コロナ禍をきっかけに普及が加速したテレワークやハイブリッドワークですが、セキュリティリスクも存在するため適切な対策が求められます。本記事では、テレワークにおいて想定される7つのセキュリティリスクと対策を行う場合の注意点、セキュリティ対策の具体例、おすすめのソリューションについて解説します。端末の不正アクセスや情報漏えい、マルウェア感染などによってセキュリティインシデントが発生した場合、企業は大きな損害を受ける可能性もあるため、ゼロトラストセキュリティやSASE(Secure Access Service Edge)を活用した対策を行う際の参考にしてください。
テレワークにおけるセキュリティ対策の重要性
コロナ禍によってテレワークが注目され、現在では多くの企業がテレワークやハイブリッドワークを取り入れています。テレワークやハイブリッドワークは、働き方面でメリットが多くある一方で、社外から社内のデータやコンテンツへアクセスする際のセキュリティリスクもあることを認識する必要があります。
自宅など社外から社内のデータにアクセスする際、ネットワーク上では端末の不正アクセス、個人情報の漏えい、マルウェア感染など、様々な脅威にさらされるリスクがあります。企業はこれらのリスクを真剣に受け止め、適切な対策を講じることが求められます。
政府(総務省)もテレワークを推進していますが、その一方でテレワークを取り巻く環境やセキュリティ動向が変化したと認識し、テレワークセキュリティガイドライン(第5版)を発行しています。このガイドラインには、最新のセキュリティ対策が記載されており、企業はこれらを参考にしてテレワーク環境のセキュリティを強化する必要があります。
ただし、第5版が発行されてから2年が経過しているため、セキュリティ対策の古さに注意する必要があります。新たな脅威は継続的に出現しているため、定期的なセキュリティ対策の見直しや社内教育の強化が重要です。
テレワークで想定される7つのセキュリティリスク
ここでは、企業が注意を払うべきテレワークで想定される7つのセキュリティリスクについて詳しく解説します。
1. マルウェアへの感染
テレワークにおけるセキュリティリスクのひとつは、マルウェアへの感染です。悪意あるプログラムに感染させられてプログラム上にバックドアが作られると、外部から不正にアクセスする際の扉が開かれてしまいます。近年では「トロイの木馬」や「EMOTET(エモテット)」などのマルウェアが急増しており、特にサプライチェーン攻撃(取引先を装ったメールによる攻撃)が増えています。
例えば、社員が不正なメールのリンクをクリックしてしまい、マルウェアに感染した場合、個人情報や企業の重要なデータが漏えいするリスクが生じます。また、不正なファイルをダウンロードしてしまったり、セキュリティ対策の甘い端末を使用したりすることで、感染リスクが高まります。
これらのリスクに対処するためには、従業員に対するセキュリティ教育の強化や、最新のセキュリティ対策ソフトウェアの導入が不可欠です。もちろん、ネットワークへの不正侵入を防ぐためにファイアウォールや侵入検知システムなどを適切に設置することも重要です。また、マルウェア対策の施されたファイル共有やコンテンツ管理のシステムを利用することも有効です。
2. 端末の紛失・盗難
テレワークにおいて、従業員が使用する端末の紛失や盗難は深刻なセキュリティリスクとなり得ます。モバイルデバイスやノートパソコンなどの端末が第三者の手に渡ると、企業の機密情報や顧客データが漏えいするリスクがあります。
例えば、従業員がカフェや電車内で端末を忘れてしまった場合、その端末には重要な業務データが保存されている可能性があります。不正アクセスを試みる者にとっては、これらの紛失した端末が貴重な情報源となるので注意が必要です。
また、テレワークの環境では自宅以外でも業務を行うことがあるため、公共の場所での紛失や盗難のリスクが増加します。端末の紛失や盗難を防止するために、企業は従業員に対して慎重な行動を促すとともに、デバイスの暗号化やリモートワイプなどのセキュリティ機能を実装することが重要です。紛失した端末のデータをリモートで消去することで、情報漏えいのリスクを最小限に抑えられます。そして、何より重要なデータやファイルは端末に保存しないようにすることが最も有効な対策なのです。
3. 情報の盗聴・傍受
テレワークにおいて、情報の盗聴・傍受は深刻なセキュリティリスクとなり得ます。自宅や公衆Wi-Fiの脆弱性を狙った攻撃者は、通信経路に潜んでいる情報を傍受して機密情報を入手しようと企んでいるからです。特に、自宅や公共のWi-Fiといったセキュリティが強くない無線ネットワークへの接続は、攻撃者にとって格好のターゲットです。盗聴者は、不正なツールや技術を駆使して重要な情報を入手します。
さらに、情報の盗聴は上位システムへ不正アクセスする際の踏み台としても利用されることがあります。従業員のログインIDやパスワードを盗み取り、社内システム自体に侵入する攻撃もあるので注意が必要です。
具体的な事例として、公衆Wi-Fiを利用したカフェでのテレワーク中に、従業員が重要なプレゼンテーション資料を送信している際に情報が傍受された例があります。その結果、競合他社によって情報が利用され、重要な商機を逃す事態となりました。
公共Wi-Fiなどでの情報の盗聴・傍受を防止するためには、VPN(仮想プライベートネットワーク)などの暗号化通信を利用する、そもそも公共Wi-Fiを使わないといったセキュリティ意識の向上を促す教育を行うことが重要です。従業員に対してセキュリティ対策の重要性を理解させることで、情報漏えいリスクを最小限に抑えることが必要となります。
4. 不正アクセス
不正アクセスによるリスクは大きく、機密情報や顧客データの漏えいだけでなく、業務の混乱や企業の信頼性の低下にもつながります。不正アクセスされた場合、企業は個人情報漏えいへの対応やセキュリティ強化に多大な時間とコストを費やすことになります。
事例として、従業員個人のコンピューターからVPN接続を行い、それが元で不正アクセスにつながった例があります。不正アクセスにより企業の社内システムが攻撃を受け、顧客データや機密情報が流出してしまいました。
不正アクセスを防止するためには、まず従業員に対して、許諾された端末以外は使わないこと、強固なパスワードの使用や二要素認証の活用を徹底させることが重要です。さらに、セキュリティ対策を強化し、監視体制を充実させなければなりません。適切なアクセス制御とログの監査を行い、不正なアクセスを早期に検知・対応することが不可欠となります。
5. SNSなどを利用した意図しない情報漏えい
テレワークにおいて、SNS(ソーシャルネットワーキングサービス)の利用がセキュリティリスクとなる場合があるので注意が必要です。業務端末を使って社外ネットワーク経由でSNSにアクセスした際、マルウェアに感染したことに気付かなければ、社内ネットワークに接続することで感染が拡大する可能性があります。
他にも例えば、従業員が自宅で業務用のパソコンを使用している際、家族が撮影した写真にそのパソコンの画面が映り込んでしまい、それがSNSに投稿されることで意図しない情報漏えいが発生することもあります。このような情報漏えいは企業のセキュリティ対策に大きな脅威をもたらします。
従業員が業務端末を自宅などで使用する場合、セキュリティ対策が甘くなる可能性があります。マルウェア感染や意図しない情報漏えいを防止するためには、企業は適切なセキュリティポリシーを策定し、SNS利用におけるリスクを従業員に周知徹底する必要があります。
6. 悪意ある情報漏えい
セキュリティリスクは外部からの不正アクセスだけでなく、従業員による内部不正も等しく問題です。悪意を持った従業員による情報漏えいは、企業にとって大きな損失をもたらす可能性があります。
例えば、従業員が悪意を持って機密情報を不正に持ち出し、競合他社に売却する行為が考えられます。また、腹いせのために企業のデータを削除したり、転職時に過去の雇用先の情報を持ち出したりするなどの行為もリスクとなります。
さらに、子会社の従業員が金銭欲しさから顧客のIDを不正に利用して電子ギフト券を取得する事例や、不満を持つ従業員が会社のパソコンに不正にアクセスして全データを消去する事例も報告されています。
退職者や短期アルバイト終了者など、利用していない者のアカウント管理や委託先、再委託先の管理も重要です。不正アクセスを防止するために、アカウント管理を最適化し、データやコンテンツへのアクセス制御を厳格化する必要があります。
7. 利用サービスのセキュリティ脆弱性による情報漏えい
テレワークで利用するオンラインサービスには、セキュリティ脆弱性が潜んでいる可能性があります。社内のオンライン会議に第三者が不正に侵入し、不適切な行動により妨害するという事件が過去に発生しましたが、これはサービスの脆弱性が悪用された典型例です。
また、ブラウザでもセキュリティ脆弱性が見つかることがあります。通常、ソフトウェアベンダーやサービス事業者は脆弱性を修正するためのアップデートを行いますが、近年では「ゼロデイ攻撃」と呼ばれる未修正の脆弱性を悪用する攻撃が増えています。
これらの脆弱性は、悪意を持った第三者によって情報漏えいの経路となる可能性があります。不正アクセスによって重要な会話や情報が漏えいしたり、ブラウザの脆弱性を突かれて個人情報や機密データが盗まれたりすることもあります。
企業はテレワーク環境においては、よりセキュリティ対策を強化する必要があります。利用するオンラインサービスのセキュリティ状況を確認して、可能な限り最新のアップデートを適用してください。
テレワークでセキュリティ対策を行う場合の注意点
最新のセキュリティ概念と対策のためのシステム構築方法について改めて考え直し、テレワークやハイブリッドワークにおける安全性を向上させるための注意点について解説します。
ゼロトラストセキュリティを意識する
テレワークにおいてセキュリティを強化する際に重要なのは、従来の境界型セキュリティからゼロトラストセキュリティの考え方にシフトすることです。ゼロトラストセキュリティは、「全てを信用しない」という概念を基にしています。
従来の境界型セキュリティでは、企業ネットワークの内側と外側を明確に区別し、内部のリソースには信頼が置かれ、外部の接続は制限される傾向がありました。しかし、ハイブリッドワークのように外部からのアクセスが増える環境では、この境界型のアプローチでは十分なセキュリティを確保することが難しくなります。これに対してゼロトラストセキュリティでは、全てのアクセスを信頼せず、どのような場所やデバイスからでも、アクセスされる際には常に認証と認可を求めるアプローチを取ります。つまり、従来のようにネットワークの内側だから信頼するのではなく、各ユーザーやデバイスごとに厳格なアクセス制限を行い、セキュリティを強化するという考え方です。
ゼロトラストセキュリティに基づいた対策を行うことで、不正なアクセスを防止し、情報漏えいやセキュリティ侵害を効果的に抑えられるようになります。テレワーク環境では、従業員が自宅や公共のWi-Fiを利用するなど外部からのアクセスが増えるため、ゼロトラストセキュリティの考え方を取り入れることが重要です。
SASEでシステムを構築する
テレワークにおいてセキュリティ対策を強化するためには、ゼロトラストが実現可能なシステムの構築を目指す必要があります。その際に有効なアプローチがSASE(Secure Access Service Edge)です。
SASEは、セキュリティとネットワークを統合したアーキテクチャであり、従来のオンプレミス型のセキュリティ機器をクラウド上に統合することで、セキュリティの運用管理を効率化し、ゼロトラストを実現するための枠組みを提供します。
SASEでは、全てのユーザーとデバイスに対して、認証と認可を求めるゼロトラストの考え方を基本としています。それに加えて、ユーザーの位置情報やアクセスデバイスのセキュリティ状態などを考慮して、適切なセキュリティポリシーを自動的に適用可能です。
また、SASEはクラウドベースのサービスとして提供されるため、従業員がテレワークを行う際にも柔軟なアクセスを可能とします。リモートワーカーが自宅や公共のWi-Fiから社内リソースに安全にアクセスできるようにすると同時に、データセンターとクラウドアプリケーションへのアクセスも一元的に管理できます。
テレワークのセキュリティ対策|6つの具体例
ここからは、テレワークのセキュリティを向上させるための望ましい対策について、具体例を6つ挙げて解説します。
1. マルウェアへの対策
フィルタリングを利用して、テレワーク勤務者がリスクのあるサイトにアクセスすることを制限します。これにより、マルウェア感染のリスクを軽減します。テレワーク勤務者が使用する端末に任意のソフトウェアをインストールする際は、事前に申請を求めるように体制を構築します。申請を受けた場合はセキュリティの問題がないかを確認した上で、アプリケーションの認可を行ってください。
貸与用のテレワーク端末にはウイルス対策ソフトをインストールして、常に最新の定義ファイルが適用されるようにします。さらに定期的なアップデートを行い、常に最新の状態に保ちます。
私用端末をテレワークで利用させる際は、その端末に適切なセキュリティ対策が施されているかどうかを確認した上で、テレワークでの利用を許可します。これにより私用端末使用によるセキュリティリスクを最小限に抑えます。
ランサムウェアの感染に備え、重要な電子データやファイル、コンテンツはランサムウェア対策が施されたコンテンツクラウドで保管し共有するか、をするか、社内システムから切り離してバックアップすることで、情報を保護し復旧に備えます。また、金融機関や物流業者からのメールを装うなどの不審な連絡が迷惑メールに分類されるよう設定することで、フィッシング詐欺などの攻撃からテレワーク環境を保護します。
2. 端末の紛失・盗難への対策
情報自体の暗号化を行って、紛失や盗難時にも情報が漏えいしないように保護します。次に、利用端末に情報を残さないようにします。特に、機密情報や個人情報を含むファイルは、端末に保存せず、コンテンツクラウドや社内サーバーなど安全な場所に保管・保存し、必要な際に都度アクセスするようにします。
さらに、貸与するテレワーク端末の所在や利用者を管理するための台帳を整備します。この台帳には、端末のシリアル番号や利用者の氏名、貸与日時などの情報を記載し、適切に管理しなければなりません。
また、端末の利用者に対しては定期的な教育を実施します。紛失・盗難のリスクやセキュリティ対策の重要性について徹底的に啓発し、従業員のセキュリティ意識を高めることで内部リスクを回避します。
USBなどの外部メディアを使用する場合には、社内ルールに従って許可を得るよう徹底することで不正使用やウイルス感染の防止に努めます。
3. 情報の盗聴・傍受への対策
テレワーク端末においては、無線LANの脆弱性対策を適切に実施してください。無線LANのリスクを理解するだけでなく、公衆のフリーWi-Fiには接続しないよう徹底することも重要です。これにより偽アクセスポイントやAPフィッシング、Darkhotelなどの攻撃を未然に防止し、セキュリティリスクを抑えられます。
次に、通信傍受対策を強化します。重要な通信は、暗号化されたVPN(仮想プライベートネットワーク)やTLS(Transport Layer Security)を利用して行います。これにより通信内容が盗聴・傍受されるリスクを防止します。
テレワークで使う端末にはセキュリティソフトウェアを導入し、最新の定義ファイルに更新されていることを常に確認します。定期的なセキュリティパッチの適用やファームウェアの更新も行い、常に端末のセキュリティを最新の状態に保つことが大切です。
従業員に対しては、情報の扱いについて定期的な教育を実施し、情報セキュリティに対する意識を高めます。社内ルールに則った適切な行動を徹底させることで、情報漏えいを未然に防止します。
4. 不正アクセスへの対策
不正アクセス対策として、インターネット経由でテレワーク勤務者が社内システムにアクセスする際の方法を明確に定めます。社内システムとインターネットの境界にはファイアウォールやルータを設置してアクセス状況を監視することで、不必要なアクセスを遮断することが可能です。
さらに、社内システムへのアクセス用パスワードについては、強度の低いものを用いることを防止するために適切な設定を行います。アクセス権限の設定や他要素認証を導入します。パスワードの使い回しも禁止し、一定期間でのパスワード変更も行います。
ICカードを含む個人認証手段の管理も徹底し、不正アクセスによる情報漏えいを未然に防ぎます。
5. 意図しない情報漏えいへの対策
意図しない情報漏えいを防止するために、SNSを使用する従業員向けのルールやガイドラインを整備してください。従業員に対して、情報漏えいリスクを理解させることで、意図しない情報漏えいを未然に防ぎます。
また、ファイルの共有や転送などでよく使われるソフトウェアやクラウドサービスについては、公認ツール以外の利用を禁止し、その上で利用する際のルールを整備して情報漏えいリスクがある使用方法を制限します。これによりシャドーITの撲滅や従業員が個人利用を含む適切な利用方法を遵守するよう促すことで、データやコンテンツのセキュリティを確保できるのです。
さらに、SNSの利用においては、業務用端末からの接続を制限するなど具体的な制約を設けることが大切です。機密情報の取り扱いに関する明確なルールを設けることで、情報漏えいのリスクを抑えます。
6. 社内でセキュリティガイドラインを作る
社内でセキュリティガイドラインを作成することは有効な対策です。作成する際には、情報を機密度でレベル分けするための分類ルールと、そのレベルに応じた情報の取扱いルールを定義し、従業員がテレワークで情報を適切に利活用できるようにします。並行して情報セキュリティの教育・啓発活動を定期的に実施して、従業員の情報セキュリティに対する認識を高めるよう努めてください。
さらに、情報セキュリティ事故の発生に備え、事故時の対応を迅速かつ適切に行えるよう、連絡体制を確認して、定められた担当者への報告手順を確立することが重要です。また、事故対応の訓練に従業員が参加することで、適切な対処能力を養います。
これらには、総務省の「テレワークセキュリティ ガイドライン 第5版」が参考になります。その際、ガイドラインのポイントである「ルール」「人」「技術」のバランスを重視します。さらに、被害やセキュリティ事故が発生した場合の対処方法やエスカレーション手順についてもガイドラインに含め、従業員が適切に対応できるようにします。
安全なテレワーク支援サービスならコンテンツクラウドがおすすめ
コンテンツクラウドは、テレワークやハイブリッドワークを安全かつ効率的に実施する上でおすすめの選択肢です。コンテンツクラウドでは、企業のコンテンツを一元的に集約し、効率的な管理・運用を可能にします。従業員はオフィス外からも安全に、簡単に必要なファイルにアクセスできるため、自身の端末に重要なデータやファイルを保持せずともテレワーク環境に適した柔軟な業務スタイルが実現可能です。
もちろんセキュリティ対策も充実しており、マルウェア対策や暗号化、アクセス制限などのセキュリティ機能が豊富に実装されています。企業の重要な情報が自動的に保護されるため、不正アクセスや情報漏えいのリスクを社員の使い勝手や生産性を犠牲にせず低減できます。
[SMART_CONTENT]
まとめ
テレワークやハイブリッドワークはコロナ禍をきっかけに一般的な業務・勤務形態となりましたが、それに伴い今までにはなかったセキュリティのリスクも増大しています。政府もテレワークを推進し、セキュリティガイドラインを発行し参考にできますが、それだけでは不十分です。
テレワークで想定される7つのセキュリティリスクとして、マルウェアへの感染、端末の紛失・盗難、情報の盗聴・傍受、不正アクセス、SNSなどを利用した意図しない情報漏えい、悪意ある情報漏えい、利用サービスのセキュリティ脆弱性による情報漏えいが挙げられます。
これらのリスクに対処するためには、ゼロトラストセキュリティを意識し、SASEでシステムを構築することが重要です。また、具体的な対策として、端末の管理、パスワードの強化、VPNやTLSの利用、情報の暗号化、利用ルールの整備などが挙げられます。また、実際に狙われているものはデータやコンテンツであることが多いため、テレワークを安全に進められるようコンテンツクラウドでデータやコンテンツを守ることも効果的です。
これらの確実な運用のためにもセキュリティガイドラインを作成して、従業員の情報セキュリティ意識の向上を図る必要があります。テレワークの安全な運用には、技術的・物理的・人的対策のバランスを考慮して、継続的な対策の見直しと改善が不可欠です。従業員の教育とともに、情報セキュリティに対する意識の向上を常に促進しなければなりません。
クラウドの活用で効果的なリモートワーク環境を構築するための3つのステップ
