テレワークに潜むセキュリティリスクについて解説します。社員にテレワークをさせる場合にどのような安全上の懸念点があるのか、解決する方法や注意事項と併せて紹介します。セキュリティに対する意識を高めましょう。
テレワークにおけるセキュリティリスクとは?
テレワークを推進する企業は、コロナ禍をきっかけに急増しました。テレワークを活用する上で考えなければならないのがセキュリティリスクです。
テレワークにどのようなリスクが潜んでいるのでしょうか。具体的に解説します。
機密情報が社外に漏れる
テレワークでは、社員は自宅やサテライトオフィスなどで仕事をするために社内の情報や仕事の資料を社外に持ち出すことになります。
社員が自宅で扱うネットワーク回線のセキュリティレベルについて、企業側が全て把握するのは困難であり、どうしても第三者に盗み見られてしまうリスクは高くなります。自宅以外の公衆無線LANやFree Wi-Fiの場合、漏えいリスクはさらに高まります。
データを社外へ持ち出す際にUSBメモリや会社や組織で許可していない、無償のオンラインストレージ等のツールを使う場合にも、資料や顧客情報が社外に漏れる可能性は、社内ネットワークを使うよりも高くなってしまうでしょう。
また、テレワークで使用するクラウドツールのアカウント乗っ取り被害にあうと、自身が扱う情報の漏洩のみならず、成りすましにより同僚や取引先を巻き込んだインシデントに発展する恐れもあります。
マルウェアやウイルスに感染する
社内パソコンであれば、アクセスするサイトにも制限が掛けられますし、社内のパソコンがアクセスしたサイトのログを監視することもできます。しかし、テレワークにおいて社員が仕事用に使うパソコンで社内環境と同様にはできません。
また、社員によってセキュリティ対策もまちまちでしょう。このような要因から、マルウェアやウイルスに感染する可能性が、社内で作業をするよりも高まります。
マルウェアやウイルスに感染すると、データの外部流出や破壊といった事態を引き起こします。
パソコンを紛失する・盗まれる
自宅ではなく、レンタルオフィスやカフェなどで仕事をする社員もいます。そのような場合、仕事で扱うデータの入ったパソコン、外へ持ち出さなくてはなりません。
パソコン本体や仕事用の資料が入ったUSBメモリ、外付けハードディスクなどを紛失する・盗難に遭うといった可能性が高まります。
そうした状況に陥った場合、基本は社員の自己申告となります。対策が遅れて、機密漏えいなどの重大なリスクを負う可能性が会社としては常につきまとうのです。
テレワークで想定されるセキュリティ問題
テレワーク上で想定されるセキュリティ問題についても見ていきましょう。Web会議やパソコンの持ち出しにより、下記のような被害に遭う可能性があります。
Web会議中に情報漏えいする
Web会議中に関わりのない第三者が侵入してきて、会議を荒らす、資料を盗み見るといった被害が実際に起きています。会議のURLを知っていれば簡単にアクセスできるというWeb会議ツールの手軽さが悪い方に働いてしまったケースです。
近年のWeb会議ツールには、ファイル共有機能が搭載されているものもあり、第三者がアクセスしてしまうと簡単に資料がダウンロードできてしまうことがあります。セキュリティの甘いWeb会議ツールの使用やセキュリティ制限機能を使っていない場合、このような被害に遭うことがあります。
サイバー攻撃の被害に遭う
コロナ禍によりテレワークが急増し業務上でWebサービスの利用が増えていることも背景に、大企業のみならず、中小企業でもサイバー攻撃に遭ったという被害報告の事例が増えています。ログイン画面にIDとパスワードを繰り返し入力して不正アクセスを試みる「総当たり攻撃」と呼ばれるサイバー攻撃や、昔からあるウイルスを侵入させて暗号化したデータを人質として、解除するために身代金を要求するランサムウェアの被害が増えているのです。
また、ウイルスの感染だけではなく、クラウドサービスの運営会社を装い、指定のURLからの再ログインを促すようなメールが届くことがあります。偽サイトに入力したIDとパスワードを傍受し、本人のアカウントからアクセスできる情報はもちろん、本人に成りすまして、同僚や取引先にメールでの情報開示を依頼するようなケースも想定されます。
このようなケースでは、最悪の場合、サイバー攻撃に遭ったパソコンから会社のデータベースまでたどられ、会社の重要機密情報が流出したり、データベースを破壊されるといった甚大な被害につながりかねません。
公共の場所への機材置き忘れ
パソコンやタブレットなどの端末を電車やバスなどの公共交通機関に忘れてしまうといったトラブルは以前からありましたが、テレワークによって会社の端末を社員に貸し出している企業にとってこの問題は深刻な被害を伴ってしまう可能性があります。
交番や駅に届けられているケースなら良いのですが、中には悪意ある人物により、中のデータを閲覧されてしまう可能性もあります。
機材置き忘れの被害を防ぐには持ち出さないことが最上ですが、テレワークを行うとなるとそういうわけにもいきません。
テレワークのためにパソコンやタブレット、その他の機材を持ち出す場合にどのように置き忘れを防止するかあ、各企業にとって課題と言えるでしょう。
企業側で行うセキュリティ対策
テレワークに伴う情報漏えいやサイバー攻撃の被害を防ぐために、企業側はどのような対策を講じるべきなのでしょうか。多くの企業が行っている代表的な対策について解説します。
ルールや規定を作成する
有効な対策の一つとしては、セキュリティに関するルールを策定することです。これは、総務省の「テレワークセキュリティガイドライン」にも定められています。
業務を進めるにあたり、その都度セキュリティが安全かどうかを判断するのは効率的とは言えません。あらかじめ以下を例としたルールを定めておき、社員に対し、情報漏洩や端末の紛失等のインシデント発生時の対応フローと情報セキュリティに関する継続的な教育の実施をすることで安全にテレワークを行うことが可能です。
- 端末や機材の持ち運びについて、社員が守るべきこと
- 資料や情報をどのように扱うか
- IDやパスワード設定の徹底
といったことをあらかじめ社内のルールとして設けておきましょう。
セキュリティ対策をしているツールの導入
情報を扱う社員一人一人の使う端末のセキュリティ基準が異なっている状態は、セキュリティが健全とは言えません。セキュリティレベルの低い端末から情報が漏れやすくなっているためです。
セキュリティ基準を設ける際には、最低ラインの引き上げを行う必要があります。
そのためにできるのは、セキュリティソフトの導入です。特に、自動でアップデートされるツールを選定しましょう。ウイルスやスパイウェアは常に進化しているため、アップデートがないソフトではセキュリティに不安が残ります。
社内情報を扱う端末にはセキュリティ対策ツールの導入を徹底しましょう。
また、前述のクラウドサービスのアカウント乗っ取りを防止するために、ワンタイプパスワードを用いた多要素認証機能を持つツールを選択するのもよいでしょう。
ポケットWi-Fiを配布する
カフェや空港などのFree Wi-Fiスポットは、アクセスできることを優先していて、安全度が低い傾向にあります。中には、悪質なハッカーがデータの盗聴を目的に鍵を掛けていないネットワークを公開していることもあるので注意が必要です。
公衆スポットで利用するWi-Fiは、安全性が確保できていないことを注意しなければなりません。
こうした問題を防ぐために、社員にポケットWi-Fiを配布するのも有効でしょう。セキュリティの高いWi-Fiなら通信を盗聴される心配も少なく、社員も安心して使うことができます。
社員が気を付けるべきポイント
社員一人一人がテレワークの際に注意すべきポイントを紹介します。テレワークを行う社員に対し注意を促しましょう。
のぞき見には十分配慮する
カフェや公共の場でテレワークを行う場合、のぞき見に対しては十分な配慮を行いましょう。のぞき見によって会社の資料、パスワードなどが知られてしまい、被害を出してしまうことが考えられます。
実際に、海外ではトレーダーが取引をしている様子を同業者にのぞき見られてしまい、巨額の損失を出してしまったという案件も発生しています。
のぞき見は痕跡が残りづらく、被害が発覚したときに要因を特定しにくいため警戒が薄れがちですが、十分配慮する必要があると言えるでしょう。
不審な人物が周囲にいないか注意する、背後から見えにくい位置に座る、またはプライバシーフィルターの利用などを推奨することが求められます。
パスワード管理の徹底
パソコンやスマホをどこかに置き忘れたり紛失したりした場合に、パスワード管理の不徹底さによって情報が漏れることがあります。使い回しのパスワードは使用させない、誕生日などの単純なパスワードにしないことを社員に徹底しましょう。
二段階認証や生体認証に対応したツールの使用や、パスワード管理ツールを使って、パスワードが漏えいしないよう守ることが重要です。
パソコンは最新のバージョンにしよう
パソコンのアップデート情報の中には、脆弱性の改善などセキュリティに関するものも含まれています。
サイバー攻撃の中には、パソコンのOSの脆弱性を突くものも多くありますので、パソコンは必ず最新のバージョンにしておきましょう。
既にサポートが終わっている旧式のOSは、新しいウイルス情報やセキュリティ対策どがアップデートされませんので要注意です。
セキュリティ対策におすすめのツール紹介
情報漏洩を防ぐセキュリティ対策のために、導入を検討しておきたいセキュアなネットワークとファイル共有のツールを紹介します。
『VPN』専用回線を引こう
VPNとは「Virtual Private Network(バーチャルプライベートネットワーク)」の略で、仮想プライベートネットワークのことです。
通常のネットワーク回線の中に暗号化により専用の回線網を仮想的に作り、その中で情報のやりとりを行います。そのため、通常の通信と比較してもセキュリティレベルが高くなっているのが特徴です。
VPNのサービスを提供している事業者は多くありますので、セキュリティに強く、利便性の高いサービスを選ぶようにしましょう。
セキュリティ強化された『ファイル共有ツール』を使う
ファイル共有ツールは、資料やデータの保存のためには欠かせません。直接ファイルの受け渡しが難しいテレワークの環境下では重要度は増します。
ファイル共有ツールを利用する上で注意したいのがセキュリティです。ツールによってはセキュリティ対策が十分ではない、トラブル発生時にサポートを受けられないものも存在しますので、企業として使う場合は無料サービスを避け、法人用に提供されているツールでかつセキュリティ対策がしっかりしたものを選定する必要があります。
セキュリティ対策のしっかり施されたファイル共有ツールは、通信データの暗号化やウイルス対策、ダウンロード制限、アクセスログの管理やIPアドレスの制限などをしっかり行っていますので、こうしたセキュリティに強いツールを選ぶようにしましょう。
まとめ
テレワークを推進する環境化においては、企業にとって重要な資料やデータの管理・運用が社員個人によるところが大きくなっています。情報漏えいや紛失を防ぐために、社内マニュアルの作成や社員へのセキュリティ教育をしっかり行う必要があります。
セキュリティに強いツールを使うことも重要です。社員一人一人の意識改革はもちろんですが、人は間違いをするものという前提で、うっかりミスやミスを誘発する狡猾な悪意の攻撃を受けた場合にも、被害を事前に防げる仕組みがあるかを確認しましょう。セキュリティリスクに対応するためには、システム担当による、環境整備やツール選択をはじめ、全社を巻き込んだ、セキュリティ強化に関する取り組みを並行して行っていきましょう。