働き方改革や新型コロナウイルスの拡大によって、テレワークという働き方が急速に拡大しました。しかし、テレワークにはサイバー攻撃や不正アクセスなどのリスクがあります。最悪の場合、会社の機密データが漏洩し、業務停止に追い込まれるなんてことも起こりえます。
ここまで読んで、「テレワークのリスクに備えたセキュリティ対策がちゃんとできているか心配」と不安になった方もいるのではないでしょうか。そこでこの記事では、「テレワークのセキュリティ」について、実際に発生したトラブル事例や対策法を交えて解説します。
IT技術が発展したこの現代で、効率的な業務の遂行に必要なテレワークを安全に行うために、しっかり確認しましょう。
テレワークにおけるセキュリティリスク
前の項で、テレワークには様々なリスクがあることを解説しました。ここでは、テレワークにおける代表的なセキュリティリスクを具体的に解説します。リスクをきちんと理解して、対策につなげていきましょう。
- 端末の盗難や紛失
- サイバー攻撃によるリスク
- インターネット回線によるリスク
- 不正アクセスによる情報漏洩
- 従業員による誤操作
1. 端末の盗難や紛失
テレワークには、パソコンやスマートフォンなどの紛失や盗難のリスクがあります。端末が紛失や盗難されると、業務が停止するだけでなく、第3者へのデータ漏洩のリスクが大きく高まります。
また、端末だけでなくデータを保存するUSBメモリーの取り扱いにも気を付けなければなりません。端末よりも小さく軽いことで盗難や紛失が起こりやすい点から、保管場所や保管方法などに十分注意しましょう。
2. サイバー攻撃によるリスク
テレワークには、サイバー攻撃という大きなリスクがあります。サイバー攻撃とは、パソコンやスマートフォンなどのモバイル端末のネットワークを通して行われる犯罪です。データの盗難や改ざん・第三者への漏洩など、企業にとって大きな損失を生み出します。
サイバー攻撃は、OSやVPNやルーターなどのネットワーク機器、アプリケーションの脆弱性を狙ったものが多くなっています。IT技術の発展に伴って年々増加傾向にある犯罪ですが、セキュリティ対策が十分ではない私用端末の使用が多いテレワークでは、対策が難しいことが現状です。
少しでもサイバー攻撃によるリスクを抑えたいのであれば、例えば会社支給端末を使いましょう。会社支給端末であれば、企業ごとにセキュリティ対策を講じることが可能です。会社支給端末にアンチウイルスソフトや侵入検知ソフトなどを導入することで、私用端末よりも安全に業務を行うことができます。
3. インターネット回線によるリスク
テレワークには、インターネット回線によるリスクも生じます。会社での業務は、データへのアクセスなど含めて、ファイヤーウォールや固定IPアドレスによる接続元IP制限などセキュリティ対策を施した社内ネットワークを構築することができます。しかし、テレワークの場合は、個人のインターネット回線の使用が一般的です。
そのため、社外から社内のサーバーやPCへVPN機器を経由してアクセスしたりリモートデスクトップで接続したり、固定IPアドレスでない家の回線からクラウドサービスにアクセスしたりします。VPN経由の社内へのアクセスもリモートデスクトップ接続もファイヤーウォールに穴を空けることになるのでセキュリティレベルが下がります。クラウドサービスのアクセスも固定IPアドレスからのアクセス制限があればセキュリティレベルが上がりますが、個人の家からとなると固定IPアドレスにするのも難しいです。
4. 不正アクセスによる情報漏洩
テレワークによって、ルーターやファイヤーウォールに穴を空けたり、固定IPアドレスによる接続元IP制限でセキュリティレベルがあげられたクラウドサービスのセキュリティレベルが下がったりします。これにより不正アクセスによる情報漏洩のリスクがあがります。不正アクセスとは、個人情報の取得や会社の機密情報の取得を目的として、不正に他人のコンピュータに侵入する行為です。情報漏洩させるぞと脅して身代金を要求(ランサムウェア攻撃)する犯罪者集団もいます。
不正アクセスに対しては、様々な対策が取られていますが、犯罪者集団はそのたびにあの手この手と手法を変えます。ルーターやVPN機器のセキュリティホールを突いて侵入してくることもあります。
5. 従業員による誤操作
テレワークには、従業員による誤操作のリスクもあります。従業員による誤操作は会社での業務中にも起こりうるリスクですが、テレワークの場合、すぐに上司やパソコンに詳しい人への相談ができません。
そのため、万が一重要なデータが第3者に閲覧できる状態になっていたとしても、対応が遅れてしまいます。これは、重大なデータの盗難や改ざん・漏洩につながります。
また、誤操作ではなく故意の持ち出し(内部犯行)のケースにも対応が必要です。「端末認証」や「監査ログ」の導入など、セキュリティ対策の社内ルールを徹底させることで、従業員の意識改革もできるでしょう。「端末認証」や「監査ログ」などの社内ルールでのセキュリティ対策については、次の項で詳しく解説します。
テレワークにおけるセキュリティ対策
前の項で、テレワークにおけるセキュリティリスクについて解説しました。テレワークには総合的なセキュリティ対策が重要であることがわかったのではないでしょうか。そこでここでは、テレワークにおける具体的なセキュリティ対策を紹介します。テレワークを導入している、もしくは今後導入する予定がある、という方はぜひ参考にしてください。
- パスワードの設定と管理
- ルールの整備
- セキュリティソフトの導入
- クラウドストレージの導入
1. パスワードの設定と管理
パスワードの設定は、データ管理において必須とも言えるセキュリティ対策です。パスワードを設定しておくことで、万が一不正アクセスがあったとしても、簡単にはデータにアクセスできない状態を作ることができます。しかし、以下のようなパスワードはセキュリティとして不十分であるため、避けましょう。
- 生年月日などの推測されやすいパスワード
- 使い回ししているパスワード
従業員の誰か一人でも安易なパスワードを設定したり、使い回しパスワード(他のサイトと同じパスワード)を設定したり、パスワードの漏洩があると会社の機密情報や個人情報が簡単に漏洩してしまいます。
パスワードが漏洩しただけではアクセスできないようにするため最近は端末認証や二要素認証を必須とする運用が一般的になっています。
2. ルールの整備
セキュリティ対策における、社内のルールを徹底しましょう。パソコンで業務を行っていると、誰にでも誤操作が起こります。テレワークは、上司や同僚に誤操作の相談がしにくい環境であるとも言えるでしょう。
そのため、情報の扱い方や誤操作時の対応マニュアルの作成などが効果的です。また、端末認証を導入し、私用端末でのクラウドストレージへのデータアクセスをブロックすることで、データの漏洩リスクを大きく軽減できます。
アクセス権限の管理は、重要なデータの保守に最適です。「管理者権限」「編集権限」「閲覧権限」「アクセス不可」など、従業員ごとに設定しておくことで、不要なアクセスを減らすことができます。
さらに、誤操作ではない故意のデータの持ち出しにも注意が必要です。例えば、特定のファイルに「いつ」「誰が」「どのような」編集をしたのかを確認できる監査ログを定期的に確認することで、トラブル発生時にも原因を特定しやすくなります。
監査ログがあれば不正競争防止法などの刑事事件や損害賠償の民事訴訟での証拠になります。また、監査ログの存在を従業員に事前に周知しておくだけでも、抑止力にもつながるでしょう。
3. セキュリティソフトの導入
テレワークのセキュリティ対策において、セキュリティソフトの導入は必須です。会社支給端末・私用端末にかかわらず、セキュリティソフトを導入することで、セキュリティリスクは大きく軽減できます。しかし、セキュリティソフトには様々な種類があるため、自社に必要な機能を明確にして選ぶ必要があります。
アンチウィルスソフトやPC監視ソフト、侵入検知ソフトなどがあります。
また、脆弱なOSやアプリケーションはサーバー攻撃の対象となりやすいため、常に最新の状態を維持することを心掛けましょう。
4. クラウドストレージの導入
テレワークのファイル共有として、クラウドストレージの導入がおすすめです。クラウドストレージは、ファイルを管理するためにオンライン上に作られたサーバーです。アップロードされたデータは、社内や自宅・外出先など場所を問わず閲覧・編集できます。iPhone, iPad, Androidスマートフォン、Androidタブレットに対応したものもあります。
また、クラウドストレージにはサービス事業者独自の様々な機能があります。セキュリティ対策は、各サービス事業者が力を入れている機能の1つです。端末認証や二要素認証などの機能があるクラウドストレージを導入すれば、テレワークにおけるリスクは大きく軽減できます。
株式会社アイビスのクラウドストレージ ibisStorage (アイビスストレージ) は、ゼロトラストセキュリティに対応した「端末認証」をはじめ、監査ログなどの高度なセキュリティ対策が必要なテレワークにもおすすめです。
テレワークのトラブル事例
ここまでで、テレワークにおけるセキュリティリスクやその対策について解説しました。ここでは、実際に起きたテレワークのトラブルを紹介します。トラブルの原因や対策法も解説していくので、ぜひ参考にしてください。
- 情報のレベル分けに関するトラブル事例
- マルウェア感染に関するトラブル事例
- アップデートに関するトラブル事例
ディスプレイの覗き見に関するトラブル事例
【テレワークでファイルにアクセスできるようにしていたところ、従業員が外出先でテレワーク中に顧客の秘密情報が表示された状態で作業画面を放置してしまい、秘密情報が盗み見され、ネット上の匿名掲示板に書き込まれてしまったことで、顧客から取引停止を申し渡された。】
上記のトラブル事例の大きな原因は、喫茶店やコワーキングスペースなど他人がいる空間で、顧客情報という最高度の機密情報を取り扱っていることに対する、従業員の意識の低さも原因の1つとなりました。
このトラブルを防ぐためには、ディスプレイに覗き見防止フィルターをつけ、また席を離れる時は画面ロックをする必要があります。
定期的なセキュリティ試験を実施して従業員のセキュリティレベルを上げる必要があります。
マルウェア感染に関するトラブル事例
【社内で普段使っているノートパソコンを社外に持ち出しテレワークを行っていた。業務上必要な情報収集をおこなうため、海外のウェブサイト(情報のまとめサイト)を閲覧したところ、そのサイトを通じてパソコンがランサムウェアに感染し機密情報が暗号化され身代金要求をされた】
上記のトラブル事例は、安全性が確保されていない海外のウェブサイトを使用したことが原因で発生しました。ウェブサイトの中には、閲覧するだけでマルウェアやランサムウェアをインストールさせるものがあります。
こういった悪質なウェブサイトが原因となるトラブルを防ぐには、アンチウィルスソフトの導入がおすすめです。セキュリティソフトによって、マルウェアやランサムウェアのような悪質なソフトウェアを検知・駆除するなどの効果が期待できます。
またファイルサーバーやクラウドストレージのファイルではファイルの更新履歴がバックアップとして残るシステムを利用していれば感染前や暗号化前のファイルを取り出すこともできます。
アップデートに関するトラブル事例
【専用の PC を使用して、年に数回程度テレワークを実施していた。久しぶりにパソコンを開いてみると、OS やインストールしているアプリケーションがアップデートされていなかったが、急いでいたのでそのままテレワークを行い、インターネット検索をしながら調査資料の作成を行った。そのときは異常を感じなかったが、次回その PC を起動すると、「この PC はウイルスに感染しています。除去用の製品購入が必要です」という偽セキュリティ対策ソフトウェアの広告がしつこく表示されるようになり、作業効率が大幅に低下してしまった。 】
上記のトラブル事例は、使用頻度の低いパソコンの脆弱性を理解していなかったことが原因となります。年に数回しか使用しないパソコンは、最新の状態を維持していないことがほとんどです。期間の空いたアップデートは時間がかかるため、後回しにしたくなりますが、OSやアプリケーションの脆弱性はサーバー攻撃やウイルス感染のリスクが一気に高まります。
こういったアップデートに関するトラブルを防ぐためには、定期的なアップデートでOSやアプリケーションを最新の状態に保つことが重要です。年に数回しか使用しないパソコンでも、電源を入れて動作を確認するなど、定期的なメンテナンスを行いましょう。
またPC監視ソフトをインストールしておくことで管理者がOSやアプリケーションのバージョンを指定することもできます。
セキュリティ対策なら ibisStorage
この記事では、テレワークにおけるセキュリティについて解説しました。
セキュリティ対策が十分でないネットワークから社内のデータにアクセスするテレワークは、サーバー攻撃や情報漏洩などのリスクが発生します。安全なテレワークを行うためには、セキュリティソフトやクラウドストレージの導入をおすすめします。
株式会社アイビスが提供する ibisStorage (アイビスストレージ) は、ゼロトラストセキュリティに対応した端末認証をはじめ、高精度なセキュリティ対策を実現するクラウドストレージです。
クラウドストレージの導入を検討している方や、テレワークのセキュリティリスクに不安がある方は、一度導入の検討をおすすめします。
ibisStorage はフリープランや無料トライアルがありますので一度試してみると良いでしょう。
