Microsoft セキュリティ

在宅テレワークでIT管理者にバレること・バレない対策|IT管理プロがぶっちゃけます

2022年7月24日

コロナウイルス感染拡大に伴うテレワーク制度の導入、在宅テレワーク業務の片手間にネットで私的な調べもの…

監督者の目がなく、何とも気楽でよいものですよね。

ですが会社には、「業務システム~PCの使用履歴」までをチェックできる ”システム管理者” が存在します。

そしてシステム管理者は、会社貸与のPCで行う行為、

ほぼすべて、把握できます。

今回この事実について、企業内のシステム管理を担う筆者が、「システム管理の裏側」わかりやすくぶっちゃけていきます。

この記事で説明すること

  • システム管理者が監視していること
  • 個人情報でバレる範囲
  • Microsoft365監視のスゴい機能
  • 会社PCを使う上での注意点

まずは知っておきたい、「在宅テレワーク業務で、システム管理者の目をかいくぐる方法」から説明していきます。

在宅テレワークでやることは「基本ぜんぶバレます」

結論として、会社貸与のPCを使うことで、

システム管理者にバレないよう

PCを使う方法はありません

なぜなら経営側としては、会社や従業員を守るための"統制管理" つまり、やっている業務の把握・コントロールしなければならないからです。

統制コントールのため、監査の仕組みをシステムで実現することこそ、システム管理者のお仕事だったりします。

PC無操作で「離席」状態にならない方法

Microsoft 365(旧Office 365)使っている企業であれば、「プレゼンス情報をごまかす」方法ならありますよ。

プレゼンス情報とは?

OutlookやTeamsの画面上部、プロファイル横にある「在席状態」をカラーで示すアイコンです。

  • みどり:在席中
  • きいろ:退席中
  • あか:応答不可

PC無操作が続くと「あか:応答不可」になってしまいます。

「きいろ:退席中」でも、サボっていることはバレてしまいますね。

これを防ぐには、PCのスリープを解除するだけでは足りず、OutlookやTeams内を "定期的に自動クリックする" ことで「みどり:在席中」維持でき、在席状態をアピールすることができますよ。

あくまで「Microsoft 365のプレゼンス情報で在席チェックしている企業」向けですので、ご参考まで。

※サボる・サボらないは自己責任でお願いしますね。

次に、在宅テレワークのPC環境別、システム管理者はどのようにして監視しているのか?説明していきます。

在宅テレワークで仕事をするPC環境2パターン

在宅テレワークを行う「方法」です。

  1. 会社貸与PCで業務する
  2. 私物のPCで業務する

方法別に、管理者にバレる範囲が異なります。

会社貸与PCで在宅テレワーク「ほぼすべてバレる」

システム管理者にバレること

  • PC使用しているおおよその住所
  • PC操作した履歴
  • ブラウザの閲覧履歴
  • 業務システムを使った履歴

つまり、PCを使うこと全般「ほぼ筒抜け・お見通し状態」です。

この「すべてバレてしまう理由」として、企業で使うPCには、PCのあらゆる履歴を監視する次のようなツールがインストールされているからです。

  • ウイルス対策ソフト
  • PC監査ツール

PC監視ツールとは?

有名なところで、「Microsoft Intune(マイクロソフト インチューン)」や、「LANSCOPE(ランスコープ)」という、PC内部をパトロールするツールです。

昨今だと、ウイルス対策ソフトにも同じような機能が備わっていたりします。

この「ほぼバレている」事実から、会社貸与PCを使う際に気をつけること3つほど説明していきます。

許可されていないWebサイトの閲覧、投稿

InstagramやTwitterの閲覧から、SNSへの投稿、またはムフフなサイトを徘徊するような行為...

ぜんぶバレています。

気をつけましょうね。

やましい何かがバレるタイミングとしては、「セキュリティ事故が発生したタイミング」と思って頂いた方がよいでしょう。

いくらシステム管理者でも、手前都合でSNSやムフフなサイトを「業務とは無関係」と切り分け、アクセス制限するのは越権(えっけん)行為、つまり行き過ぎた行為です。

Webサイトへの個人情報の入力

インターネット通信のログ監視は当然やっていると想定できます。

そのため、個人情報の入力(以下例)は控えた方がよいでしょう。

  • クレジットカード情報
  • 個人で使用しているパスワード入力

ただ、いくらシステム管理であっても、

ブラウザー入力・IDやパスワードまで取得してはいけません。

会社の情報管理規程にもよりけりですが、これではハッカーと同じですので、たとえシステム管理者であってもNGです。

特に私物PCの場合は、情報の所有権は個人に帰属します。よって、

本人の許可なしでの情報取得は、絶対にしてはならないことです。

もしあなたが「認識していない・許容していない」範囲で情報収集されているようであれば、どのような理由があろうと違法です。

即刻、収集した個人情報の削除を会社に要求した方がよいでしょう。

ECサイトでの私的なお買い物

もし楽天市場で私用の買い物をしたら、下記がバレます。

  • 購入した商品
  • 場所、時間、端末の情報

自らの個人情報を収集されるような行為、業務中は控えることをおすすめします。

私物PCで在宅テレワーク「一部バレる」

システム管理者にバレること

  • PC使用しているおおよその住所
  • 業務システムを使った履歴

私物PCに、PC監視ツールをインストールしていない前提です。

もし会社の指示で監視ツールをインストールしている場合、会社貸与PCと同じく「すべてシステム管理者にバレている」このように認識しておいた方がよいでしょう。

IPアドレスは「個人情報ではない」

【IPアドレスとは】ネットワーク上の住所のことを示し、おおよそですが「市区町村レベルの位置情報を知る」こともできます。

じゃあ、IPアドレスって「個人情報」じゃないの?
自宅の住所がバレるのはイヤだなぁ…

IPアドレスは個人情報として定義されていませんよ

IPアドレスから判別できるのは、「契約している"インターネットプロバイダ”の基地局の住所」のため、個人情報に相当しないとされています。

ですが、IPアドレスを取り扱うのが「システム管理者」の場合、"IPアドレスと社員情報をリンクさせ、住所まで特定できる情報で管理しているかも" しれませんね。

つまり、システム管理者は「IPアドレスも”個人情報の部類である”」心掛け、第三者に漏らさないよう管理している実態があります。

Microsoft 365に記録される情報

会社で Microsoft365(旧Office365) を使っている場合、システム履歴にどのような情報が記録されるのか?以下例です。

項目名アクセスログの例
利用デバイスデバイス名:LAPTOP-****
OSバージョンWindows 10.0.*****.0
ブラウザーChrome、Edgeといったブラウザー名
アクティビティUpdate device(デバイスで何を行ったのか)
利用場所IPアドレスから都道府県
IPアドレス***.***.***.***
利用情報ユーザー名
アプリケーションSharePoint、Outlook、Teams
認証多要素、単一要素

ご覧の通り、各種バージョンまで取得できてしまいます。

そのため、使用している環境・バージョンにセキュリティリスクがある場合、システム管理者から何かしらの指摘を受けるケースもあります。

Microsoft 365を利用する注意点

例えば、次のようなことを会社に内緒でやったとします。

  • 会社未許可でデータを外部へ持ち出す行為
    • SharePoint、OneDriveで外部共有する
  • 私的なデータの会社持ち込む行為
    • 個人データを会社メール宛に送信

システム管理者は、すべてお見通しですよ。

Microsoft 365全体管理者は、サクッとシステム監査ログ調べられますので。

またデータの私的な出し入れだけではなく、内部不正対策とした「電子情報開示」という超強力な監査機能が存在します。

「電子情報開示」どう強力なのか?というと、

メール文章やTeamsのチャットまで、

すべて丸裸にされてしまいます。

非常に強力な監査の機能なので、企業内であれば、

  • インシデントが発生時に、
  • 経営サイトが指示して、
  • 許可のち使用する

このような制限を設けるのが通常でしょう。

ですが中小企業、非上場の企業であれば、電子情報開示を使うための統制まで手が回らない事実もあります。

そのためシステム管理者には、次のような素養が求められます。

  • システムを私物化しない
  • 当事者意識がある
  • 責任感を持つ

スキルや技術力がすべてではなく、倫理・道徳観が必要ということですね。

まとめ

在宅テレワーク業務でバレること、システム管理者のぶっちゃけ話でした。

システム管理者であれば、

PC履歴からの利用実態、

つまびらやかに示せる。

このように認識しておいた方がよいでしょう。

システム監視されている範囲を理解して、私的なことに会社貸与PCを使わないことをおすすめします。

  • この記事を書いた人

どうなの@ITのかけ算

ITの「わかりにくい」をズバり!わかりやすく。
デジタルを便利に&安全に使うノウハウ発信中🚀
中の人は、情報セキュリティ資格を有するITのプロです。

-Microsoft, セキュリティ
-, ,