コロナ禍でテレワークは働き方の一つとして浸透が進む一方で、急なテレワークへの移行により充分なセキュリティ対策が取れていない企業も多いようです。オフィス外で業務に必要な情報を扱うことは、オフィス内に比べ情報漏洩やウィルス感染リスクが高まります。使用するパソコンや通信環境は社員個人に委ねられるため、社員一人ひとりがセキュリティについての正しい知識を持つことが必須でしょう。また、セキュリティに強いツールやサービスを利用するなど、仕組みから変えることで、安心かつ業務効率化が図れます。
今回は、テレワーク環境下におけるセキュリティリスクと、企業で取り組むべきセキュリティ対策について解説します。
目次
セキュリティ対策の実態
テレワーク導入による課題について総務省が調査したところ、1位は「セキュリティの確保」で、半数近くの企業が課題感を持っているようです。また、セキュリティ確保に向けた取り組みは、7割以上の企業がマルウェア対策を実施している一方で、「インシデント対応・管理」「規程の整備」「教育」などは取り組む企業が少なく、対策に遅れが生じています。
さらに、セキュリティの運用体制については、約4割の企業が「情報セキュリティの専門部門がない」と回答しています。続いて、「システムやセキュリティに明るい人材が属人的に対応」と答える企業が多く、人的リソースや社内ノウハウが不十分であると言えるでしょう。
また、製造業や大規模企業においては、サポート期限切れのOSを継続利用する割合が高く、セキュリティリスクがあると認識しつつも、切り替えが間に合っていない実態があります。
テレワークのセキュリティ体制不備を攻撃者は狙っている
テレワーク導入企業を狙ったサイバー攻撃が急増しています。IPA(独立行政法人情報処理推進機構)が公開した「情報セキュリティ10大脅威 2021(組織)」では、「テレワーク等のニューノーマルな働き方を狙った攻撃」が新たに第三位へ浮上し、企業はテレワーカーを狙う攻撃を見据えた早急な対策が迫られています。
代表的なセキュリティリスク
テレワークで起こり得る6つのセキュリティリスクについて解説します。
① 公衆ネットワークを利用した機密情報の授受
カフェなどで利用できる無料Wi-Fiは便利である一方で、通信が暗号化されていないことが多く、傍受されるリスクが伴います。接続時は機密情報を扱わないように留意が必要です。
② 自宅でセキュリティレベルが低い回線を利用
在宅時に利用する自宅の回線は、セキュリティ設定が個人に委ねられるため、セキュリティレベルが統一されません。充分な対策ができていない場合、外部から不正アクセスを受け、情報漏洩につながります。
③ 私物端末のセキュリティ対策が不十分
会社から貸与した端末ではなく、個人が所有する端末を業務に用いる場合は、OSやソフトウェアなどのセキュリティパッチを漏れなく実行し、最新の状態にする必要があります。怠った場合、マルウェア感染などのリスクが高くなります。
④ 業務で使用するパソコンやスマートフォンの紛失
端末を自宅以外に持ち出し、公共の場で仕事をする際は、端末の置き忘れや他者による盗難が発生しやすくなります。端末だけでなく、データ保存に使うUSBメモリーなども、小型で紛失しやすいため注意が必要です。
⑤ 攻撃者からの標的型アタックやフィッシング
見覚えのない相手からのメールやSMSは、標的型攻撃の可能性があります。手口は年々巧妙化しており、件名や本文から一目で気付けないこともあるため、メッセージの開封やリンクのクリックは慎重に操作する必要があります。
⑥ 不要なアクセス権限などによる内部不正
オフィス外では他の社員に画面を見られることが無いため、内部不正がしやすい状況と言えます。社内で管理するサーバーやデータへのアクセス権限が整備されていない場合、社員の手によりデータが持ち出され、不正利用されるリスクが高まります。
実際のトラブル事例
テレワーク導入後に起きたセキュリティ事故について、具体事例を紹介します。
事例1)社用パソコン1台のウィルス感染から、従業員個人情報漏洩へ
会社から貸与されたパソコンで仕事をしていたAさんは、外部ネットワークに接続しSNSを利用していました。その後、出社して社内ネットワークに接続すると、他の社員の端末がウィルスに感染し、個人情報やサーバログ、通信パケットなどの情報が流出してしまいました。Aさんが外部ネットワーク接続時に、ウィルスを含むファイルが送られ、端末にダウンロードしたことが原因となり、セキュリティ事故に至っています。
参照:日本情報漏えい年鑑2021 NO.A336
事例2)顧客情報が入った端末を電車で紛失、顧客から苦情が殺到
Bさんは、移動中の電車内に端末を置き忘れてしまい、その後取引のある企業から「御社にしか伝えていない電話番号にセールスの電話が来る」と苦情を受けました。端末内には、取引先情報に関するファイルを保存してあり、第三者は端末からこれらの情報を閲覧したと見られます。顧客情報や取引先情報の漏洩は、企業としての信頼性を低下させるでしょう。
企業が実行すべき取組み
テレワークを実施するにあたり、自社に必要なセキュリティ対策を明確化し、確実に実行することが大切です。総務省では、企業が安心してテレワークの導入や運用を進められるように、「テレワークセキュリティガイドライン」を策定しています。ガイドラインを参考に、自社の業務や取り扱う情報、働き方に合わせて指針を決めると良いでしょう。
「ルール」「人」「技術」の軸で総合的に対策する
2021年5月に総務省より発行された「テレワークセキュリティガイドライン第5版」によれば、「ルール」「人」「技術」の3軸全てにおいて、セキュリティ対策を徹底することが重要だとわかります。
具体的には、企業としてテレワーク実行時のルールを決めることで、社員はセキュリティ対策に対する迷いが生じにくくなり、ルールを意識し、安全に仕事ができます。社員教育や啓発活動を通して、社員一人ひとりがセキュリティ対策の必要性やメリットを理解すれば、ルールを遵守しやすくなります。また、テレワークの利便性と、安全性を両立できる技術を有効活用し、ルールや人で対応できない部分を補完すると、強固なセキュリティ環境を築けます。
テレワークにおけるセキュリティ対策のポイント4つ
セキュリティ対策に取組む際、抑えるべき4つのポイントを解説します。
① 自社におけるセキュリティガイドラインを策定する
業務上遵守すべきセキュリティポリシーを明確にしましょう。その際、自社の業種業態や保有する情報、企業規模、業務プロセスやデータ管理方法などと整合性を合わせます。策定後も定期的に職場やシステムログなどを監査し、必要に応じて内容をアップデートすると形骸化しません。
② 従業員がとるべき行動をルール化
テレワーク環境では、オフィスワークを前提とする働き方に比べ、より一層高いセキュリティ意識が必要です。社員自身が正しい判断と行動を取るためにも、ルール化しましょう。
想定される項目は以下の通りです。
- 紙資料を携帯した移動や廃棄方法
- 外出時の端末管理
- インストールするアプリケーションの許容範囲
- サーバーへのアクセス権限や監視方法
- クラウドサービスの利用可否
③ セキュリティ意識を定着させる育成の実施
社員のセキュリティに対する意識が希薄化しないように、定期的な研修や社内周知などで繰り返し注意喚起しましょう。また、全社員向けにセキュリティニュースを流すと、当事者意識を高められます。
④ 技術的なセキュリティ対策で突破させない
情報漏洩を防ぐための技術的な手段を取り入れ、不測の事態に備えることが大切です。
データ暗号化
万一、社外で端末を盗まれた場合でも、端末内のデータを暗号化しておけば、複合化するための「鍵」を所持しない第三者からは読み解けなくなり、データ保護に役立ちます。
ウィルス対策ソフトの導入
ウィルスは常に変化し続けているため、個人の手作業でタイムリーに対策することは困難でしょう。ウィルス対策ソフトをインストールし、アップデートを欠かさず実施することで、恒久的な対応が可能です。
安全な回線の使用
使用する回線を暗号化通信にすることで、安全な接続を確保できます。通信キャリアが提供するモバイルルータを使うのもおすすめです。業務での公衆Wi-Fi利用については、禁止するか、VPNを経由した接続に限り許可するなど、制限を検討しましょう。
セキュリティを大事にする企業にも使われている“ovice” 大企業での導入・活用について事例をまとめました。