動レベルでの逸脱を検知できず、気付いたときには情報がすでに社外に流出している、という事態に陥りかねません。

▶転職時の情報管理アンケート調査を【無料】ダウンロード

【資料】転職時の情報管理アンケート調査 | エルテス2025年10月に実施した転職経験者を対象とする転職時の情報持ち出しに関する実態調査レポートです。ぜひご活用ください。株式会社エルテス

エルテス「内部脅威検知サービス（Internal Risk Intelligence）」3つの特長

iri

これまで解説してきた在宅勤務における情報管理の課題と対策を踏まえ、エルテスが提供する「内部脅威検知サービス（Internal Risk Intelligence）」がどのような特長を果たすのかを説明します。

① UEBAによるシステムと専門アナリストのハイブリッド分析

内部脅威検知サービスでは、専門アナリストが導入から運用までを一貫してサポートし、UEBA（User and Entity Behavior Analytics：ユーザーエンティティ振る舞い分析）の仕組みを用いたシステムが過去の行動データを機械学習することで、各ユーザーやデバイスの標準的な振る舞いを自動的にモデル化し、そこから逸脱した異常な動きを検出します。

またシステムによる自動検知だけでは、複雑な業務背景や文脈を完全には理解できず誤検知が生じる懸念がありますが、内部脅威検知サービスでは検知後に専門アナリストが詳細なログ調査を実施し、企業個別の実情に照らし合わせた多角的なリスク判断を行うことで、運用担当者を悩ませる「アラート疲れ」の原因となる不要な通知を最小限に抑え、本当に対処が必要な危険な内部不正の兆候だけに焦点を当てた効率的なセキュリティ対策を実現します。

▶内部脅威検知サービス紹介資料を【無料】ダウンロード

【資料】内部脅威検知サービス（Internal Risk Intelligence）紹介資料｜エルテス近年、内部関係者による情報持ち出しインシデントが後を絶ちません。資料では、ログを分析し不正につながる行動の早期検知をする内部脅威検知サービス（Internal Risk Intelligence）の仕組みと解決できる課題についてまとめました。株式会社エルテス

② Webポータルによる迅速なリスク把握と相関分析

膨大なログ分析の結果は、直感的なWebポータル上で可視化されるため、各従業員のリスクスコアや注意すべき行動の推移、さらには全社的なリスク傾向をひと目で把握することができ、管理部門や経営層への報告資料としても活用できます。従来は数時間、数日を要していたログの確認作業を大幅に短縮し、重大なリスクへの迅速な意思決定を支援します。

▶Webポータルで分かることを【無料】ダウンロード

【資料】内部脅威検知サービス Webポータルで分かること | エルテスInternal Risk Intelligence（内部脅威検知）サービスの月次レポートサンプルをダウンロード出来ます。株式会社エルテス

③ 既存資産を活かした低コスト・手軽な導入と運用

内部脅威検知サービスはクラウド型のマネージドサービスとして提供されており、自社で既に収集・保存しているログデータをそのまま活用できるため、多額の初期投資を必要としないリーズナブルな導入が可能です。

実際に導入された企業様からは、これまで現場の担当者が手作業で行っていた膨大なログ確認の工数が削減され、月次でしか行えなかった分析を日次へと高頻度化できたことで、現場の負担を抑えながらもセキュリティレベルを大幅に向上させることができたという高い評価もいただいております。

▶内部脅威検知事例集を【無料】ダウンロード

【資料】内部脅威検知事例集～IRIサービス～ | エルテスエルテスの提供する内部脅威検知サービス（IRIサービス）で、情報持ち出しや超過勤務（隠れ残業）などの社内脅威を実際に検知した事例をまとめました。無料でダウンロードできますので、業務にお役立てください。株式会社エルテス

まとめ

多くの企業で在宅勤務が常態化した現代社会において、従来型のオフィス中心のセキュリティ対策では、従業員による内部脅威を防ぐのは困難です。これからの時代に求められるのは、異常な兆候を的確に捉える「問題の未然防止」アプローチです。

在宅勤務における情報管理の徹底や、内部不正リスクへの具体的な備えをお考えの企業様は、ぜひエルテスへお気軽にご相談ください。

▶ 内部脅威検知サービス紹介資料を【無料】ダウンロード

情報漏洩・内部不正対策のご相談は、エルテスへ

コラム一覧へ戻る

著者・監修｜株式会社エルテス編集部

株式会社エルテスは、これまで多種多様な企業のデジタルリスク対策に尽力してきたノウハウを生かし、企業のリスク課題・デジタル課題に役立つコンテンツを提供しています。編集部ではネット炎上やSNS運用トラブル、ネット上の風評被害・誹謗中傷、情報セキュリティ対策など様々なビジネスのリスク課題に関するコラムを発信しています。

在宅勤務時代の情報管理｜企業が直面する課題と内部脅威検知の重要性