「情報セキュリティ10大脅威」とはIPAが毎年、前年に発生した社会的に影響が大きかったと考えられる情報セキュリティ事案から10大脅威を選出してまとめたものです。

そんな情報セキュリティ10大脅威が今年も発表されました。そこで、10大脅威を全10回に分けて一つずつご紹介していきたいと思います。10大脅威には「個人編」と「組織編」があるのですが、今回は「組織編」がテーマです。

第3位　テレワーク等のニューノーマルな働き方を狙った攻撃

概要

この1年でテレワークが急激に普及しました。
急遽のテレワーク対応を行うために、私物PCや自宅ネットワークの利用を許可したり、これまで利用していなかったツールを導入した組織も多いでしょう。
この脅威は、そういったテレワークの普及とともに新たに発生したセキュリティの弱点を狙った攻撃のことを指します。

例えば以下のようなものが該当します。

• 業務環境やネットワークなどの脆弱性を狙った不正アクセス
• ウェブ会議の覗き見（zoom爆弾などと呼ばれる行為が代表的）
• テレワーク用PCへのウイルス感染

以下で、具体的な攻撃手口についてご紹介します。

1.　テレワーク用ソフトウェアの脆弱性の悪用

テレワークに対応するためにネットワークにVPNなどを導入した組織もあるのではないでしょうか。
そういったテレワークのための製品の脆弱性を悪用して、不正アクセスや情報の盗聴などを行う行為です。
また、Web会議ツールの脆弱性を狙った不正アクセスなども該当します。

2.　急なテレワーク移行による管理体制の不備

急遽テレワークに対応する必要が出たことによって、セキュリティルールの整備やセキュリティ対策の実施などが追い付いてない組織も多いのではないでしょうか。
そういった対策までの穴をついてくる攻撃も多くあります。

3.　私物 PCや自宅ネットワークの利用

普段デスクトップ型のパソコンなどを利用していた企業などでは、そのままではテレワークが実施できないことから、私物PCの利用などを認めたケースもあるのではないでしょうか。
私物PCの場合、組織が管理することが難しく、また、公私にわたって利用が行われます。
その結果として、PCがウイルス感染したり、不正アクセスされてしまうリスクが高まる可能性があります。

対策

１.　情報セキュリティ体制の整備

まずは、テレワーク時に守ってもらうべきセキュリティルールを組織として明確化することが大切です。
とくに、会社PCと私物PCぞれぞれで守るべきルールなどもしっかりと切り分けて準備することが望ましいです。
また、インシデント時の報告体制の整備なども大切です。

2.　テレワーク時のセキュリティ対策の強化

PCローカルにデータを保管しないシンクライアントシステムやクラウドストレージの利用、VPNの構築など組織としてできるセキュリティ対策を導入することも大切です。
費用や自社の抱えるリスクなども考慮しながら検討しましょう。

3.　情報セキュリティ教育

ルールは整備するだけでは意味がありません。また、テレワークのインシデントは従業者の意識の低さにより招かれることも多いです。
そこで、ルールや情報セキュリティの大切さなどについて教育を実施して従業者の情報セキュリティリテラシーをしっかりと高めておきましょう。

まとめ

今回は、「情報セキュリティ10大脅威（組織編）」の第3位をご紹介しました。

コロナ禍により、新しく生まれた脅威ではありますが、コロナ禍に関係なくテレワークという働き方は今後より一般化することが予想されます。同時にこの脅威に対応していくことも求められます。

組織として脅威を把握したうえで、仕組みをしっかりと整備し、従業者のリテラシーなども高めていくことで対応していきましょう。

次回は、「第2位　標的型攻撃による機密情報の窃取」をご紹介します。