サイト内の現在位置
コラム
テレワーク導入によるセキュリティリスクとは?企業が行うべき対策も解説
UPDATE : 2021.03.12
先の見えない新型コロナ感染症の影響が続くなか、通勤などによる社員の感染リスク減らし、またオフィスにおけるクラスター発生等を回避するため、テレワークを導入する企業が増えています。コロナ以前からも働き方改革の一環としてテレワークを導入する企業はありましたが、あくまでも少数派。それが、こうした状況下となったことで、テレワークの導入企業が急増しています。
一方で、テレワークの導入にあたっては、企業および従業員の双方にとってさまざまな不安要素があります。そのひとつがセキュリティです。自宅ではもっぱらスマホやタブレットを使い、パソコンは使っていなかった場合、セキュリティ対策について十分でないことが少なくありません。この記事では、テレワークの導入によって増加したセキュリティ事故の要因と、その背景にあるセキュリティリスクについて解説します。また、テレワークを導入する企業が行うべき対策についても紹介します。
INDEX
-
テレワークの普及に伴い増加するセキュリティ事故
- コロナ禍で企業のセキュリティ事故件数は約3倍に増加
- セキュリティ事故が増加した背景は?
-
テレワークで注意すべきセキュリティリスクとは?
- 家庭内ネットワークでのセキュリティ不備による情報漏洩
- 個人のPC・タブレットなどの利用によるリスク
- マルウェアへの感染
- 公衆Wi-Fiの利用で起こる情報漏洩
- 脆弱性のあるアプリケーションの利用
- PC・USBメモリ・書類などの紛失
- 公共の場所で作業中に覗き見されるリスク
-
テレワークを安全に行うために企業がおさえたいセキュリティ対策とは?
- 組織としてセキュリティガイドラインやルールの策定・社員教育を徹底する
- 使用する端末にウイルス対策ソフトを導入する
- VPN利用で通信内容の盗み見・改ざんを防ぐ
- 家庭内ネットワークを安全な状態にさせる
- OSやソフトは最新のバージョンに更新させる
- 公共の場所での作業に制限や対策を設ける
- クラウドサービス利用時などのパスワードやURLを適切に設定・管理する
-
テレワークでサイバー攻撃に遭った場合はどうすればいい?
- 被害が発覚した際は迅速なフォレンジック調査が必要
- まとめ
テレワークの普及に伴い増加するセキュリティ事故
新型コロナの感染拡大に伴い、日本政府は2020年4月に緊急事態宣言を発出。人と人の接触をできるだけ減らすことでウイルスの感染を防ぐため、小中学校が休学となったほか、民間企業に対しては「出勤者の7割削減」に向けた協力の要請がなされました。この結果、ホワイトカラーを中心とした従業員のテレワークを実施する企業が急激に増えましたが、一方で、これまでオフィスでの利用が中心だったIT機器が自宅でも利用されることが増え、さまざまなセキュリティに関する事故が発生しています。
コロナ禍で企業のセキュリティ事故件数は約3倍に増加
セキュリティ事故に関する調査を行っているJPCERT/CCによれば、インシデント(セキュリティ事故)の報告件数は、2020年3月を境にして急激に増加しています。2019年10月から2020年2月までは月間のインシデント報告件数はおよそ1700件前後で推移していたのが、2020年3月になった途端に2947件へと増加。その後も月を追うごとに増加し続け、2020年9月には5473件と同年2月の約3倍強にまでなっています。
※参考:JPCERT/CC インシデント報告対応レポート [2020 年7月1 日 ~ 2020年9月30 日]
セキュリティ事故が増加した背景は?
テレワークの導入によるセキュリティ事故の増加について、具体的な原因や背景を以下で解説します。
急なテレワーク導入によるセキュリティ対策の不徹底
コロナ禍での企業によるテレワークの導入は、非常にせわしないものでした。コロナ以前から働き方改革の一環としてテレワークを導入していた企業は少数派であり、多くの企業は十分な検討や準備ができないままテレワーク導入を決めたところが少なくありません。その結果、テレワークにおけるセキュリティ対策が十分になされないケースが見られました。
例えば、社外から社内ネットワークに接続するためのVPNに脆弱性があったり、従業員が自宅で利用しているネットワーク機器の設定に問題があったりといったケースがありました。また、従業員への情報セキュリティ教育が徹底されていないため、標的型攻撃メールを開いてしまったり、OSのセキュリティアップデートを怠ったりといったことも、セキュリティ事故の増加要因となっています。
コロナ渦のオンライン犯罪の増加
コロナ禍でセキュリティ事故が増加したもうひとつの大きな要因として、オンライン犯罪の増加があります。テレワークの増加に伴って多くの仕事がオンライン上でなされるようになった結果、企業をターゲットとした犯罪もオンラインで行われるようになりました。先に挙げた標的型攻撃メールのほか、取引先や公的機関を装ったフィッシングサイトによる被害も増加しています。また、偽の給付金申請サイトや寄付を装った暗号通貨の詐欺といった、コロナ禍という状況を悪用したサイバー犯罪も多数見受けられます。
テレワークで注意すべきセキュリティリスクとは?
テレワークにあたっては家庭内ネットワークや個人のPCやタブレット、公衆Wi-Fiにアプリケーションの脆弱性といったリスクに注意を払う必要があります。ここではそれらについて解説します。
家庭内ネットワークでのセキュリティ不備による情報漏洩
在宅勤務によるテレワークの場合、自宅のインターネット回線を介して社内ネットワークに接続するケースが大半です。しかし、自宅に設置したルーターやWi-Fiステーションのセキュリティが不十分だと、そこから悪意を持つ攻撃者が不正侵入したり、マルウェアに感染させられたり、また第三者への攻撃の踏み台にされてしまうことがあります。
マルウェアへの感染
セキュリティ対策が十分ではないPCにおいては、マルウェアの感染リスクが高くなります。マルウェアは標的型攻撃メールで書類を装った添付ファイルの形をとっていたり、便利なフリーソフトを偽装していたりするほか、周辺機器に付属するドライバー用のCD-ROMから感染することもあります。オフィスで利用する業務用PCに比べ、個人のPCはセキュリティ対策が不十分なため、こうしたさまざまな経路でマルウェアに感染する危険性があります。
公衆Wi-Fiの利用で起こる情報漏洩
テレワークを行う場所は自宅とは限らず、カフェやホテルのラウンジ、またシェアオフィスなどを利用する人もいるでしょう。こうした外出先でのテレワークにあたっては、公衆Wi-Fiを経由して社内にVPNで接続することになります。しかし、公衆Wi-Fiの利用にはリスクがあり、第三者に通信内容を傍受されたり、マルウェアに感染させられたりする恐れがあります。
脆弱性のあるアプリケーションの利用
業務で必要なアプリケーションのなかには、セキュリティ上の欠陥、すなわち脆弱性を持つものもあります。そうした脆弱性は判明するとすぐに開発元がセキュリティパッチを公開したり、アプリケーションをアップデートしたりします。しかし、なかには長期間にわたり脆弱性が修正されないままのアプリケーションや、脆弱性があっても開発元が把握していないアプリケーションも存在します。
PC・USBメモリ・書類などの紛失
テレワークの実施によりPCだけでなく、業務上必要な書類やデータも社外に持ち出すケースがあります。こうした場面で多いのが、紙の書類の紛失や重要なデータが入ったUSBメモリやPCなどを置き忘れるセキュリティ事故です。紙の書類はどこでも見ることができるが故にうっかり紛失しやすいもの。USBメモリやノートPCを入れたバッグを電車の網棚に置き忘れる事故も発生しており、注意が必要です。
公共の場所で作業中に覗き見されるリスク
カフェやホテルのラウンジといった静かな環境でのテレワークは、集中して作業ができるという人もいます。しかし、こうした公共の場でPCを使う場合、誰でも画面を覗き見ることができるというリスクがあります。業務に利用するPCからは、ログインに必要なパスワードや業務に関わる機密だけでなく、個人情報や取引先情報なども漏えいするリスクがあります。
テレワークを安全に行うために企業がおさえたいセキュリティ対策とは?
テレワークを安全に実施しリスクを抑えるためには、適切なセキュリティ対策が必要です。ここではそうした対策について解説します。
組織としてセキュリティガイドラインやルールの策定・社員教育を徹底する
テレワークにおけるセキュリティ対策は、ルールの整備が不可欠です。そのためにはまず、情報セキュリティに対する企業として基本方針と行動指針を定めたセキュリティガイドラインの策定が必須です。これに基づいて、PCなどのデバイスの利用の仕方、テレワークを行うべきではない環境、業務システムへの接続の方法、データの取り扱い手順などの具体的なセキュリティルールが定まります。また、このルールを従業員が守れるようにするため、研修の実施やルールの啓蒙活動といった環境作りも欠かせません。
使用する端末にウイルス対策ソフトを導入する
業務に使用するPCには、会社からの貸し出しか個人のものかに関わらず必ずウイルス対策ソフトをインストールし、常に最新の状態に保ちましょう。ウイルス対策ソフトは、標的型攻撃メールやOSの脆弱性を狙ったマルウェアなどの攻撃を防ぐだけでなく、種類によってはフィッシングや公衆Wi-Fiなどによる情報漏えいを防ぐものもあります。
VPN利用で通信内容の盗み見・改ざんを防ぐ
テレワークにおいて、業務システムに接続して作業を行う際は、Virtual Private Network(VPN)を導入しましょう。VPNとは、インターネット回線を介して仮想的なネットワークを作ることで、安全に社内のネットワークに接続することができる技術です。VPNで接続するとデータが暗号化されるため、インターネット上での第三者の傍受を防ぐことができます。
家庭内ネットワークを安全な状態にさせる
自宅からテレワークを行うためには、大前提として家庭内ネットワークが安全な状態であることが必要です。家庭用ルーターに脆弱性がある、もしくは設定が不適切だと、外部から不正侵入されたり、第三者に通信を傍受されたりする恐れがあります。ルーターのファームウェアは常に最新に保つと共に、管理画面に入るためのパスワードは初期設定のものから必ず変更しましょう。
OSやソフトは最新のバージョンに更新させる
ウイルスなどのマルウェアは、OSやアプリケーションの脆弱性を利用して感染する場合が多いので、それらは常に最新の状態にしておきましょう。テレワーク時にはウェブ会議ツールなど社内では使用頻度が低いものもあるので、それらの更新も気を付ける必要があります。可能ならば、毎日業務を始める前にアップデートを実施し、利用するソフトウェアが最新の状態での作業を心がけましょう。
公共の場所での作業に制限や対策を設ける
カフェやホテルのラウンジなどの公共の場所でテレワークを行う際には、覗き見に注意をしましょう。プライバシーフィルターを利用したり、ログインパスワードを入力する際は周囲に注意したりなどの対策が必要です。また、公共の場所で作業をする場合は、個人情報を取り扱う業務は行わないなどのルール策定も行いましょう。
クラウドサービス利用時などのパスワードやURLを適切に設定・管理する
クラウドサービスを利用して作業をする場合、それらのアカウント(IDとパスワード)やアクセスするURLの管理を適切に行う必要があります。パスワードは推測しにくいものにし、複数のサービスで同じものを使い回さないようにしましょう。家族との共用PCでは、ブラウザにパスワードを記憶させないように気を付ける必要もあります。
また、オンライン会議のURLの流出にも注意しなければなりません。流出した場合は、第三者のなりすましによる不正ログイン、ミーティングの覗き見などの危険性があります。会議に入室する際はセキュリティコードを設定したり、IPアドレスを指定したりすることで情報漏洩のリスクを回避できます。
テレワークでサイバー攻撃に遭った場合はどうすればいい?
サイバー攻撃の被害に対して、法的措置を執るためには適切な証拠の保全が必要です。そのための手段がフォレンジック調査です。ここではフォレンジック調査について解説します。
被害が発覚した際は迅速なフォレンジック調査が必要
サイバー攻撃の被害にあった場合、サイバーセキュリティ専門家はその攻撃の実態や被害の詳細を把握するため、できるだけ素早くフォレンジック調査を行います。
フォレンジック調査とは、攻撃を受けたPCなどのデバイスに残されたデータを分析したり、削除されたデータを復元したりすることで、どのような経路で誰が攻撃を行ったのか、どのデータが漏えいしたのかといったことを明らかにします。調査の対象はPCだけでなく、スマートフォンなどのモバイル機器や社内外のネットワークを構成するルーターやネットワークを流れるパケットも分析の対象となります。
適切な手順を踏んで調査を行うことで、フォレンジック調査の結果は法的に有効な証拠になります。素早く証拠となるデータを保全するためにも、機材や手順等の事前準備や手続きを含めた体制構築をあらかじめ行っておく必要があります。
まとめ
テレワークの増加にともなって、セキュリティ事故は約3倍も増えています。テレワークを安全に行い、サイバー攻撃をはじめとするセキュリティ事故を防ぐためには、適切なルールの設定や、ウイルス対策ソフトの導入、OSやアプリケーションを常に最新に保つといった社内勤務と同様の対策が求められます。また、家庭内ネットワークの安全性や公共の場所での作業時の留意点など、さまざまな観点からのセキュリティ対策が必要になります。さらに、こうしたテレワークの実現にあたっては、フレキシブルな労働環境の実現が欠かせません。
NECソリューションイノベータの「NEC 働き方見える化サービス Plus」は、勤務状態を可視化することによって長時間労働を是正し、さらに組織に根付いた風土を改善することで生産性向上を成し遂げます。こうした労働環境の改革を通じて、テレワークに必要な業務内容の明確化やワークフローの最適化を通じて、ニューノーマル時代のワークスタイルの実現を支援します。
NEC 働き方見える化サービス Plusの資料請求はこちら