リモートワークのセキュリティ対策チェックリスト

Q: フリーランスにとって一番大きいセキュリティリスクは？

パスワードの使い回しだ。1つのサービスが漏洩すると、同じ認証情報で他のサービスにも不正アクセスされる（[クレデンシャルスタッフィング](/ja/security/password-reuse-danger-credential-stuffing)）。パスワードマネージャーを使えばこのリスクはゼロにできる。

Q: 自宅WiFiのセキュリティを強化するには？

管理者パスワードをデフォルトから変更、ファームウェア更新、[WPA3](https://www.wi-fi.org/discover-wi-fi/security)（最低でもWPA2）有効化、リモート管理を無効化。IoTデバイス用にゲストネットワークを分離するとさらに安全だ。

Q: バックアップはどのくらいの頻度で取ればいい？

進行中のプロジェクトは毎日。暗号化されたクラウドバックアップ＋ローカルバックアップで[3-2-1ルール](https://www.veeam.com/blog/321-backup-rule.html)を満たす。少なくとも四半期に1回はリストアテストをしておこう——復元できないバックアップは意味がない。

Q: バックアップはどのくらいの頻度で取ればいい？

進行中のプロジェクトは毎日。暗号化されたクラウドバックアップ＋ローカルバックアップで[3-2-1ルール](https://www.veeam.com/blog/321-backup-rule.html)を満たす。少なくとも四半期に1回はリストアテストをしておこう——復元できないバックアップは意味がない。

リモートワークは自由だ。カフェでも自宅でも海外でも仕事ができる。だがその自由と引き換えに、オフィスにいたときは会社のIT部門が守ってくれていたセキュリティを、自分で担保しなければならない。

2024年上半期のランサムウェア感染経路の 約47%がVPN機器経由、約36%がリモートデスクトップ経由 で、両者で約83%を占めた（警察庁サイバー脅威レポート）。リモートワーク環境はサイバー攻撃の主要な入口になっている。IBM Cost of a Data Breach 2025でも、リモートワーク要因を含む侵害は平均コストが高くなると報告されている。

この記事では、フリーランスや個人のリモートワーカーが自分で実践できるセキュリティ対策をチェックリスト形式でまとめる。CISAのテレワークガイドやNIST SP 800-46は企業向けだが、ここでは個人に必要なエッセンスに絞った。チームや会社単位での対策は中小企業のサイバーセキュリティ対策ガイドを参照してほしい。

リモートワーク特有のリスク

オフィスワークにはないリスクを整理しておこう。

公共WiFiの盗聴 。カフェやコワーキングスペースのWiFiは暗号化が不十分なことがある。通信内容やログイン情報が傍受されるリスクがある。VPNをONにし忘れてカフェのキャプティブポータルにDNSクエリをログされていた、なんてことは簡単に起きる。詳しくはフリーWiFiの安全な使い方で解説している。

家庭ルーターの脆弱性 。自宅のルーターがデフォルトパスワードのまま、ファームウェアが何年も更新されていない。これが攻撃者の入口になる。

フィッシング詐欺 。在宅だと同僚にすぐ確認できない。「このメール本物？」と聞ける人がいない環境は、フィッシングの成功率を上げる。怪しいメールを受け取ったときの対処法はフィッシングメールの対処ガイドを参照。

端末の紛失・盗難 。ノートPCをカフェに忘れた、移動中に盗まれた。ストレージが暗号化されていなければ、業務データが丸ごと流出する。

シャドーIT 。会社が承認していないクラウドサービスを「便利だから」と使う。セキュリティ基準を満たしていないサービスに業務データが保存される。

ネットワークのセキュリティ

VPNを使う

公共WiFiで仕事をするなら VPNは必須 だ。通信を暗号化し、WiFi管理者やISPに通信内容を見られることを防ぐ。

NordVPN なら「信頼されていないWiFiに接続したら自動でVPNをON」にできる。一度設定すれば、カフェのWiFiに繋いだ瞬間に自動で保護が始まる。

企業VPNがある場合でも、業務外の通信（個人のブラウジングなど）には個人VPNを使うのがいい。企業VPNは社内リソースへのアクセス手段であり、プライバシー保護の目的は持っていない。

自宅ルーターを強化する

自宅のルーターは見落としがちな弱点だ。

管理者パスワード をデフォルトから変更する（admin/password のままにしない）
ファームウェア を最新に更新する
WiFiパスワード にWPA3（または最低でもWPA2）を使う
リモート管理 を無効にする（外部からルーター設定にアクセスできないようにする）

認証を強化する

全アカウントで2FAを有効にする

パスワードだけでは不十分だ。すべての重要なアカウント（メール、クラウドストレージ、Slack、GitHub等）で 2要素認証（2FA） を有効にする。

SMSよりも TOTP（Google Authenticator等） や ハードウェアキー（YubiKey等） の方が安全だ。SIMスワップ攻撃でSMS認証が突破される事例が急増しており、FBI IC3によると2024年だけで約2,600万ドルの被害が報告されている。SMS 2FAからの移行方法はSMS認証のリスクと移行ガイドで詳しく解説している。

パスワードマネージャーを使う

すべてのサービスで一意のランダムパスワードを使う。覚える必要はない——パスワードマネージャーがやってくれる。パスワードの使い回しがどれだけ危険かはパスワード使い回しの危険性で解説している。初めてパスワードマネージャーを使う場合はパスワード管理の始め方も参考にしてほしい。

NordPass なら漏洩チェックも自動で行える。パスワードの使い回しがないか、漏洩データに含まれていないかをワンクリックで確認できる。詳しくはパスワード漏洩の確認方法を参照してほしい。チームでパスワード管理を統一したい場合はNordPass Businessレビューも参考になる。

端末のセキュリティ

ストレージを暗号化する

ノートPCが盗まれたとき、ストレージが暗号化されていなければデータは丸見えだ。

Windows: BitLockerを有効にする（Pro以上）
macOS: FileVaultを有効にする
Linux: LUKSで暗号化する

OSとソフトウェアを最新に保つ

自動更新を有効にする。特にブラウザ、OS、開発ツールは最新バージョンを使う。既知の脆弱性は攻撃者にとって最も効率の良い入口だ。CISAのKnown Exploited Vulnerabilitiesカタログを見ると、公開された脆弱性がどれだけ速く悪用されるかわかる。

サーバーにSSHでアクセスする機会が多いなら、SSH セキュリティ強化ガイドも確認しておこう。

画面ロックを設定する

離席時に自動ロックされるよう設定する。カフェでトイレに行く数分の間に、開いたままのPCからデータを盗まれることは現実に起きている。

Windows: Win + L で手動ロック。設定で自動ロック時間を短くする
macOS: ホットコーナーまたはCtrl + Command + Q

データの管理

業務データを安全に保管する

業務データをUSBメモリに入れて持ち歩かない
個人のGoogle DriveやDropboxに業務データを保存しない（シャドーIT）
機密ファイルは暗号化して共有する。NordLockerならゼロ知識暗号化でファイルを安全に保管・共有できる

バックアップを取る

ランサムウェアに感染した場合、バックアップがなければデータは失われる。3-2-1ルールを守る。

3つのコピーを保持
2つの異なるメディアに保存
1つはオフサイト（クラウドまたは物理的に別の場所）

行動習慣

フィッシングを見分ける

APWG（Anti-Phishing Working Group）によると、2024年のフィッシング攻撃は380万件に達した。見分けるポイントを押さえておこう。

差出人のメールアドレスをドメインまで確認する
「急いでクリックしてください」系のメールは疑う
URLにカーソルを合わせてリンク先を確認する（クリック前に）
少しでも怪しいと思ったら、公式サイトに直接アクセスする

画面の覗き見を防ぐ

コワーキングスペースやカフェでは、隣の人から画面が見える。

プライバシーフィルター をモニターに貼る
Web会議の画面共有時に、機密情報が映り込まないよう注意する
通知の内容表示をOFFにする（メールの冒頭がポップアップに出ないようにする）

よくある質問

自宅でしか仕事しないけどVPNは必要？

自宅でもISPにはアクセス先がすべて見えている。VPNはそれを暗号化する。カフェ・ホテル・空港で作業する可能性が少しでもあるなら、常時ONにしておく方が「つけ忘れ」のリスクがなくて安全だ。

無料VPNでリモートワークしても大丈夫？

多くの無料VPNは閲覧データを収集・販売して収益化している。まさにVPNで防ぎたいことをやられる形だ。広告挿入やマルウェアのバンドルが確認されたケースもある。仕事用には信頼できる有料サービスを使おう。詳しくは無料VPNの危険性を参照。

フリーランスにとって一番大きいセキュリティリスクは？

パスワードの使い回しだ。1つのサービスが漏洩すると、同じ認証情報で他のサービスにも不正アクセスされる（クレデンシャルスタッフィング）。パスワードマネージャーを使えばこのリスクはゼロにできる。

個人のPCでクライアントワークをしていい？

理想的にはNG。専用デバイスか、最低でも別のユーザーアカウントを作るべきだ。個人のブラウジングでマルウェアに感染した場合、クライアントデータまで巻き込まれる。最低限、ディスク暗号化を有効にして、個人ファイルと業務ファイルを完全に分離しよう。

自宅WiFiのセキュリティを強化するには？

管理者パスワードをデフォルトから変更、ファームウェア更新、WPA3（最低でもWPA2）有効化、リモート管理を無効化。IoTデバイス用にゲストネットワークを分離するとさらに安全だ。

2要素認証は本当に全アカウントに必要？

メール、クラウドストレージ、ソースコード管理、銀行、SNS——どれか1つでも乗っ取られると被害が連鎖する。TOTPアプリかハードウェアキーを使えば、SMS認証よりはるかに安全だ。

仕事用のノートPCが盗まれたらどうする？

まずそのPCでアクセスしていた全アカウントのパスワードを変更する。ディスク暗号化（BitLocker/FileVault/LUKS）が有効ならデータは保護されている。クライアントデータに影響がある場合は速やかに報告し、警察に届け出る。OSのリモートワイプ機能が使えるなら実行する。

バックアップはどのくらいの頻度で取ればいい？

進行中のプロジェクトは毎日。暗号化されたクラウドバックアップ＋ローカルバックアップで3-2-1ルールを満たす。少なくとも四半期に1回はリストアテストをしておこう——復元できないバックアップは意味がない。

まとめ

カテゴリ	最低限やること
ネットワーク	公共WiFiではNordVPNを使う。自宅ルーターのパスワードを変更
認証	全アカウントで2FA。パスワードマネージャー導入
端末	ストレージ暗号化。OS自動更新。自動画面ロック
データ	バックアップ（3-2-1ルール）。USBに業務データを入れない
行動	フィッシングを疑う習慣。プライバシーフィルター

リモートワークのセキュリティは「完璧」を目指す必要はない。上の表の「最低限やること」を一通りやるだけで、攻撃者にとって「面倒なターゲット」になれる。攻撃者は楽に侵入できる標的を狙う。基本を押さえるだけで、リスクは劇的に下がる。

NordVPN

世界最大級のVPN。高速・安全・使いやすい

6,400+サーバー（111カ国）
独自プロトコルNordLynx（WireGuardベース）
Threat Protection Pro（広告・マルウェアブロック）