テレワーク(在宅勤務)のリスク?!企業が見落としがちなセキュリティの落とし穴

テレワーク(在宅勤務)のリスク?!企業が見落としがちなセキュリティの落とし穴
テレワークは働き方の多様性を認め、従業員を働きやすくする勤務形態として非常に重要な施策です。また新型コロナウイルスの拡大予防策として、テレワークの導入を進めた企業も多く、今後の働き方の手段の1つとして、テレワークは受け入れが進むことが予想されます。

しかしテレワークでの勤務は、オフィスのサイバーセキュリティの環境とは異なり、自宅やカフェといった社外から社内サーバにアクセスしますので、情報漏えいや端末のウイルス感染といったリスクが発生します。情報漏えいやウイルス感染は、業務に大きな影響を与えるだけでなく、企業の社会的信頼の喪失にも繋がる可能性がある為、テレワーク時のセキュリティ対策が急速に求められているのが現状です。

そこで本記事では、テレワークの正しいセキュリティ対策を理解するために、考えられるリスクや企業の対策方法をご紹介します。

【テレワーク】何から準備したらいいの?無料相談・見積もりはこちら
 
266

テレワークで気にするセキュリティ

新型コロナウイルスの影響もあり、急遽テレワークの導入が決まった企業では、セキュリティ問題に対し不安に感じますよね。こちらでは、テレワークを導入することで生まれるセキュリティ問題について解説します。
 

情報漏えい

「情報漏えい」とは、機密情報や個人情報など企業が保有している重要データが、外部に漏れてしまうことを示します。情報漏えいの原因は大きく「人的ミス」と「不正アクセス」の2つに分けられます。人的ミスの例としては「紛失・盗難」「誤送信」「管理ミス」などがあげられます。JNSA(日本ネットワークセキュリティ協会)の調査によると、人的ミスによる情報漏えいは、全体の情報漏えいの原因の6割を超え、不正アクセスが2割弱なことを考えると、人的ミスの対策がいかに重要かが見て取れます。

「不正アクセス」とは、情報のアクセス権を持っていない外部の第三者が不正な手段でサーバーやパソコンに侵入し、データを盗む行為を言います。不正に取得したIDやパスワードを使って、なりすましをしたり、ソフトウェアの脆弱性を悪用して侵入したり、あるいはコンピュータウイルスに感染させることで情報を取得したりと、その手法はさまざまです。
 

ウィルス感染

情報漏えいの二大要因の1つ「不正アクセス」には、コンピューターウイルスが含まれます。コンピューターウイルスとは、第三者のコンピューターに侵入し、プログラムやデータに被害を及ぼすために開発されたプログラムのことです。最近では、組織内のネットワークを介して、ファイルサーバやWebサーバに感染するタイプのウイルスが増加しています。たった1台のパソコンがウイルスに感染しただけで、組織内のパソコンに被害が拡大する可能性があるため、情報管理担当者にかかる責任はとても大きいものです。
 

端末紛失・盗難

JNSA(日本ネットワークセキュリティ協会)の調査によると、紛失・盗難による情報漏えいは、全被害報告数443件中116件(26.2%)を占め、最も多い結果となっています。
例えば、電車にノートパソコンが入っている鞄を置き忘れたり、カフェで席を外した途端に盗難されたりといったことが起こる危険性があります。

ノートパソコンのHDDやSSDには機密情報が格納されていることが多く、漏えいすると社会的信頼が落ちてしまうかもしれません。またWebブラウザには、さまざまなWebサイトへのログイン情報が記録されていることも多いため、盗難されれば社内ネットワークへのログインが容易になってしまう危険があります。
 

不正侵入・踏み台

「不正侵入(不正アクセス)」とは、本来アクセス権限を持たない者が、サーバや情報システムの内部へ侵入を行う行為です。その結果、サーバや情報システムが停止してしまったり、機密情報が漏えいしてしまったりと、企業や組織の業務やブランド・イメージなどに大きな影響を及ぼします。 インターネットは世界中とつながっているため、不正アクセスは世界中のどこからでも行われる可能性があります。

「踏み台」とは、第三者が正規の利用者のコンピュータやサーバを乗っ取り、サイバー攻撃や迷惑メールの発信源に利用すること。また、その状態のコンピュータやサーバのこと示します。不正ログインによって、正規の利用者のアカウントやネットワークを攻撃者が操作できるようにした上で、犯罪行為をする手口で、近年発生件数が増加している被害でもあります。
踏み台にされると、知らない間に攻撃者の一員として利用されるため、攻撃の発信源の隠ぺいとして有効です。この手口によって誤認逮捕された事例もあり、非常に悪質な手口です。

情報漏えいの注意ポイント


情報漏えいは、ウイルス感染よりも、人的ミスによって引き起こされる可能性が高いことが示されています。こちらでは、情報漏えいの注意するべきポイントを解説していきます。

関連記事:テレワーク導入に必要なツール・注意点もチェック!
 

紛失・盗難の注意ポイント

情報漏えいが起こる原因の第1位(26.2%)は、パソコンなどの端末の「紛失・盗難」によって引き起こされています。会社のノートパソコンなどの端末を紛失した時、本体が悪用されることを避けなければなりませんが、それ以上に、データを盗まれてしまうことが危険です。社内サーバにアクセスするためのIDやパスワードが、パソコン上に記憶されていれば、いとも簡単に不正侵入に繋がってしまうでしょう。紛失・盗難時に遠隔操作で、端末ロックやデータ消去ができる情報漏えい対策を検討しましょう。
 

誤操作の注意ポイント

情報漏えいの原因、第2位は「誤操作」により引き起こされています。メールに関する誤操作でいえば、メールの宛先を間違えて送信をしてしまう、送付先を違う相手に送り情報が漏えいしてしまう、添付書類のミスなどにより不特定多数のユーザーに情報が送信されしまう、といったケースが発覚しています。従業員への指導はもちろん、業務フローの見直しと、誤送付対策のツールの導入を検討しましょう。
 

管理ミスの注意ポイント

情報漏えいの原因、第3位は「管理ミス」によるものです。管理ミスとは、情報管理のルールがあるにもかかわらず、それを守ることができなかったというケースや、もしくは管理ルール自体の不備も考えられます。例えば、オフィスの移転後に個人情報の行方がわからなくなってしまったり、受け取ったはずの個人情報を紛失してしまったりする場合などです。ルールの周知だけでなく、なぜルールを決めることが必要であり、自分にとって重要なのかを、従業員に理解してもらう必要があります。

ウィルス感染の注意ポイント


情報漏えいの二大要因の1つである「ウイルス感染」は、目に見えない存在である分、対策がおろそかになりがちです。しかし、対策を怠ったばかりに不正アクセスを許してしまったり、機密情報の閲覧・取得・改ざんが行なわれたりなど企業へのダメージは図り知れません。ここではウイルス感染の注意ポイントを解説します。
 

不正サイトへのアクセスやマルウェアの感染

テレワークを実施する上で、通信手段を使うことは避けられません。しかし、インターネット上には悪意のあるソフトウェア(=マルウェア)が多く存在しているため、不正サイトにアクセスすることでウイルス感染する恐れがあります。ウイルスに感染すると、パソコン内のデータが外部に流出したり、パソコン自体の操作ができなくなってしまったり、大きな損害が生じます。
 

外部からのネットワーク盗聴

第三者によるデータ盗聴のリスクも考慮しなければいけません。カフェやコワーキングスペースの無料WiFiなどは暗号化されていないケースがおおく、簡単にウイルスをばらまくことが出来ます。社外で仕事をする場合は、できるだけ自宅や専用のブースなど、周囲に第三者のいない環境で仕事をするように従業員へ周知しましょう。

総務省・警視庁のテレワークセキュリティガイドライン

総務省の「テレワークセキュリティガイドライン 第3版」では、情報資産を守るためには、「ルール」・「人」・「技術」の3つの観点から総合的なセキュリティ対策を実施する重要性が指摘されています。この3つのセキュリティの内、1つでも低いところがあれば、そこが全体のセキュリティレベルになると言われており、他の対策をいくら強化しても全体のセキュリティレベルの向上にはつながりません。下記URLでは、総合的なセキュリティの向上の仕方や、セキュリティ管理者や従業員への意識づけの方法が書かれているため、ぜひ参考にしてください。

また警視庁では、急遽テレワークをすることになった企業に向けた「テレワーク勤務のサイバーセキュリティ対策」を講じています。パソコン端末の取扱い方はもちろん、カフェやコワーキングスペースの公衆無線LANへの注意、テレワークで使用したパソコンをオフィスで使う前のポイントをまとめています。PDF資料もダウンロードできるため、従業員への注意喚起としても有効です。

テレワーク時のセキュリティ対策

テレワークでの業務は便利なものですが、常にリスクとも隣り合わせであることは確かです。企業はこうしたテレワーク時の情報漏洩やウイルス感染に対して、どのような対策をとればよいのでしょうか?
 

人的ミスによる情報漏えいへの対策


紛失や盗難、誤操作、管理ミスといった人的ミスが引きおこされるには3つの原因が考えられます。

・守るべきルールを知らなかった
・ルールを守るつもりだったが、実践できなかった
・はじめからルールを守るつもりがなかった

人的ミスを完全に防ぐことは難しいかもしれません。しかし、セキュリティに関するルールをしっかりと構築し、確実に守るようにすれば、人的ミスによる情報漏洩を限りなく減らすことはできます。
 

ルールを周知する

ルールを策定しても、従業員がルールを知らなければ効果がありません。人的ミスによる情報漏えいを防ぐには、まず情報の取り扱いについて、ルールを周知させるための教育が必要です。そして決められたルールが形骸化しないように、定期的にルールが守られているかチェックすることも重要となります。研修時には、なぜルールが必要なのかを理解しておらずセキュリティに対する認識が低い従業員もいるため、情報漏えいは会社全体の存続に関わる重大な問題に発展する可能性があることを理解してもらいましょう。
 

ルールを守りやすい環境を整備する

ルールを守ろうとしても、ルール通りに業務を行うことができないケースがあります。その場合、業務環境自体に問題があるかもしれません。例えば、「従業員同士で顧客情報をメールなどでやり取りしない」というルールがあったとしても、業務伝達に顧客情報の共有が必要であれば、ルールを破ってしまう可能性があります。その場合には顧客に統一番号を割り振り、統一番号で顧客情報を管理するようになれば、顧客情報を守りつつ業務をスムーズに進行できるようになります。このように現場の声を反映させたルール作りも必要となります。
 

ウィルス感染対策

システム管理者が行う事の出来るウイルスの感染対策には、以下の4つの対策があります。

・フィルタリングを用いて、危険なサイトにアクセスしないように設定する
・パソコンなどの端末にアプリケーションをインストールする際は申請させる
・ウイルス対策ソフトをインストールし、最新の定義ファイルが適用させる
・パスワードが脆弱なものは、変更もしくは使用しないよう周知する

パソコン等の情報セキュリティ対策(ウイルス定義ファイル更新やアップデート適用等)は、従業員一人一人に任せると実施漏れが起こる場合があります。そのため、情報セキュリティ管理者やシステム管理者等の指示のもとで、一斉実施することが求められます。また、自動的に最新のファイルに適用されるような設定ができる製品を選択すると便利です。

テレワークでは自宅やカフェ、コワーキングスペースを使用して業務を行う従業員もいます。家で仕事を行う場合は、家のWi-Fiルータの初期パスワードのまま使用しない。家以外の場であれば、公衆無線LANのパスワードが「なし」、もしくは「公開されている」ものは使わないなど、セキュリティの低いままインターネットにつなげないことが重要です。従業員の場合、セキュリティへの意識が薄れている場合がある為、管理者からの通達をすることが有効となります。

「UTM」で利用者による内部からの情報漏洩対策が可能!
 
201

端末の紛失・盗難の対策

情報漏えいの原因として最も多い端末の紛失・盗難対策には3つの策が挙げられます。従業員1人1人の意識づけだけでは端末の紛失・盗難を0にすることは困難なため、システム管理者での対応が必須となります。

・台帳等を整備し、貸与するテレワーク端末の所在や利用者等を管理する
・デバイスやデータにパスワードやロックや暗号化をかける
・盗難防止グッズを利用する
 

端末管理

テレワーク端末を貸し出す場合は、あらかじめ許可を受けた従業員以外が利用することのないよう、適切な貸し出し管理を行う必要があります。端末が今どこにあるか、状況がわかるような台帳等を整備するとよいでしょう。
 

デバイスやデータにパスワードやロックや暗号化をかける

パソコンなどの端末にパスワードをかけることはもちろん、パソコン本体内にデータを保存するときは、暗号化をしましょう。パスワードや暗号化はサイトごとに変えたほうがいいが、利用するサイトが多くなるとパスワードのたらい回しが起こりかえってリスクが高まります。端末利用者本人であることの認証がとれるようにログインシステムに「二要素認証」などを取り入れましょう。

二要素認証でセキュリティ向上!二段階認証との違いや導入事例まで詳しく解説


盗難防止グッズ

盗難防止グッズとは「対象物が今どこにあるかを、GPSで教えてくれるグッズ」を示します。万が一盗難が起きてしまったときに、アプリ上で対象物が今どこにあるのかをリアルタイムで表示させることが出来ます。ノートパソコンなどの端末の貸し出しと合わせて、盗難防止グッズを検討されてはいかがでしょうか。
不正侵入・踏み台の対処
外部からの不正侵入や、踏み台と呼ばれる外部の第三者に乗っ取られ、不正アクセスの中継地点や迷惑メールの発信源などに利用されないためには、以下の6つの対応策があげられます。

・社外から社内システムへアクセスするための利用者認証について、基準を明確に定め、適正に管理・運用する。
・パスワードに有効期限を設け、従業員にパスワードを適宜変更させるようにする。
・不審なメールを迷惑メールとして分類されるよう設定する。

社内システムにアクセスするための利用者認証情報(パスワード、ICカード等)が、社外に漏えいすると、第三者がなりすまして重要情報にアクセスするなど、多くの重要情報が危険にさらされます。したがって、テレワーク従業員からの社内システムにアクセスするための利用者認証について、技術的基準を明確に定め、適正に管理・運用する必要があります。例えば、端末にワンタイムパスワードを設けて、認証にする情報を保存しないようにするなど、適切な保護措置を講じましょう。

なお、社内システムがウイルスに感染すると、多数のテレワーク端末も感染し、社会全体に大きな影響を与えてしまう可能性があります。防止策は技術的にも運用的にも困難を伴いますが、「早期発見・早期対応」と「検知・制御」を考慮した対策を行う必要があります。

 テレワーク導入は専門家にアドバイスをもらって進める

テレワークは時間や場所にとらわれないメリットの多い働き方ですが、社員や事業に危害を及ぼさないようにするためにも、テレワークの導入・運用の際は決してセキュリティ対策を怠ってはなりません。しかし、何から導入したらいいのかや、もしもを考え、テレワーク実施に不安があると考えている企業も少なくないでしょう。テレワークの導入で不安がある方は「テレワーク相談センター」へ相談するのがおすすめです。

テレワーク相談センター
https://www.tw-sodan.jp/index.html
営業時間 09:00~17:00 土日祝除く
電話  0120-916-479

「テレワーク相談センター」では、テレワーク導入にかかる情報提供・相談サービス等をワンストップで実施しています。テレワーク推進に関わる助成金の情報も公開していますので、安全にテレワークを進めたいと考えていたり、コストをかけたくないと考えている企業の方は活用してみてください。

【見積もり無料】テレワークを導入を最短サポート
266

まとめ

テレワークは従業員にとって、自由な働き方や生産性の向上など、多くのメリットをもたらします。一方で、柔軟な働き方にはリスクがあることも忘れてはいけません。不十分な管理体制や不注意でセキュリティが危うくなる可能性を理解し、対策をした上でテレワーク制度を導入・利用することが必要です。テレワークの導入・運営で不安なことがあれば専門家へ相談し、よりよいテレワーク環境の構築を目指しましょう。

関連タグ