在宅勤務やテレワーク・リモートワークの導入において、情報漏洩の可能性について考えたことがあるでしょう。
在宅勤務を実施する中で、具体的なセキュリティ対策ができている企業は実はあまり多くないのです。サイバー攻撃や従業員による不正利用などの情報漏洩のリスクは、身近かつ重要な課題となっています。
本記事を読むことで、情報漏洩の原因や具体的な対策法を把握でき、重要なデータを効率よく運用する方法について知ることができます。是非最後までご覧ください。
目次
在宅勤務で情報漏洩が発生しやすい原因
近年流行している在宅勤務(テレワーク)ですが、在宅勤務の環境が意図せぬ形で情報漏洩へ発展するケースがあります。ここからは、在宅勤務において情報漏洩が発生しやすくなる原因について、詳しく解説します。
在宅勤務特有のリスク
家でものびのびと働くことができる在宅勤務ですが、他人の目が届かないという性質上、閲覧しているウェブサイトや使用しているソフトウェアなどが上司や同僚に把握されにくいというデメリットがあります。
例えば業務に伴う情報収集を行っている際に、閲覧したウェブサイトからウイルスやランサムウェアなどのマルウェア感染を起こしてしまうと、意図せぬ形で社内の情報が外部へ漏れてしまう可能性があります。
従業員による不正利用
在宅勤務では他の社員の目が届かないため、不正利用による情報漏洩が起きやすくなっています。アクセス権の統制や従業員教育が万全に行われていないと、外部に知られてはいけない機密情報が従業員の手によって持ち出されてしまう危険性があるため、注意が必要です。
セキュリティ面
在宅勤務を実施することにより、従来のネットワーク環境とは異なる形で業務を行うことになるため、セキュリティ面の観点で脆弱性が生じることがあります。
仮に在宅勤務やテレワーク等を実施する場合、VPN導入、ゼロトラストセキュリティシステムの導入や社員教育などの対策は必要不可欠です。一方で、これらの取り組みが不十分であったがゆえに、ウイルス感染の被害を受けてしまった事例や、二次被害として情報漏洩を発生させてしまったなどの事例もあります。
在宅勤務でおこる情報漏洩の事例
ここからは、在宅勤務やカフェなどのテレワーク、リモートワークで発生した情報漏洩の事例についてご紹介します。
Webサイトからのウイルス
会社貸与のノートパソコンで在宅勤務中、業務に伴う情報収集で海外のWebサイトを閲覧したところ、ランサムウェアに感染し、パソコン内のデータを取り出せなくなってしまった事例です。ランサムウェアとは、データを暗号化して使用できなくした上で、データの復旧に必要な身代金を要求するマルウェアの一種です。
ランサムウェアが感染した時点では、すでに悪意のある人物へ情報が把握されてしまっており、最悪の場合、さらに外部へ公開されかねない状態です。
情報漏洩だけでなく、システムの復旧までに時間がかかることや、必要な業務が行えない状態が続くなどの被害も報告されています。
情報の持ち出し
外出先のカフェで取引先との商談で「トイレに行く」と席を立っている間、放置された資料の写真をスマートフォンで撮影されてしまったケースです。本事例では、匿名の掲示板に顧客情報や漏洩までの経緯が書き込まれたことで、情報漏洩の発生が発覚しました。
顧客との取引は停止し、会社全体の信用を損なう結果となりました。
在宅勤務でおこる情報漏洩を対策する方法
在宅勤務でおこりうる情報漏洩を対策する具体的な方法は、以下の4つです。
- デバイスの制限
- 安全なネットワークの構築
- 従業員の教育強化
- クラウドストレージの導入
ここからは、上記4つの対策法について詳しく解説します。
1. デバイスの制限(端末認証)
デバイスの制限(端末認証)とは、企業や管理者によって許可された端末のみをテレワーク端末とすることです。
デバイスの制限を行い、テレワーク専用の端末を導入することで、仮に悪意のある人物にIDやパスワードなどのログイン情報が知られてしまったとしても、あらかじめ 企業が許可している端末が入手できない限り、社内情報へアクセスできない仕組みです。
また、デバイス制限に加えてアクセスログや監査ログの監視も有効な方法です。
企業の管理者が、ID別の接続履歴を確認することで不審アクセスの早期検知が可能となります。また事故が起こったあとの原因追及や被害規模の調査にも役立ちます。故意に社員が企業秘密を持ち出した場合の裁判等の証拠にもなります。
またアクセスログや監査ログで監視されていることを事前に周知しておくことで社員の不正に対する抑止力にもなります。
さらには、認証方式をMFA(多要素認証)などにすることで、第三者による不正アクセスリスクを低減できます。MFAとは、企業があらかじめ設定したIDやパスワード以外に必要となる認証要素のことで、従業員の指紋情報や 虹彩認証の他、企業が設定したテレワーク端末のハードウェア情報も含まれています。
2. 安全なネットワークの構築
テレワークや在宅勤務を行うにあたっては、安全なネットワーク環境を構築し、出社勤務と同等のセキュリティレベルを担保することが重要です。
一定のセキュリティレベルを担保できるシステムとしてよくあげられるのがVPN(Virtual Private Network) です。
VPNは、認証や暗号化などの技術を用いて通信内容を保護するシステムで、導入すれば一定のレベルでセキュリティを確保できます。
専用線を用いるなどの物理的な工事は必要ないため、比較的簡単に導入できます。セキュアなネットワーク環境構築の手段としては、多く選ばれている方法です。
新規でVPNを開設するコストがかかる場合、専用ソフトを利用したリモートデスクトップの導入もおすすめです。VPN機器などの導入では機器のファームウェアのセキュリティパッチの適用などの運用をしっかりと行う必要があります。
3. 従業員の教育強化
社員による不正行為や外部の人間による情報盗難などのリスクは常にあります。情報漏洩の事例を未然に防ぐには、従業員への教育強化が必要となります。
テレワーク推進において、不正利用や外部からの攻撃を考慮している企業は多くありません。物理的な制限の強化と社員教育を強化することで、情報漏洩のリスクを低減できるでしょう。
また、これらを継続して実行できるようにするためには、テレワークを行う上での社内規則、セキュリティに関する項目、機密情報の取り扱いや不正に対する罰則などの各ルールとして定めておくことが重要です。
4. クラウドストレージの導入
4つ目の有効な対策として、クラウドストレージの導入があげられます。
クラウドストレージを導入すれば、社員同士でのデータ共有が容易となります。また、検索機能が充実したサービスであれば、効果的な運用まで行えるようになります。
在宅勤務やテレワークなどの働き方が台頭し、デバイスなどを会社の外へ持ち出さなければいけない今の時代には、重要度が高いと言えるでしょう。
在宅勤務による情報漏洩におすすめのクラウドストレージ
ここからは、在宅勤務による情報漏洩予防におすすめのクラウドストレージについて紹介します。
ibisStorage
ibisStorage (アイビスストレージ) なら、企業の運営に関わる重要な電子帳簿データを安全に運用管理できます。全てのプランを体験できる無料トライアルを実施しており、社内データ管理のクラウド化を促進できます。
プラン内容は、小規模チームに最適な「フリープラン」、機能性に優れた「スタンダードプラン」、監査ログ監査など全ての機能を無制限で利用可能な「エンタープライズプラン」、ユーザー数を気にせず使える「ユーザー数無制限プラン」の4種類です。
主な機能として、アクセス権管理のほか端末認証や監査ログがあり、テレワーク推進において必須の機能を装備しています。
保存されたデータはランサムウェアなどの脅威から保護され、第三者が不審にアクセスした場合は早期発見が可能な監査ログ機能も備えています。
WindowsとMac、iPhone、iPad、Androidに対応しており、アプリをインストールすることで、端末認証機能も使用できます。
| サービス名 | ibisStorage |
|---|---|
| 保存データ |
|
| 料金プラン |
【30日間無料お試し可能】 |
| メールサポート | ◎ |
| 電子帳簿保存 | ◎ |
| 端末認証 | ◎ |
Dropbox
Dropboxは、請求書などのデータはもちろん、写真や文章などのファイルを安全に保管できるクラウドストレージサービスです。Dropboxでは、ビジネス向けのプランを展開しており、ビジネス、ビジネスプラス、2種類の法人向けプランがあります。
| サービス名 | DropBox |
|---|---|
| 保存データ |
|
| 料金プラン |
|
| メールサポート | ✕ |
| 電子帳簿保存 | ◯ |
| 端末認証 | ◎ |
ibisStorageで在宅勤務による情報漏洩対策を!
ibisStorage (アイビスストレージ) は、高いセキュリティ機能を持つ国産クラウドストレージです。ibisStorage では、クラウドストレージとしての基本機能はもちろん、情報漏洩を対策する機能があります。
| 機能名 | 詳細 |
|---|---|
| 端末認証機能 | 未承認のパソコンからibisStorageへのアクセスをすべてブロックします。端末を紛失した場合でもすぐにログインを止めることができます。会社貸与の端末からのみ許可をすることでテレワーク・リモートワークにも対応できます。 |
| 接続元IP制限機能 | 接続元のIPアドレスを使用して利用者を制限します。オフィスで固定IPを取得し、オフィスからしかibisStorageにアクセスできなくすることができます。 |
| 監査ログ機能 | 誰がいつどのデータをダウンロードしたか、ログインした時刻、権限変更した記録などを確認することができます。なにか問題が発生した際のエビデンスとなります。 |
| アクセス権限管理機能 | フォルダへのアクセス権限管理ができます。所有者権限、読み書き権限、読み取り権限等を設定することが可能です。 |
端末認証機能により、会社が承認したPCのみクラウドストレージにアクセスできますし、接続元IP制限をすることで、オフィスのみクラウドストレージにアクセスすることができるようになります。よって、プライベートPCから情報のダウンロードをすることが防げるため、情報漏洩の対策となります。
また、監査ログの機能により、退職予定者がクラウドストレージから一気にデータをダウンロードするといった情報も持ち出しが疑われる行動を察知することができ、事前に情報漏洩を防ぐことができます。
さらに、ibisStorage は1アカウント月間600円といった低予算で活用することができます。ぜひ、「ibisStorage」を活用して、低予算で情報漏洩対策を実現してください。
