外出・在宅勤務・持ち込みPC・VPN・ネットワーク接続ルールまで

1. はじめに

PCは「買って渡すもの」ではなく「管理して貸与する情報資産」

従業員にPCを持たせるとき、単にスペックや価格だけで選んではいけません。
PCは、会社の情報・顧客情報・メール・クラウドサービス・業務システムへアクセスするための入口です。

つまりPCは、
業務道具であると同時に、会社の情報資産そのものです。

特に外出勤務、在宅勤務、カフェ作業、私物PC利用が入ると、会社の管理外の場所で会社情報が扱われます。
この時点で、PC設計は単なる端末選定ではなく、セキュリティ設計になります。

2. 本講義の結論

従業員PCの設計で最も重要なのは、次の考え方です。

管理できないPCに、会社の情報を扱わせない。

これが基本です。

セキュリティは、ウイルス対策ソフトを入れれば終わりではありません。
暗号化、認証、権限管理、ネットワーク接続、持ち出しルール、紛失時対応、ログ確認、退職時回収まで含めて設計します。

3. PC利用を4分類で考える

従業員PCは、利用場所と管理レベルで分類します。

ポイントは、全員に同じルールを当てるのではなく、利用形態ごとにルールを分けることです。

4. 会社貸与PCの基本設計

会社が従業員にPCを渡す場合、最低限の基準を決めます。

4-1. OS

Windowsの場合は、原則として以下を推奨します。

• Windows 11 Pro
• Windows 11 Enterprise
• Windows 11 Education

理由は、BitLocker、グループポリシー、MDM、リモート管理、条件付きアクセスなど、業務端末として必要な管理機能を使いやすいためです。

Windows Homeは、個人利用向けであり、会社管理には不向きです。

Macの場合は、以下を前提にします。

• 最新またはサポート中のmacOS
• FileVault有効化
• Gatekeeper有効
• ファイアウォール有効
• MDM管理可能な状態

5. PCスペックより先に決めるべきこと

PC選定では、CPUやメモリよりも先に、次の項目を決めます。

1. 誰が使うのか
2. どこで使うのか
3. 何の情報にアクセスするのか
4. ローカル保存を許可するのか
5. 紛失したときに会社が遠隔対応できるのか
6. 退職時に確実に回収・初期化できるのか
7. 私物利用を許すのか

この設計がないままPCを渡すと、あとからルールが破綻します。

6. 標準PC構成

6-1. 最低限の標準構成

7. アンチウイルスソフトの考え方

7-1. Windowsは標準のDefenderだけでよいのか

個人利用であれば、Windows標準のMicrosoft Defender Antivirusでも一定の防御力があります。
しかし会社利用では、単に入っているだけでは不十分です。

会社PCでは、次の観点が必要です。

• Defenderが有効か確認できること
• 定義ファイルが更新されていること
• リアルタイム保護が無効化されていないこと
• 脅威検出時に管理者が把握できること
• 端末ごとの状態を一覧で確認できること
• 必要に応じてEDR機能を使えること

つまり、問題は「Defenderか、他社製か」ではありません。

重要なのは、
管理されているか、放置されているかです。

7-2. よくある危険なパターン

危険例1

「買ったときにマカフィーが入っているから大丈夫」

これは危険です。
体験版は30日や数か月で期限切れになることがあります。
期限切れのまま放置されると、従業員は守られているつもりでも、実際には保護が弱くなっている可能性があります。

危険例2

「Macはウイルスに感染しないから何もしなくてよい」

これも誤りです。
Macにもマルウェア、フィッシング、偽アプリ、情報窃取、ブラウザ経由の攻撃はあります。
Macは安全だから放置でよい、ではなく、FileVault、OS更新、Gatekeeper、MDM、必要に応じたEDRが必要です。

危険例3

「ウイルス対策ソフトを複数入れれば強い」

複数のウイルス対策ソフトを同時に入れると、競合、動作不良、性能低下、検知漏れの原因になります。
会社としては、標準製品を1つ決め、管理状態を確認することが重要です。

8. 暗号化の設計

8-1. なぜ暗号化が必要か

ノートPCは盗難・紛失リスクがあります。
PC本体にパスワードを設定していても、ストレージが暗号化されていなければ、SSDを取り外して中身を読み取られる可能性があります。

そのため、会社貸与PCは原則としてフルディスク暗号化を必須にします。

WindowsならBitLocker、MacならFileVaultです。

8-2. BitLocker運用ルール

Windows PCでは、以下を標準とします。

• BitLockerを有効化する
• 回復キーを会社側で保管する
• 回復キーを従業員個人だけに持たせない
• TPMを有効にする
• セキュアブートを有効にする
• 暗号化状態を台帳で管理する
• 暗号化されていないPCの持ち出しを禁止する

重要なのは、BitLockerを有効にするだけではありません。
回復キーを会社が管理できることが重要です。

8-3. FileVault運用ルール

Macでは、以下を標準とします。

• FileVaultを有効化する
• 復旧キーを会社側で管理する
• 管理者権限を制限する
• OS更新を放置しない
• MDMで設定状態を確認する
• 私物Apple IDに業務データを混在させない

Macはデザインや操作性がよく、個人利用と業務利用が混ざりやすい端末です。
だからこそ、会社用データと個人用データを分ける設計が必要です。

9. 管理者権限のルール

従業員にローカル管理者権限を常時付与するのは危険です。

管理者権限があると、以下が可能になります。

• 勝手にソフトをインストールできる
• セキュリティ設定を変更できる
• ウイルス対策を停止できる
• 不要なブラウザ拡張機能を入れられる
• 業務に関係ないアプリを入れられる

標準ルールは次の通りです。

従業員は標準ユーザー。
管理者権限は情シスまたは管理者が必要時のみ使用。

ソフトの追加は申請制にします。

10. 外出ありPCの設計

外出ありPCは、社内専用PCよりも強い管理が必要です。

10-1. 外出ありPCの必須条件

• フルディスク暗号化
• 自動ロック
• 強固なパスワードまたは生体認証
• MFA必須
• 紛失時の連絡手順
• リモートロックまたはリモートワイプ
• VPNまたは条件付きアクセス
• 公衆Wi-Fi利用ルール
• 画面のぞき見防止
• ローカル保存制限

10-2. 外出時の禁止事項

以下は禁止とします。

• PCを車内に放置する
• カフェの席に置いたまま離席する
• 画面を開いたままトイレに行く
• 電車内で機密情報を表示する
• 顧客情報を周囲に見える状態で扱う
• 公衆Wi-Fiで機密情報にアクセスする
• 会社PCを家族や知人に使わせる
• USBメモリに顧客情報をコピーする
• 個人クラウドへ業務データを保存する

11. 在宅勤務PCの設計

在宅勤務では、会社の管理外のネットワークを使います。
自宅だから安全、とは限りません。

11-1. 在宅勤務の条件

在宅勤務を認める場合、次の条件を明記します。

• 会社貸与PCを使用する
• 私物PCは原則禁止
• 家族との共用は禁止
• 自宅Wi-FiはWPA2以上、できればWPA3
• Wi-Fiルーターの初期パスワードを変更する
• ルーターのファームウェアを更新する
• 業務画面が家族や来客から見えない場所で作業する
• 印刷は原則禁止または許可制
• 紙資料は施錠保管
• 業務終了後はPCをロックまたはシャットダウンする

11-2. 自宅Wi-Fiの注意点

自宅Wi-FiのSSIDやパスワードが初期設定のままの場合、危険です。
また、古いルーターを長期間使っている場合、脆弱性が放置されていることがあります。

在宅勤務を認める会社は、従業員に次のチェックを求めます。

• Wi-Fiの暗号化方式がWPA2またはWPA3である
• パスワードが推測されにくい
• ルーター管理画面の初期パスワードを変更している
• ルーターのファームウェアを更新している
• 来客用Wi-Fiと業務用Wi-Fiを分けていることが望ましい

12. 私物PC・BYODの扱い

私物PCを業務に使わせる場合、リスクは大きくなります。

12-1. BYODの問題点

私物PCには、会社が把握できない問題があります。

• OSが古い
• ウイルス対策が無効
• 家族と共用している
• 違法ソフトや危険なソフトが入っている
• ファイル共有ソフトが入っている
• 個人クラウドと業務データが混ざる
• 退職時にデータ削除を確認できない
• 端末紛失時に会社が遠隔削除できない

そのため、原則は次の通りです。

私物PCでの業務利用は原則禁止。
やむを得ず認める場合は、会社が定めた条件を満たす場合に限る。

12-2. BYODを例外的に認める条件

例外的に私物PC利用を認める場合は、以下を最低条件にします。

• サポート中のOSである
• OS更新が適用されている
• ウイルス対策が有効
• ディスク暗号化が有効
• 家族共用ではない
• 画面ロックが設定されている
• 業務データのローカル保存を禁止
• 個人クラウドへの保存を禁止
• 業務は指定ブラウザまたは指定アプリのみ
• MFA必須
• 退職時・契約終了時のデータ削除に同意
• 会社による一定の管理または確認に同意

ただし、個人情報、機密情報、顧客情報を扱う業務では、BYODは避けるべきです。

13. ネットワーク接続ルール

PCの安全性は、接続するネットワークによって大きく変わります。

13-1. 接続を許可するネットワーク

13-2. 公衆Wi-Fiのリスク

公衆Wi-Fiには次のリスクがあります。

• 通信の盗聴
• 偽アクセスポイント
• 中間者攻撃
• 同一ネットワーク内からの攻撃
• ログイン情報の窃取
• 不正な証明書警告の無視

特に危険なのは、
「Free Wi-Fi」
「Cafe Wi-Fi」
「Airport Free」
など、誰でも接続できるネットワークです。

14. カフェ・コワーキングスペースでの作業ルール

カフェ作業は便利ですが、セキュリティ上は危険が多い環境です。

14-1. カフェ作業で起こるリスク

• 画面のぞき見
• 電話内容の聞き取り
• PC盗難
• 離席中の操作
• 公衆Wi-Fiの盗聴
• 書類の置き忘れ
• 周囲への顧客名・案件名の漏えい

14-2. カフェ作業のルール

カフェで作業を認める場合は、次のルールを設定します。

• 機密情報・個人情報を扱う作業は禁止
• 顧客名、受験者情報、人事情報、契約情報の表示は禁止
• 公衆Wi-Fiは使用禁止
• 会社支給モバイルルーターまたはテザリングを使用
• 画面のぞき見防止フィルターを使用
• 離席時は必ずPCを持つ、または作業を終了する
• 電話・Web会議で顧客情報を話さない
• 紙資料を広げない
• PCを置いたまま席を離れない

カフェは「仕事をしてよい場所」ではなく、
作業内容を限定して使う場所と考えます。

15. VPNの考え方

15-1. VPNは万能ではない

VPNは、社外から社内ネットワークへ安全に接続するための仕組みです。
しかし、VPNを入れたから安全というわけではありません。

VPNは、会社の内部ネットワークへの入口です。
その入口の認証が弱い、パッチが古い、脆弱性が放置されている場合、VPNそのものが攻撃者の入口になります。

15-2. VPNを使うべき場面

VPNが必要になるのは、主に次のケースです。

• 社内ファイルサーバにアクセスする
• 社内業務システムにアクセスする
• 社内プリンタや社内限定システムを使う
• 固定IP制限された管理画面へアクセスする
• クラウドではなくオンプレミス環境を使う

逆に、Microsoft 365、Google Workspace、クラウド会計、クラウドCRMなど、クラウドサービスだけで業務が完結する場合は、必ずしもVPNが必要とは限りません。

15-3. VPN利用時の必須条件

VPNを使う場合は、次を必須にします。

• MFA必須
• IDとパスワードだけのVPNは禁止
• VPN機器のファームウェア更新
• 不要なポートや機能の無効化
• 利用者ごとのアカウント発行
• 共有アカウント禁止
• 接続ログの保存
• 退職者アカウントの即時停止
• 管理画面の外部公開制限
• 接続元条件の制限
• 端末が会社管理下であることの確認

15-4. ゼロトラスト的な考え方

従来の考え方は、
「社内ネットワークに入れれば安全」
というものでした。

しかし現在は、社内にも危険がある前提で考えます。

重要なのは、ネットワークの内外ではなく、次の確認です。

• 誰がアクセスしているか
• どの端末からアクセスしているか
• 端末は安全な状態か
• どの情報にアクセスしようとしているか
• その人に本当に必要な権限か
• 不審なアクセスではないか

これがゼロトラストの考え方です。

16. リモートアクセス方式の比較

中小企業では、まずは
クラウドサービス＋MFA＋端末管理＋条件付きアクセス
を基本にするのが現実的です。

オンプレミス資産が残る場合のみ、VPNやリモートデスクトップを限定利用します。

17. ローカル保存ルール

PCに業務データを保存するほど、紛失時のリスクは大きくなります。

17-1. 原則

• 業務データはクラウドまたは社内サーバに保存
• デスクトップやダウンロードフォルダへの放置禁止
• 個人情報のローカル保存は禁止または許可制
• USBメモリへの保存は禁止
• 個人クラウドへの保存は禁止
• メール添付での個人情報送信は制限

17-2. よくある危険な保存先

• デスクトップ
• ダウンロードフォルダ
• USBメモリ
• 個人Google Drive
• 個人Dropbox
• 個人OneDrive
• LINEのKeepや個人チャット
• 私物スマホの写真フォルダ
• 個人メール

業務データは、会社が管理できる場所に置くことが原則です。

18. USBメモリ・外部媒体ルール

USBメモリは便利ですが、紛失・ウイルス感染・情報漏えいの代表的な原因になります。

18-1. 標準ルール

• USBメモリは原則禁止
• やむを得ず使う場合は会社支給品のみ
• 暗号化USBのみ許可
• 利用目的と期間を申請
• 使用後はデータ削除
• 私物USBは禁止
• 拾得USBは絶対に接続しない

19. 印刷・紙資料のルール

在宅勤務や外出先では、印刷物の管理が甘くなりやすいです。

19-1. 原則

• 個人情報・機密情報の自宅印刷は禁止
• カフェ・コワーキングスペースでの紙資料利用は禁止
• 印刷が必要な場合は事前承認
• 破棄はシュレッダーまたは溶解処理
• 家庭ごみとして捨てない
• 紙資料の写真撮影は禁止

20. アカウントと認証

PC管理では、端末だけでなくアカウント管理が重要です。

20-1. 基本ルール

• 1人1アカウント
• 共有アカウント禁止
• MFA必須
• 退職者アカウントの即時停止
• 管理者アカウントの分離
• パスワード使い回し禁止
• パスワード管理ツールの利用推奨
• 権限は必要最小限

21. 端末管理・MDMの必要性

PCを安全に使わせるには、会社側で状態を確認できる必要があります。

MDMや端末管理ツールで確認すべき項目は以下です。

• OSバージョン
• 暗号化状態
• ウイルス対策の状態
• ファイアウォール状態
• 画面ロック設定
• インストールアプリ一覧
• 紛失時のリモートロック
• 退職時の初期化
• コンプライアンス違反端末の検知

管理できない端末は、業務利用させないことが原則です。

22. 紛失・盗難時の対応

PC紛失時に最も重要なのは、本人を責めることではありません。
初動を早くすることです。

22-1. 紛失時の初動

従業員は、次の情報をすぐに報告します。

• いつ紛失したか
• どこで紛失したか
• 最後に使用した時間
• PCの管理番号
• ログイン状態だったか
• 保存されていた情報
• 警察・施設への届出状況

会社側は、次を実施します。

• アカウント停止またはパスワード変更
• セッション強制ログアウト
• リモートロック
• リモートワイプ
• VPNアカウント停止
• クラウドアクセスログ確認
• 顧客情報・個人情報の有無確認
• 必要に応じて報告・通知

23. 退職時・異動時のPC回収

退職時にPCとデータを確実に回収できないと、情報漏えいにつながります。

23-1. 退職時チェック

• PC本体回収
• ACアダプタ回収
• 社用スマホ回収
• USB・外部媒体回収
• アカウント停止
• メール転送設定確認
• クラウド共有解除
• ローカルデータ確認
• ブラウザ保存パスワード削除
• 初期化または再キッティング
• 管理台帳更新

24. 従業員向けPC利用ルール例

以下は、そのまま社内規程として使える文言です。

第1条：会社PCの利用目的

会社が貸与するPCは、会社業務を遂行する目的でのみ使用する。
私的利用、家族・第三者への貸与、業務外ソフトのインストールは禁止する。

第2条：持ち出し

会社PCを社外に持ち出す場合は、会社の承認を得るものとする。
持ち出し可能なPCは、暗号化、ウイルス対策、画面ロック、MFA等、会社が定めるセキュリティ条件を満たす端末に限る。

第3条：在宅勤務

在宅勤務では、会社貸与PCを使用し、私物PCの利用は原則禁止する。
自宅Wi-Fiは適切な暗号化方式と安全なパスワードを設定し、家族や第三者に業務画面を閲覧させてはならない。

第4条：公衆Wi-Fi

駅、空港、カフェ、ホテル等の公衆Wi-Fiへの接続は原則禁止する。
やむを得ず利用する場合は、会社が許可した方法に従い、機密情報・個人情報を扱ってはならない。

第5条：カフェ等での作業

カフェ、コワーキングスペース、公共交通機関等では、個人情報、機密情報、契約情報、人事情報、顧客情報を表示・編集してはならない。
作業する場合は、のぞき見防止、盗難防止、会話内容への配慮を行う。

第6条：データ保存

業務データは、会社が指定する保存先に保存する。
個人クラウド、私物USB、個人メール、SNS、チャットアプリ等への保存・転送は禁止する。

第7条：ソフトウェア

会社の許可なく、ソフトウェア、ブラウザ拡張機能、遠隔操作ツール、ファイル共有ソフトをインストールしてはならない。

第8条：紛失・盗難

会社PCを紛失または盗難された場合、従業員は直ちに会社へ報告しなければならない。
報告遅延により被害が拡大する可能性があるため、発覚時点で速やかに連絡する。

第9条：退職・異動

退職、異動、契約終了時には、会社PC、付属品、記録媒体、アカウント、保存データを会社の指示に従って返却・削除する。

25. 経営者が決めるべきこと

従業員PCのセキュリティは、情シスだけの問題ではありません。
経営判断として、次を決める必要があります。

1. 私物PCを認めるか
2. 外出先作業をどこまで認めるか
3. 在宅勤務をどの条件で認めるか
4. カフェ作業を禁止するか、条件付きで認めるか
5. VPNを使うのか、クラウド中心に移行するのか
6. 端末管理ツールに投資するか
7. 紛失時の報告ルールをどうするか
8. 個人情報をどの端末で扱わせるか
9. 退職時のデータ回収をどう保証するか

26. 中小企業向けの現実的な推奨構成

中小企業では、いきなり高額なEDRやVDIを導入するより、まずは基本を固めるべきです。

最低ライン

• Windows 11 Pro以上
• BitLocker有効
• Microsoft Defender有効
• OS自動更新
• MFA
• 画面自動ロック
• 管理者権限制限
• 業務データはクラウド保存
• 私物PC原則禁止
• 公衆Wi-Fi原則禁止
• 紛失時報告ルール
• PC管理台帳

推奨ライン

• Microsoft Intune等のMDM
• Microsoft Defender for Business / Endpoint等の管理型防御
• 条件付きアクセス
• リモートロック・ワイプ
• USB制御
• アプリ制御
• ログ監視
• 年1回以上の従業員教育
• 退職時チェックリスト

高リスク業務向け

• EDR
• VDI
• セキュアブラウザ
• DLP
• CASB
• ゼロトラストネットワークアクセス
• 証跡管理
• 厳格な端末証明書認証

27. まとめ

従業員にPCを持たせるとき、重要なのは価格やスペックだけではありません。

重要なのは、次の5つです。

1. 端末を会社が管理できること
2. 紛失しても情報が読まれないこと
3. 危険なネットワークに接続させないこと
4. 私物PCと会社データを混在させないこと
5. 事故が起きたときにすぐ対応できること

最終的な判断基準はシンプルです。

そのPCを紛失したとき、会社は説明責任を果たせるか。

この問いに答えられないPCは、業務利用させてはいけません。

付録：従業員PCセキュリティチェックリスト