本文へスキップ
スキルアップカレッジ

働く個人のセキュリティ——テレワーク・SaaS・生成 AI・修了後

レッスン8:働く個人のセキュリティ——テレワーク・SaaS・生成 AI・修了後

このレッスンで学ぶこと

  • テレワーク特有のセキュリティ論点を整理する
  • SaaS とシャドー IT のリスクと付き合い方を理解する
  • BYOD(個人デバイスの業務利用)の現実的な運用を持つ
  • 生成 AI への情報入力リスクと組織のルール作りを意識する
  • サプライチェーン攻撃という新しい脅威を知る
  • コース修了後の学習方向を持って次の一歩を踏み出せる

前のレッスンでは、インシデント対応の基本を扱いました。本レッスンは本コースの最終回として、2026 年 6 月時点の働く個人にとって最も身近な論点——テレワーク・SaaS・BYOD・生成 AI・サプライチェーン——を整理します。最後にコース修了後の学習方向と、本コースの中核メッセージを再確認します。

テレワーク特有のセキュリティ論点

2020 年以降、テレワークは多くの組織で標準的な働き方になりました。同時に、新しいセキュリティ論点が浮上しました。

自宅ネットワークのリスク

  • 自宅 Wi-Fi のセキュリティ(古いルーター、初期パスワード、暗号化方式)
  • 家族の端末が同じネットワークにある
  • 隣家の Wi-Fi に間違ってつながる(弱い暗号化の場合)

自宅環境での情報漏洩リスク

  • 同居家族に画面を見られる
  • Web 会議の声を漏らす
  • 機密書類を家に持ち帰る
  • 紙の書類をリビングに放置

物理セキュリティの油断

  • PC を喫茶店に放置
  • 公共交通機関で機密資料を見る
  • 自宅で USB メモリを紛失

現実的な対処

  • 自宅ルーターのファームウェア更新と強いパスワード
  • 業務用 PC は家族に貸さない
  • 機密書類を扱う Web 会議は個室で
  • VPN とエンドポイント保護の確実な利用
  • 紙の機密書類は原則持ち帰らない

💡 ポイント 「テレワーク = 楽な働き方」ではなく、「情報を守る責任が個人の自宅に持ち込まれる働き方」でもあります。社内では仕組みで守られていた多くのことを、テレワーク環境では自分で守る必要があります。

SaaS とシャドー IT

SaaS(Software as a Service、クラウド型ソフトウェア)は、業務効率化に欠かせない一方、シャドー IT(IT 部門の許可なく社員が使うサービス)の温床になります。

シャドー IT が広がる理由

  • 業務上の必要を感じても IT 部門の承認に時間がかかる
  • 個人で使い慣れたサービスを業務でも使いたい
  • 「便利だから」「みんな使っているから」と感じる
  • 個人の Google Drive や Dropbox を業務でつい使う

シャドー IT のリスク

  • 機密情報が組織管理外のクラウドに置かれる
  • 退職時にデータが移行されない(個人 SaaS に残る)
  • 利用契約が組織として結ばれていないため法的責任が曖昧
  • インシデント時の調査がしにくい

組織としての向き合い方

  • 「禁止」だけでは消えない。便利なものはどうしても使う
  • 「業務に必要なら申請して承認を取る」窓口を作る
  • 申請から承認までの時間を短縮する
  • 主要 SaaS を組織として契約し、社員が公式に使えるようにする
  • 月次・四半期で利用 SaaS の棚卸し

個人としての姿勢

  • 業務情報を個人アカウントの SaaS に保存しない
  • 業務利用したいサービスがあれば情シスに相談
  • 退職時には個人 SaaS から業務関連データを完全に削除

⚠️ 注意 「個人で使い慣れた Notion で業務メモを取っている」「個人の Google Drive にアイデアを置いている」——よくある光景ですが、長期的には組織のリスクと個人のキャリアリスクの両方になります。組織が公式に提供するツールを使うのが原則です。

BYOD(個人デバイスの業務利用)

BYOD(Bring Your Own Device)は、個人のスマートフォンや PC を業務でも使う制度です。

普及した背景

  • スマートフォンの個人所有率が高い
  • 業務 PC とは別の機器を持ち歩く負担
  • 個人デバイスの方が使いやすい
  • 組織の支給コスト削減

BYOD のリスク

  • 個人と業務の境界が曖昧
  • 個人情報と業務情報が混在
  • 紛失時の影響範囲が広い
  • マルウェア対策が不十分な可能性
  • 退職時のデータ削除が難しい

BYOD の運用方式

  • MDM(Mobile Device Management):組織が端末を管理する仕組み
  • MAM(Mobile Application Management):業務アプリだけを管理
  • コンテナ化:業務領域と個人領域を論理的に分ける

個人として意識すべきこと

  • BYOD で会社に業務利用を申請しているか
  • 業務データを個人領域に置かない
  • パスワード・MFA を強く設定
  • OS とアプリを最新に保つ
  • 紛失時の即時報告

📝 補足 BYOD の運用は組織ごとに大きく異なります。「うちの会社は BYOD OK」と思っていても、実は MDM 必須だったり、特定アプリのみ許可だったり、というケースが多いです。曖昧な場合は情シスに確認しましょう。

生成 AI への情報入力リスク

ChatGPT・Claude・Gemini など生成 AI の業務利用が、2023 年以降爆発的に広がりました。便利な一方、機密情報を社外サービスに入力してしまう新しいリスクが生まれています。

想定されるリスク

  • 機密情報を生成 AI に入力すると、ベンダーのサーバーに送信される
  • ベンダーがその情報を「学習データ」として使う可能性
  • ログとして残り、ベンダー内部の関係者に閲覧される可能性
  • 他社の AI 回答に自社情報が混入する理論的可能性

2026 年時点の状況

  • 主要ベンダー(OpenAI、Anthropic、Google)は「学習に使わない」オプションを提供
  • 法人契約版(ChatGPT Enterprise、Claude Enterprise、Gemini for Workspace など)は厳格なデータ取り扱い
  • 一方、個人版や無料版では、学習に使われる可能性が明示されている

組織のルール作り

多くの組織で生成 AI 利用のルールが整備されました。代表的なポイントは、

  • 公式ツールの指定:「業務で使う場合はこのサービスのみ」
  • 入力禁止情報の明示:「顧客情報、人事情報、未公開技術情報は入力禁止」
  • 匿名化の徹底:「個人名や顧客名を消した上で入力」
  • ログの取得:「業務利用のログを組織が記録」
  • 学習に使わない契約:「ベンダーとデータ取り扱いを契約で明示」

個人としての判断軸

  • 入力する内容は「公開しても問題ない」レベルか
  • 顧客情報や人事情報を含むか
  • ベンダーの利用規約とデータ取り扱いを確認したか
  • 組織のルールに沿っているか

⚠️ 注意 「これくらいなら大丈夫」と感じる情報も、組み合わせで個人を特定できる場合があります。「個人名は消したが、所属と役職と年齢を書いた」のような中途半端な匿名化は、再特定リスクがあります。組織のガイドラインに沿うのが安全です。

サプライチェーン攻撃

サプライチェーン攻撃は、攻撃対象を直接狙うのではなく、その取引先・委託先・利用ソフトウェアを経由して侵入する手口です。

典型例

  • ソフトウェアアップデートにマルウェアが混入(SolarWinds 事件、2020 年)
  • オープンソースライブラリに悪意あるコードが挿入される
  • 業務委託先の社員が侵害される
  • クラウドサービスの設定不備が連鎖被害

2026 年時点の状況

  • 大規模なサプライチェーン攻撃が世界的に増加傾向
  • ソフトウェア部品表(SBOM、Software Bill of Materials)の整備が進行
  • 業務委託先のセキュリティ評価の重要性が高まっている

組織としての対策

  • 重要システムの提供元との契約にセキュリティ条項
  • 委託先の年次セキュリティ評価
  • 利用ソフトウェアの脆弱性管理
  • 業務委託先からのアクセスの最小化

個人としての対応

  • 業務委託先・取引先からの不審な依頼に注意
  • 委託先のスタッフだとしても、機密情報の取り扱いは慎重に
  • 「いつもの取引先だから」と油断しない

💡 ポイント サプライチェーン攻撃は、自社の防御を完璧にしても完全には防げません。「自社」「取引先」「委託先」「利用ソフトウェア」のすべてが連携してセキュリティを担保する時代になっています。

コース修了後の学習方向

ここまで 8 レッスンを通じて、情報セキュリティの基礎を学んでいただきました。本コースは「基礎」として全体地図を提示しましたが、より深い学習に進みたい方のための方向をいくつか提示します。

1. 関連コースで深掘りする

スキルアップカレッジには、本コースの周辺領域を扱う関連コースが順次公開されます。

  • ネットワーク入門
  • ゼロトラストセキュリティ入門
  • 標的型攻撃・フィッシング対策
  • サイバー攻撃 最新動向
  • クラウド入門

これらを順に学ぶことで、情報セキュリティの理解が立体的になります。

2. 自社の規定・ルールを確認する

本コースの内容を踏まえて、自社の情報セキュリティポリシー、データ取り扱いルール、インシデント対応手順を読み返してみてください。基礎が頭に入った後の方が、規定の意味が深く理解できます。

3. 公的資格に挑戦する

体系的に学びたい方には、公的資格が役立ちます。

  • IT パスポート:IT 全般の基礎、情報セキュリティを含む
  • 情報セキュリティマネジメント:管理層向けの基礎
  • 情報処理安全確保支援士:実務専門家向けの国家資格
  • CISSP:国際的に認知されたセキュリティ専門家資格

4. 日常的な情報収集

セキュリティは進化が速い領域です。日常的な情報収集をおすすめします。

  • JPCERT/CC:日本の CSIRT、最新の脆弱性情報・注意喚起
  • IPA(情報処理推進機構):基礎資料・教材
  • NISC(内閣サイバーセキュリティセンター):政府の発信
  • 海外:CISA(米国)、ENISA(EU)

5. 実践的な訓練を経験する

  • フィッシング訓練に積極参加
  • インシデント対応訓練(机上訓練)への参加
  • CTF(Capture The Flag)競技にチームで挑戦
  • セキュリティイベント・カンファレンスへの参加

6. 「自分の言葉」で原則を語れるようになる

本コースの最終ゴールは、「本コースで紹介した枠組み(CIA トライアド、リスク評価、認証認可、マルウェア、暗号化、データ分類、インシデント対応)を、自分の言葉で同僚や後輩に説明できるようになる」ことです。理解したことは人に伝えてみる、というのが、定着の近道です。

本コースの中核メッセージの再確認

最後に、本コースを貫いてきた中核メッセージを 3 点に絞ってお伝えします。

①「100% の防御はない」

完璧な防御は存在しません。だからこそ、防御だけでなく検知と対応も含めた多層防御が必要です。「攻撃を防げなかった」ことを失敗と捉えるのではなく、「攻撃を早く検知して被害を最小化できた」ことを成功と捉える発想転換が、現実のセキュリティ運用の腰になります。

②「全社員のリテラシーが組織の防御」

技術や仕組みをどれだけ整えても、最後は人の判断で決まります。フィッシングメールに気づく目、不審な現象を報告する勇気、機密情報を扱う慎重さ。これらは技術部門が持つものではなく、全社員一人ひとりが持つものです。

③「気づいたら報告」「責めない」文化

インシデントが起きたとき、最も大切なのは早期の報告です。そして、報告のスピードを支えるのは「責めない」組織文化です。報告した人を称賛し、ミスを仕組みで防ぐ。この発想が組織のセキュリティの強さを決めます。

講師の現場メモ:「『気づかなかった』では済まない時代」

私(関口)が独立後に出会った、ある経営者の方の話です。中堅企業を 30 年経営してきた方で、情報セキュリティについては「うちには専門の担当者がいるから」と任せきりにしていました。

ある日、私が経営層向けセミナーで講演した後、その経営者の方が質問に来られました。

「関口先生、私は IT のことはよくわかりません。経営者として、何を意識すれば良いのでしょうか」

私はこう答えました。

「3 つだけ覚えてください。第 1 に、『うちは大丈夫』は通用しない時代です。中堅企業ほど狙われやすくなっています。第 2 に、被害が出てから慌てるのではなく、起きる前提で備える発想です。バックアップ、訓練、保険、対応手順。第 3 に、社員が報告しやすい雰囲気を経営者自ら作ってください。報告した人を罰すると、次のインシデントを隠されます」

経営者の方は黙って聞いていましたが、最後にこう言われました。

「『気づかなかった』では済まない時代になったということですね。経営の責任として、ちゃんと向き合います」

3 か月後、その会社は外部のセキュリティアドバイザリーを契約し、私もスポット支援に入りました。社員向け研修、CSIRT 体制の整備、バックアップ訓練、サイバー保険の見直しが進みました。経営者の方は、毎月の経営会議で必ず「セキュリティ報告」のアジェンダを入れ、社員からの「ヒヤリハット」報告に対して「報告ありがとう、何が改善できるか考えよう」と返す習慣を作っていきました。

1 年後、その会社で大きな攻撃が試みられた事案が発生しました。BEC の手口で経理に送金指示が来たのです。経理担当者は研修で習った通り、「機密だから誰にも相談するな」のメールに対して、即座に CEO に電話確認し、攻撃を未遂で食い止めました。

そのときに経営者の方が、CSIRT メンバーと経理担当者を集めてこう言われました。「報告と確認の習慣が、うちの会社を救いました。ありがとう」。

このときに学んだのが、経営者の本気度がセキュリティ文化を決めるということです。情報セキュリティは「IT 部門の責任」ではなく、経営から現場まで全員の責任です。技術的な仕組みだけでは絶対に守れません。

本コースを通じて、皆さんが「経営者だけ」「IT 部門だけ」の話ではなく、「自分一人ひとりが守る一人」という意識を持っていただけたら、私としてこれ以上の喜びはありません。

まとめ

このレッスンでは、以下のことを学びました。

  • テレワークでは自宅ネットワーク・物理セキュリティ・家族との境界の論点がある
  • SaaS とシャドー IT は便利な反面、組織管理外のデータが増える。組織として申請・承認の仕組みが必要
  • BYOD は MDM・MAM・コンテナ化など組織の方針に従う
  • 生成 AI への情報入力リスク:法人版を使う・入力禁止情報の明示・匿名化・組織ルールに従う
  • サプライチェーン攻撃:自社・取引先・委託先・利用ソフトすべてが連携する時代
  • 修了後の学習方向:関連コース・自社規定の確認・公的資格・情報収集・実践訓練・自分の言葉で説明
  • 本コースの中核メッセージ:「100% の防御はない」「全社員のリテラシーが組織の防御」「気づいたら報告・責めない文化」

長い間ありがとうございました。本コースで提示した枠組みが、皆さんの現場で少しでも役に立てば幸いです。次は総復習テストで、コース全体の理解度を確認しましょう。

確認クイズ

このレッスンの理解度をチェックしましょう。