メールセキュリティのCipherCraft/Mail > メールセキュリティのコラム > テレワークで気を付けたい情報セキュリティのリスクと対策まとめ
働き方改革の一貫として導入されていたテレワークですが、新型コロナウイルス感染症の対策として政府・行政から推奨されたことにより急いで導入した企業も増えました。
一方で、テレワークのセキュリティ対策に不安を抱えている企業担当者の方もいらっしゃるのではないでしょうか。
テレワークはオフィス以上にセキュリティリスクが高まります。情報のやり取りに個人宅のネットワークを利用したり、カフェやコワーキングスペースといった第三者が気軽に立ち入る場所で作業を行うことがあるからです。
テレワークで安全に業務を遂行するためには、セキュリティリスクに対する理解と対策が不可欠です。
本記事では、テレワークにおけるセキュリティリスクとその対策について紹介いたします。
従業員の働き方を多様化や社員の移動コスト削減、業務効率性の向上など、従業員と企業双方にとってメリットの多いテレワークですが、テレワーク特有のセキュリティのリスクもあります。
テレワークではオンライン上で情報管理を行ったり、社外の自由な場所で情報を扱うのでオフィス以上に情報漏えいのリスクが高まります。
テレワークの導入で考えられるセキュリティリスクは3つです。
それぞれのリスクについて解説します。
1つ目は、PCや記録媒体の紛失です。
自宅で業務を遂行するために、業務用PCやUSBメモリといった機器・記録媒体を持ち出す際に、紛失したり盗まれるというリスクがあります。
万が一、機密事項や個人情報の流出が起きてしまった場合、企業や従業員が社会的な責任を問われる可能性があります。
2つ目のセキュリティリスクは家庭や公共ネットワークの利用です。
ホームルーターや公共Wi-Fiにセキュリティ上の不備があると、悪意を持った第三者が不正侵入できてしまうため、不正なサイトに誘導するフィッシングやマルウェア感染等の被害にあうリスクが高まります。
さらに、それらが社内ネットワークに接続するための踏み台として利用されるケースも考えられます。
特に公共Wi-Fiは悪意を持った第三者が巧妙に設置している可能性も高いため、よりリスクが高い場所だと言えます。
また、カフェやコワーキングスペースといった公共の場では第三者から覗き見される可能性もあります。
3つ目のセキュリティリスクは個人による端末の管理です。
どの企業でもパソコンにウイルスソフトは導入していると思います。
パソコン上のソフトウェアでウイルス対策ソフトを使用している場合は、アップデートを従業員、個々人が行わなければなりません。
今まで社内にいたので更新がかけやすかったとしても、テレワークになってしまうと従業員任せになってしまいます。
セキュリティソフトの更新が切れていたり、ソフトウェアがアップデートされてなかったりすると、最低限のセキュリティ対策が不十分だとセキュリティリスクが高まります。
また、BYOD(Bring Your Own Device)と呼ばれる個人PCやスマートフォンを使った業務を行う場合には、より広範囲なリスクを想定した厳格な運用ルールが必要です。
テレワークでは、企業から離れたところで個人が端末を管理するため、今までのセキュリティ対策が通用しないと言えるでしょう。
続いて、実際にテレワークで起きたセキュリティ事故の事例を紹介します。
なおこれから紹介する以下の事例は、総務省が公開しているテレワークセキュリティガイドライン第4版に記載の内容をまとめたものです。
- 1.外出先で第三者に盗み見され秘密情報が匿名掲示板に書き込まれた
- 2.不審メールが届き、クレジットカードを不正利用されてしまった
- 3.公共のWi-Fiを使ったら秘密情報が競合企業に知られていた
- 4.テレワーク端末を踏み台にされて顧客情報が流出
社外からも社内システムの全てのファイルにアクセスできるようにしていたところ、従業員が外出先でテレワーク中に顧客の秘密情報が表示されたまま席を離れた際、第三者に秘密情報を盗み見され、ネット上の匿名掲示板に書き込まれた。
テレワーク中に勤務先の電子メールアドレスに「クレジットカード請求額のご連絡」という件名のメールが届いた。
実際に利用していたカードと同じ会社からのメールだったため、誤請求か確認しようと、本文のリンクをクリックして手順に従いカード情報等を入力したら不正利用されてしまった。
冷静になってみれば、勤務先の電子メールアドレスを伝えていなかったので、不審メールと気づけたはずだった。
公衆無線LANを使って電子メールの送受信を行っていたところ、添付したファイルの秘密情報が、いつの間にか競合企業に知られてしまっていた。
インターネットから社内システムへは従業員が利用するテレワーク端末のみに制限していた。
しかし、1台のテレワーク端末がマルウェアに感染し攻撃者に乗っ取られたことで「踏み台」にされてしまい、社内システムに侵入され、顧客情報が流出してしまった。
悪意ある第三者は常にセキュリティの不備を狙って攻撃を仕掛けています。先ほど紹介した事例はどの企業でも起こり得る身近なものです。
こうした事例から、総務省や独立行政法人情報処理推進機構、警視庁などではセキュリティガイドラインを設定しています。
例えば以下のようなガイドラインが制定されています。
こうしたガイドラインを基にテレワークにおけるセキュリティ対策を講じて、少しでもセキュリティリスクを下げることが大切です。
ここではテレワークのセキュリティ対策について、以下の3つをご紹介します。
それでは、それぞれを解説していきます。
1つ目は、リモート接続・リモートアクセスです。
オフィスに設置された端末をテレワーク端末から遠隔操作し、閲覧する方法です。
この方法では、作業結果はオフィスに設置された端末に保存されるので、テレワークで利用する端末に電子データが残らないというメリットがあります。
一方で、テレワーク端末とオフィスを接続する際にインターネット回線を利用するため、ホームルーター等にセキュリティ上の不備があると、悪意ある第三者に社内システムへのアクセスを許すことに繋がります。
この場合に有効なセキュリティ対策は以下のとおりです。
2つ目は、VPNです。
インターネット上に仮想的な専用線を設けて、安全な経路でデータをやり取りする方法です。VPNを使うことで、暗号化されるため、公衆LANの通信よりも高いセキュリティが確保されています。
一方で公衆回線を扱っているので100%情報漏洩がないとは言い切れません。また、公衆回線を利用するため、アクセスが集中する時間帯は通信スピードが遅くなる可能性が考えられます。
VPNは提供業者によってサービスの違いがあります。自社で実現したいことを明確にした上で合ったVPNを選ぶようにしましょう。
3つ目は、シンクライアントです。
シンクライアントは、仮想化デスクトップ技術を用いて、端末には記録装置を持たず最低限の処理能力だけを持たせておき、サーバー上のアプリケーションで業務を行う方法です。
これによって、端末にデータを残すことなく業務を行うことができますし、セキュリティのアップデートをサーバー側一括に行えるので、更新の管理を端末ごとにするといったリスクや管理の手間からも解放されます。
仮想化デスクトップの場合は、自社でサーバーを準備・管理する必要がありましたが、最近ではDaaS(Desktop As a Service)といってサーバーの準備・運用からも解放されて、Webサービスのように仮想化デスクトップ環境を利用できるサービスも普及しています。
ここまで、テレワークに伴うセキュリティ上のリスクと事例、その対策方法について解説をしてきました。
テレワークの導入を、セキュリティ対策なく実施するのは非常に大きなリスクを背負うことになります。
以下のチェックリストを参考に、セキュリティ対策を検討してみてください。
チェックリスト中でも「電子メールの添付ファイルの開封やリンク先のクリックに一層の注意を払っているか」と記載しましたが、企業の特に気をつけたい点として「標的型メール」があります。
標的型メールでは、特定の企業や個人をターゲットにして悪意のあるメールを意図的に送ってきます。
そのメールには、情報を搾取するために用意された悪質なサイトへのURLが記載されていたり、ファイルが添付されていたりします。
標準型メールは意識的にターゲットして攻撃をしかけてきているため、企業の機密情報を抜き取られることで、その後の実害につながる可能性が高く、特に注意が必要だと言えるでしょう。
本記事では、テレワークのセキュリティリスクとその対策について解説してきました。
新型コロナウイルス感染症の問題が発生をしたことで、多くの企業にとってテレワークは企業活動に不可欠な手段となりつつあります。
一方で、出勤・出社を前提としたセキュリティ運用ではカバーしきれないリスクがあるのがテレワークです。
テレワークの実施においては、表裏一体の施策として新しい時代に合わせたセキュリティ施策を実施すべきだと言えるでしょう。
参考:IPA テレワークを行う際のセキュリティ上の注意事項
※1 「2.テレワークを行う際のセキュリティ上の注意事項」の「(2)所属する組織や企業からテレワーク環境が提供されていない場合」
※2 「3.テレワークから職場に戻る際のセキュリティ上の注意事項」の「(2)所属する組織や企業からテレワーク環境が提供されていない場合」
※3 「2.テレワークを行う際のセキュリティ上の注意事項」の 「(3)テレワーク時に特に気をつけるべき注意事項」
※10 「2.テレワークを行う際のセキュリティ上の注意事項」の 「(3)テレワーク時に特に気をつけるべき注意事項」
※4 P40 管理者11
※5 P40 勤務者10
※6 P49 勤務者15
※7 P49 勤務者15
※8 P51 勤務者18
※9 P47 勤務者15
参考:SOMPOリスクマネジメント株式会社 これだけは知っておきたいテレワークにおける情報セキュリティリスクとその対策
※11 P22 【端末の盗難】
※12 P17 【情報セキュリティ管理体制】