【必見!】テレワークでの情報セキュリティ事故事例と具体的な対策
昨今コロナウィルスの拡大に伴い、テレワークが普及する一方で、今まで以上に情報セキュリティに対する懸念も増えていることをご存じでしょうか? テレワークには ・遠方でも仕事が出来る ・通勤ストレスが無い などのメリットが有る一方で、デメリットも存在するのです。 今回は、そんなテレワークにおける情報セキュリティ事故事例と、具体的な対策についてご紹介します。
テレワークの拡がりと危ぶまれるセキュリティ事故
テレワークの拡がりと危ぶまれるセキュリティ事故 テレワークについて、現在状況と情報セキュリティに対する不安の声について確認します。
普及が進むテレワークの実態
コロナウィルスの感染拡大に伴い、テレワークの浸透は進んでいます。 実際のところ現状、どのくらい普及しているのでしょうか? 総務省発表の通信利用動向調査(リンク)によると、「テレワークを導入している」と回答した企業の割合は、令和2年8月時点で47.5%と前年の20.2%から飛躍的に上昇していることがわかります。 コロナウィルスの収束目処が立たない現状や、収束後も現在の働き方を続けると表明している企業も増えていることから、今後もテレワークの推進は続くことが予想されます。
テレワークによるITツールの浸透
テレワーク拡大に伴い、通信機器やクラウドサービスの利用もこれまで以上に普及しています。 例えばIPA(情報処理推進機構)のアンケート(リンク)によると、「会社でのWeb会議ツールの利用率」は、2020年4月緊急事態宣言前後で、45.7%から73.7%と大幅に上昇しました。 働き方の変化に伴い、働く環境についても整備が推進され、今まで以上にITツールの浸透が進んでいます。
テレワークにおける情報セキュリティへの不安
テレワークによりITツールが浸透していく一方で、情報セキュリティに不安を募らせる声も少なくありません。 IPA(情報処理推進機構)のアンケート調査(リンク)によると、「テレワークしている取引先企業を不安に感じる人」の割合は全体の51.0%と高い結果です。 主要な理由として、「情報漏洩していてもその経路が判定しにくい(27.1%)」、「PC、スマホなどの端末に対するセキュリティ対策が不十分(24.1%)」など、情報セキュリティに関する項目が多数挙げられています。 この数字は、ある程度のIT知識がある人が解答したと考えられますので、 「どのようなセキュリティリスクがあるかはわからないが、なんとなく不安」 という声も合わせると、かなりの割合の人が不安を感じているのではないでしょうか。 多くの企業に当てはまるかと思いますが、PCでの仕事が当たり前になっていると言っても、多くの人がセキュリティに関して深い知識を持っていません。 例えば、サイトを見る時のURLが 「http://」 の場合と 「https://」 の場合。 非常にシンプルでIT関連の業務をしている人にとっては当たり前の事かもしれませんが、事務職や営業職の人が知っている確率は意外と低いものです。 因みにhttpsは暗号化されたサイトになり、httpのサイトでID/パスワードを入力すると盗聴や改ざんの危険性があるため、httpsのサイトでの入力が必要になるわけですが、それを理解せずに使用しているユーザーは意外と多いのです。 このように、日本の多くの企業では「基本的なITセキュリティ」に関する知識がない人も多く、それもテレワーク導入の不安の一要因となっているでしょう。
テレワークにおける事故事例
テレワークにおける事故事例 ここからは具体的なテレワーク時の事故事例について紹介します。
公衆無線LANの使用
公衆無線LANを繋いだ状態で取引先とのメールの送受信を行い、メール本文や添付ファイルに記載していた機密情報が漏れ、賠償問題に発展したケースがあります。 多くの商業施設や飲食店などでは公衆無線LANが設置されています。 場所を選ばずにインターネットを使うことができ、テレワーク推進に寄与していると言えるでしょう。 しかし適切なセキュリティを施していない公衆無線LANには、以下のような情報漏洩リスクがあります。 ・端末(パソコン、スマホやタブレット等)とアクセスポイントの間の通信内容が傍受される。 ・悪意のある第三者が正規になりすました不正アクセスポイントを設置し、ID・パスワードが盗聴される。 そのため企業によっては公衆無線LANへの接続を禁止しているケースも多く、接続にあたって適切な対策が必要です。
端末紛失・盗難による情報漏洩
電車移動中、つい居眠りをしていたところ、荷台に置いていた会社端末が盗難されてしまうケースも多いです。 盗難者により社内サーバへ不正侵入され、全社のPCは使用できない状態に。 後に身代金を要求されるという、ランサムウェアに発展してしまったケースもあります。 テレワークにより会社端末(PC・スマホ他)の持ち出しが増えたことで、盗難・紛失による情報漏洩のリスクも高まっています。 日本ネットワークセキュリティ協会(JNSA)の調査(リンク)によると、情報漏洩の原因で「端末紛失・盗難」は、全被害報告数443件中116件(26.2%)と最も高い結果でした。 遠隔操作での端末ロックやデータ消去、ロック解除に生体認証を取り入れるなどの対策がこれまで以上に注目を浴びています。
覗き見・盗聴
カフェでテレワークをしていた際、未発表の新製品情報を競合他社の社員に覗き見されてしまい、類似商品を先行発売され、機会損失に繋がってしまったケースがあります。 テレワークのメリットの一つに場所を選ばずに働けることが挙げられる一方、社外の人との接触が余儀なくされている以上、覗き見や盗聴のリスクも上がっています。 特にカフェやコワーキングスペースなどの公共の場では、見知らぬ人と空間を共にしており、PC画面の覗き見や電話内容の盗聴には一定の注意を払うことが必要でしょう。 仕事をする上で集中しようと思った際に、壁を向いて仕事をする人は多いかと思います。 そうすると、店内にPC画面が向いている事になります。 最近のスマホカメラなどはかなり高画質ですので、仕事中の画面を録画されてしまっていても、気付くことは困難でしょう。 こういった覗き見は、ソーシャルエンジニアリングなどと言われ、昔から問題視されています。 PCに覗き見防止フィルターをつけるなどの制御が効果的でしょう。
マルウェアへの感染
社員が在宅勤務中、モバイル端末で社内ネットワークを介さずにSNSを利用、SNS上でダウンロードしたファイルからマルウェアに感染してしまったケースがあります。 本人は気づかず、後日出社した際社内ネットワークに接続し、感染が内部ネットワークにも拡大してしまい対応を余儀なくされてしまう結果に。 マルウェア(Malware)とは、不正かつ有害な動作を行う意図で作成された悪意のあるソフトウェアや悪質なコードの総称です。 メールに添付したファイルを開かせ感染させる従来の手法に加え、近年その方法は多岐にわたっており、気づかずに感染してしまうケースも増えています。 そのような背景もあり、セキュリティ対策が追いついていない状況で端末が社外に持ち出されると、テレワーク期間中にマルウェア等に感染するリスクは否めません。 端末へのマルウェア対策ソフトの導入や、フィルタリングによるサイトへのアクセス制限など、十分に対策を講じる必要があるでしょう。
アップデート遅延
テレワーク用PCを久しぶりに起動したところ、OSが最新状態になっていないことに気付いたものの、急いでいたため、アップデートの対応はせず業務を継続した結果、大きな問題に発展したケースもあります。 資料作成に必要なWebサイトの閲覧など通常通り操作をし、滞りなく終業に至りました。 しかし次回PCを起動すると、ポップアップ広告が大量に表示されたり、PCが強制シャッダウンされてしまう症状が現れ、作業効率が大幅に低下。 OSを最新化せず業務継続したことで、マルウェアに感染してしまったのでした。 リモートワークの環境下で、従来以上にアップデートの統制が難しくなっているのではないでしょうか。 OSやソフトウェアのアップデート遅延には以下のようなリスクがあります。 ・脆弱性が残ったままとなり、外部からの攻撃が成功する可能性が高まる。 ・PCの挙動が遅延し作業効率の低下に繋がる。 システム管理者は貸与端末を常に最新状態にアップデートしておく必要があり、勤務者も一人一人が上記のようなリスクがあることを認識し、PCの状態を確認する意識を持つことが重要です。
テレワーク事故防止のための情報セキュリティ対策
テレワーク事故防止のための情報セキュリティ対策 オフィスとテレワークにおける情報セキュリティの違いとして、以下のようなことが挙げられます。 ・従業員以外の第三者がいる場で仕事をする可能性がある。 ・インターネットを介した従業員間のやりとりが中心になる。 そのためテレワークを安心安全に続ける上では、このような変化に対応した対策が必要でしょう。 総務省の発表しているテレワークセキュリティガイドライン(リンク)では、「ルール」・「人」・「技術」を重要視し、バランスの取れた対策を講じることについて言及されています。
「ルール」による対策
オフィスとは異なる環境で仕事を行うため、情報セキュリティ確保のための新しい「ルール」を定める必要があります。 多くの企業では基本方針となる「セキュリティガイドライン」を策定し、そこに準じた具体的な行動ルールの策定がされています。 安心安全のための「ルール」を策定し従業員に遵守してもらうことで、情報セキュリティが確保されるのみならず、従業員が都度判断する状況を避け効率化を促すことにも繋がるでしょう。
「人」による対策
策定した「ルール」が完璧なものであっても、「人」(従業員)が守ってくれなければ意味を成しません。 また従業員が管理者の目の届かない場所で働いているため、テレワークではルールが遵守されているのか判断が難しい側面があります。 そのため定期的な啓発活動やeラーニングでの教育により、情報セキュリティ対策を意識する環境作りが必要です。 その際情報セキュリティの知識習得が、自身のメリットに繋がることを理解してもらうことが重要でしょう。
「技術」による対策
「技術」対策は情報セキュリティにおける脅威に対し認証・検知・制御・防御を行い、 「ルール」や「人」で対策できない部分を補完します。 例えば、PC上にデータを保存せず、VPNによるネットワーク接続でのみ業務を行うことが出来る 「シンクライアント」 という仕組みがあります。 このシンクライアントを利用することで、PCが盗難されてもPC上にデータがほとんどなく被害が最小限に抑えることが出来ます。 このように、最新の技術を利用することで、 ・悪意のある攻撃 ・人的ミス の両方を防ぐことができるでしょう。
ウィルス対策ソフトの導入
ウィルスソフトの導入では、端末やサーバーなど情報を取り扱っている各種機器に対しセキュリティ強化を行うことができ、マルウェアへの感染防止や不正アクセス検知に役立てることができます。 またウィルスや手法も日々進化していることから、ウィルス対策ソフトについても日々アップデートを行い運用していくことが必要不可欠です。 ただし導入によりアップデートが頻繁に行われ、従業員の手間が増えてしまうなどの可能性もあるため、作業効率にも留意し導入を進めていく必要があるでしょう。
通信インフラの整備
ネットワークのセキュリティ強化により、不正アクセスによる情報漏洩を防ぐことができます。 例えばWifiネットワーク利用の際、VPNサービスを利用することで第三者に傍受されることを防いだり、公共無線LANの使用を禁止し通信キャリアが提供するモバイルルーターの利用を義務づけるなどの手法が挙げられます。 最近は、モバイル通信可能なノートPC(Wi-Fiを利用しなくても通信が可能なもの)もあり、少し値段は上がりますが、こういった端末を使うことも一つの手段でしょう。 このモバイル通信可能な端末であれば、営業マンにありがちな ・テザリングが繋がらない ・携帯の充電がなくなった などの問題で業務が滞る心配もありません。
覗き見・盗聴対策のツール導入
覗き見防止ツールの導入により、第三者からの閲覧を物理的に遮断することができます。 従来のツールとしてスマホ・PC直接貼り付ける液晶フィルムが挙げられますが、近年では顔認証技術を利用し、事前に登録していない顔が映り込むと画面ロックをしてくれるツールなども流行しています。
セキュリティ対策や最新技術の相談はAMELAに
セキュリティ対策や最新技術の相談はAMELAに 今回は、テレワーク時代におけるセキュリティリスクについてお話してきました。 多くの企業が不安に感じているテレワークですが、しっかりと対策をすることで業務が非常に効率化される事は、誰もが理解していることでしょう。 AMELAでは、様々な最先端技術の知識を持ったITコンサルタントが、御社の現在の問題に最適な提案を行います。 日本ではDX化が遅いと言われていますが、それでも徐々に変化している企業は多く、今が変化のチャンスであると日々感じています。 セキュリティリスクの洗い出しや、どのような仕組みを導入するかの相談まで、是非ご連絡頂ければと思います。
