2020年初旬からの新型コロナウイルス拡散防止策として、政府・企業が一気に在宅勤務を推進しました。オフィス内での勤務に比べ、在宅勤務では社外から社内ネットワークへのアクセス回数が増えることから、セキュリティ上のリスクが高まります。この記事では在宅勤務におけるセキュリティ問題とその対策について解説します。
「在宅勤務」で生じるセキュリティの問題
企業が在宅勤務を採用すると、社外から社内ネットワークへのアクセス回数が急激に増加します。
すなわち、不正アクセスなどのサイバー攻撃を受けるリスクも高まることになり、万が一、攻撃にさらされた場合、企業は情報漏えいなどの被害を受ける可能性もあります。
JNSA(日本ネットワークセキュリティ協会)の「情報セキュリティインシデントに関する調査結果」によると、企業が情報漏えい事件を発生させてしまった場合、事件一件当たりの想定損害賠償額は6億3,767万円ほどになるといいます。
警視庁によると、2020年3月以降、在宅勤務中の社員を狙ったと見られるフィッシングメールが多数確認されるようになったとして、注意喚起もされています。在宅勤務ではオフィス内での環境とは異なり、外部から社内ネットワークへアクセスするため、必然的にマルウェア(ウイルス)への感染リスクが高まるのです。
デバイスやデータの紛失の問題
前述JNSAの同調査によると、情報漏えいの原因としては主に、不正アクセス(20.3%)・誤操作による漏えい(23.9%)が挙げられます。これらは在宅勤務とは無関係に発生しうる原因ですが、意外にも紛失・置き忘れによる漏えいが26.2%で、情報漏えい原因の第一位です。
仮に、在宅勤務中の社員がデバイスや重要データを紛失したことで情報漏えい事件が発生した場合、社員の勤務場所が社外であっても、管理不足として企業側の責任が問われます。メールの送信前に添付ファイルは必ず暗号化する・ログインパスワードは1ヶ月ごとに変更するなど、明確なルールを設けておく必要があります。
機密情報の盗み見などにおける問題
在宅勤務中、社員は原則自宅での勤務が推奨されている場合が多いですが、自宅だけではなくカフェや移動中の電車内で仕事をすることもあります。
単純な方法のように思われますが、パスワードなどの情報を入力中に背後から近づき、内容を盗み見る手口でパスワードや重要情報が漏えいしてしまう事例も発生しています。これは肩越しに覗くことから、ショルダーハッキングと呼ばれています。
前述のJNSA同調査によると、1回の情報漏えい事件で、外部に漏れた個人情報は平均1万3,334人分にもなり、その被害や賠償金額の大きさは計り知れません。
全社員に対し、PCやモバイル端末の画面に覗き見防止用の保護フィルムを貼ることを義務付けるなどの対策が必要です
脆弱なWi-Fi利用におけるウイルス感染の問題
在宅勤務では、社員が社内ネットワークにアクセスする場所が限定されないため、脆弱なWi-Fiを利用してしまうケースがあります。
特に、カフェや駅構内といった公共の場所に設置されているフリーWi-Fiには注意が必要です。
悪意のある第三者が設置したWi-Fiスポットや、セキュリティに不備のあるネットワークに接続してしまうと、ウイルスに感染したり、通信内容を傍受されるリスクが高まります。脆弱なWi-Fi利用の問題に対しては、きちんとセキュリティ対策を施した自社専用のWi-Fiを契約し、仕事の際は各社員にそれだけを利用させるといった対策も必要でしょう。
管理者が社員に行うべきセキュリティ対策とは
総務省が発行した「テレワークセキュリティガイドライン」によると、セキュリティ管理者によるセキュリティ対策は、大きく「ルール」・「人」・「技術」の3つのポイントに分けて実施すべきとしています。
ルールを策定する
在宅勤務中に行う作業の一つ一つが安全かを判断していたのでは、効率が悪すぎます。事前に在宅勤務を安全に行うためのルールを策定しマニュアル化しておけば、従業員のセキュリティに対する意識にもつながります。
在宅勤務とオフィス内勤務では環境が異なるため、安全に作業するためのルールも異なります。オフィス内勤務時に使用するルールがすでにある場合でも、在宅勤務をきっかけにきちんと社内で見直すことが必要です。
社員教育の徹底
在宅勤務中の作業ルールを策定したとしても、「人(社員)」がそれを守らなければ意味がありません。ルールを定着させるには、社員や関係者の教育をきちんと事前に行い、ルールを守ることの重要性を認識させる必要があります。在宅勤務を始める前には必ずそういったコミュニケーションを図るようにしましょう。
技術的なセキュリティ対策
「ルール」や「人」では対応できない部分は、技術的対策での補完が必要です。厚生労働省の「テレワークの導入・運用ガイドブック」によると、在宅勤務の導入・運用に関してはきちんとした対策が必要だと紹介しています。代表的なものとしては、VPN(自社の専用線)で社内ネットワークにアクセスすることです。VPNとは「Virtual Private Network」の略語で、インターネット上に仮想的な専用線を設けることで、安全な経路を介した、データのやりとりが可能です。VPNを使用することで、データの盗聴や改ざんといった情報漏えいを防ぐことができます。
在宅勤務を安全に行う5つのセキュリティ対策
安全に在宅勤務を導入するために、企業側で行うべきセキュリティ対策にはどのようなものがあるでしょうか。
自宅パソコンにアンチウィルスソフトをインストール
日本サイバー犯罪対策センターでは、確認された不正メールの内容を展開して注意喚起を促しています。
例えば、次は、2020年3月に日本サイバー犯罪対策センターが公開した不正メールの内容です。
【件名】12月、原価請求書です。
【添付ファイル】原価請求書です000000.doc
【本文】いつもお世話になっております。
~中略~
12月度分のご請求書を添付致しましたので
お手数おかけいたしますがご確認をお願い致します。
メールの添付ファイルは、docファイルを装ったバンキングマルウェアのダウンローダーです。
「12月の原価請求書です」などと言われたら、送信元とされる人物に馴染みがなかったとしても添付ファイルを開けてしまう人も多いことでしょう。
アンチウィルスソフトは、万が一、このような不正な添付ファイルをダウンロードしてしまった場合でも検知して削除します。
管理者は、アンチウィルスソフトの定義ファイルを常に最新に更新する作業を怠らないよう、社員に注意喚起しなければなりません。
アクセス制限
社内のイントラネットや管理システムなどへのアクセス権限を限定し、制限をかける方法です。
- リモート環境からはアクセスできないようにする
- 多要素認証を導入する
- 社内システムとインターネットの出入り口にファイアウォールを設置する
- 社内システム用のパスワードには低強度のものは使用できないようにする
例えば、これらのような対策を講じて、簡単には社内の情報資産にアクセスできないようにします。
アクセス制限をかけることで、不正アクセスやなりすましへの対策になりますが、同時に社員が業務で社内システムにアクセスする際の利便性も損なうため、どの程度の制限をかけるかはよく検討する必要があります。
VPN接続環境の構築
前述したとおり、リモートから社内システムへのアクセスが必要な在宅勤務では、欠かせない環境の1つがVPNです。VPNを利用することで、物理的な制約を受けずに疑似的にLANを構築できる、IPアドレスを知られずにインターネットを利用できるなどといったメリットがあります。また専用線より低コストで専用線に近いセキュリティが確保できたり無料Wi-Fiなどの回線を暗号化して利用できたりするのも魅力です。
HDD/ファイルの暗号化
在宅勤務では、モバイルPCやデバイスの紛失・置き忘れという人為的ミスが発生するリスクが高まります。万が一、モバイルPCを紛失・盗難した場合に備えて、重要なファイルは暗号化するよう徹底しましょう。
ただ、ファイル単位だと暗号化を忘れることも多いため、PC内蔵のHDD全体を暗号化しておくことも有効です。
データの遠隔消去機能
モバイル機器を紛失しないアプローチではなく、紛失や盗難にあったらデータを遠隔で消去して、情報を守るというアプローチのサービスもあります。
また遠隔からデータを消去するだけではなく、モバイル機器の位置情報を確認できたり、タイマーを設定してオフライン状態でもデータを消去できたりするものもあります。
重要なデータを保存してあるモバイル機器にはこのようなソフトウェアをインストールしておくと万全です。
テレワーク導入に検討すべきセキュリティツール
続いては、企業が在宅勤務を採用するときに、導入を検討すべきセキュリティツールを紹介します。
リモートアクセスツール
リモートアクセスツールは、内部ネットワーク上のPCから社外にある端末に接続し、社外の端末を遠隔操作するためのツールです。
在宅勤務中にPCが故障した場合に、IT管理者がリモートアクセスで故障したPCに接続し、不具合を修正するといった使い方ができます。
リモートアクセスには様々な方法があります。例えば、遠隔地にあるPCのデスクトップを自分のPCに表示し、自分のPCから操作できるようにする「リモートデスクトップ方式」や、社内のサーバ上に仮想デスクトップ基盤(VDI)を構築し、外部のPCから遠隔ログインして利用する「仮想デスクトップ方式」などがあります。こちらを検討するのもよいでしょう。
統合脅威管理ツール
UTM(Unified Threat Management)とも呼ばれる統合脅威管理ツールの設置も効果的です。統合脅威管理ツールは、ファイアウォール機能やアンチウイルス機能など複数のセキュリティ機能を統合したツールです。インターネットと内部ネットワークの入り口に物理的な機器を設置するアプライアンス型とクラウド型があります。
IT資産管理ツール
業務に必要なIT資産には、PCや周辺機器などのハードウェアやアプリケーション・セキュリティツールなどのソフトウェアなどがあります。また、それらの各ライセンスもIT資産に含まれます。
このような様々なIT資産の管理やアップデート実施の有無、使用状況の調査などを集中的に管理するのがIT資産管理ツールです。
IT資産を一括で管理できるため、万が一、PCが不正利用された場合に即座に利用停止措置をするといったことも可能になります。
初心者必見!仮想デスクトップ(VDI)とは?7つの特徴で基礎を理解する
まとめ
在宅勤務では、オフィス内勤務に比べ社内の情報資産へのアクセスポイントが増加することから、セキュリティ上のリスクが高まります。
社員教育など人的な面での対応はもちろん、ツールの導入など技術面での対策を同時に行い、しっかり社内の情報資産を守りながら業務効率を下げない勤務を目指すとよいでしょう。
