目次
テレワーク環境でのセキュリティリスク
どの方式を導入するかによりセキュリティリスクは大きく異なりますが、いずれの方式を選択した場合でも、テレワーク環境において、どのようなセキュリティリスクが存在するのかを理解しておく必要があります。
想定されるセキュリティリスクの代表例は次の通りです。
マルウェア感染
マルウェアとは、コンピュータウイルスなどユーザーのデバイスに不利益をもたらす悪意あるプログラムやソフトウェアの総称です。
有名なものだと「トロイの木馬」、「ワーム」、「スパイウェア」などがあり、不正サイトへのアクセス、不正なソフトウェアのインストールだけではなく、ウイルスの入ったメールの添付ファイルを開くだけでも感染する場合があります。
マルウェアに感染すると、個人情報の抜き取りや自動的なファイルの改ざん、自動的に外部と通信したりデバイスにロックが設定されたりといった事態が発生し、利用者の操作なしに不利益をもたらす動作が起こるのが特徴です。
不正アクセス
不正アクセスとは、他人のID・パスワードを不正に使用することによって引き起こされる、次のような行為の総称を指します。
- 情報システムに対してアクセス権を持たない人がアクセスする
- セキュリティホールを悪用してアクセスする
- 保存されているデータ等を変更する
- システムをダウンさせる
端末の紛失・盗難
持ち運びのできるノートPCなどを利用してテレワークを実施する場合、紛失等の人的ミスや、盗難等第三者の悪意によってもリスクが発生します。
PCなどの端末にアカウント認証が設定されていたとしても、端末を解体してハードディスクに直接アクセスされるリスクがあるため、業務に使用する端末の取り扱いには厳重な注意が必要です。
また、テレワークを導入する企業は、端末の紛失・盗難の可能性も踏まえた対策を行う必要があるでしょう。
情報の盗聴
テレワーク実施には、Wi-Fiなど何らかのネット回線が必要ですが、接続した回線がSSL通信されておらず、攻撃者によって設置されたものであったり、接続先に攻撃者がいたりすると、業務情報を盗聴される危険性があります。
情報が盗聴されていたとしても、回線の利用者側がそれに気が付くことは困難であるため、単発的に情報が流失するだけでなく、長期的に情報を奪われ続けてしまう危険性があります。
認証情報の流出
テレワーク実施時には、PCなどの端末へのアクセス時や、アプリケーションの使用時など、随時アカウント認証が必要です。
認証情報の記憶が困難であるからといって、付箋やノートなど、人の目に付きやすいものに認証情報を記載すると、攻撃者の目に触れる可能性があり、認証情報の流出・悪用に繋がります。
システムの脆弱性
攻撃者がSaaS(Software as a Service/以下:SaaS)などのクラウドやアプリケーション等、システムの脆弱性を狙って攻撃すると、サービス内で使用されるURLの不正取得やシステムの制御権の乗っ取りなどのトラブルが発生します。
このようなトラブルは、脆弱性を改善するためのソフトウェアアップデートが行なわれるまでの短い間に攻撃が行なわれることが多いため、注意が必要です。
セキュリティのための8対策
テレワークにおけるセキュリティリスクを回避するためには、適切な対策を講じる必要があります。
ここでは、8つのセキュリティ対策を解説しますので、テレワーク導入時の参考にしてください。
端末の管理・制限
テレワークで使用するPC等の端末をあらかじめ会社から支給・貸与する方法と、従業者の私物のPC端末を使用する方法(BYOD/Bring Your Own Device)があります。
端末を支給・貸与する場合には、USBの挿入などによる業務情報持ち出しのリスクを回避するために、利用する機能に制限を設けることが有効です。
また、テレワークの実施方式がVDI方式やリモートデスクトップ方式の場合には、ハードディスクを使用しないため、再起動のたびに使用したハードディスクのデータを削除する設定にしておけば、万が一盗難や紛失が発生した場合でも情報の抜き取りを回避出来ます。
特に私物の端末を使う場合には、これらの対策を徹底しておかなければ、情報漏えいのリスクを避けられません。
システムの脆弱性対策
新しいシステムがリリースされると攻撃者もそれに応じた攻撃方法を考えてくるため、セキュリティ担当者は、常にシステムの動向をチェックしながら業務遂行への影響の有無を判断しなければなりません。
Windows PCやMacといったハードウェアでは、基本的に重大な脆弱性は見られないものの、わずかな脆弱性が発生する懸念はあるため、定期的なソフトウェアのアップデートやパッチの適用が求められます。
業務を支えるソフトウェア自体に脆弱性が無くても、使用方法が不適切な場合は思わぬ脆弱性に繋がることもあるため、ソフトウェアにどのような機能が備わっており、使用する上でどのような点に注意すべきかを企業と従業者の間で共有しておく事が有効です。
また、必要に応じて権限や外部公開範囲の設定等を決めておくと良いでしょう。
データの暗号化
テレワークでは、PCやUSBなどの電子記録媒体の持ち出しや、オンライン上でのデータ取得も多く、情報漏えいなどの事故発生の可能性が高まります。
予防策としては、データファイルを保存する際、データそのものを暗号化する方法がおすすめです。
そのためにデータを自動的に暗号化する『端末管理ツール』や、『文書管理システム』、『暗号化サービス』などのツールやサービスを使用するのも良いでしょう。
これらの対策を実施することにより、従業者が勝手に設定を変更しようとしたり、悪意を持った従業者が故意に情報を漏えいしようとしたりする等の問題が起こった場合にも、データの漏えいを防止することができます。
ウイルス対策ソフト
マルウェアの感染などを防止するためには、ウイルス対策ソフトの導入が効果的です。
セキュリティ担当者は、ウイルス対策ソフトの定義ファイルが自動適用されるよう適切に運用するとともに、従業者が危険なWebサイトにアクセスしないよう、閲覧フィルタリング設定を行なうなどの措置を講じる事が必要となります。
アカウント認証管理
従業者がオフィスネットワークやクラウドサービスにアクセスする際には、多要素認証方式や電子証明書の利用、長いパスフレーズの設定、あるいはパスワードの繰り返し利用を防止するパスワードポリシーの設定や運用が求められます。
またアカウント認証にあたって、一定回数の失敗が生じた場合の技術的対応や、利用者の部署異動、退職等に伴う認証情報の変更時は、アクセス権限を外すといった対応も欠かせません。
アクセスの制限
不正アクセスを制限し、余計なトラブルを防止するためには、次のような対策が有効です。
- ファイアウォールによるアクセス制御
- オフィスネットワークに接続するIPアドレスの制限
- 不要なポート閉鎖
- ネットへの不審なアクセスを常時監視するソフトの導入
- Bluetooth等の無線通信のオン・オフ設定確認
システム管理者の特権ID
システムやセキュリティの管理者には、従業者に付与されるIDとは異なり、組織で使用するシステムの設定変更を可能とする特権IDと呼ばれるアカウントを与えます。
特権IDは利用する者を限定するとともに、他の従業者とは明確に分けたうえでID管理を行なわなければいけません。
ログの活用
各システムにおける操作ログや通信ログなどのデータは、不正の早期検知に役立ち、リスク低減に繋がります。
万が一、不正が発生した場合には、ログデータを解析することで原因の確認や事後調査に活用することができます。
従業者の各種ログデータを取得するためには、データ取得についてあらかじめ従業者に説明し、同意を得ておくことが重要です。このステップを踏むことで、緊急時の対応もスムーズになります。
まとめ
テレワークは働き方改革や業務効率化、BCP対策を推進する中で欠かせないものであり、DX推進の一環としても導入するべきです。
導入においては、各企業の業務形態や環境に合わせた、最適なテレワーク方式を選択する事が望まれます。
ただし、テレワークは情報漏えいなどのリスクも高いものであり、必要な対策がなされないまま情報事故が発生したとなれば、企業のレピュテーション(評判)リスクを含めて、大きな利益損失に繋がりかねません。
このような事態を回避するためには、あらかじめテレワーク実施におけるセキュリティリスクを理解したうえで、適切な対策を講じる必要があります。
ぜひ本記事を参考に、自社にとって最適なテレワーク導入を実施してください。
