新型コロナウイルスの影響でテレワークの利用が広がる中、組織がとるべき情報漏えい対策も変化しています。オフィスで業務を行うときとは違ったリスクが存在します。
本稿では、テレワーク時における情報漏えいの原因や実際の事例、テレワーク時の情報漏えい対策を紹介します。
弊社では、テレワークを実施する際に知っておきたい9つのセキュリティ対策をまとめた資料を無料でご用意しております。ぜひ本記事と併せてご活用ください!
テレワーク時の情報漏洩の原因
外的要因
外的要因の一例として以下が考えられます。
外的要因 | 影響例 |
---|---|
コンピュータウイルス感染 |
|
端末の盗難 |
|
不正アクセス |
|
標的型攻撃 ※ある対象に絞った悪意をもった攻撃 |
|
基本的に情報漏洩の外的要因としては、悪意をもった攻撃者による情報漏洩が考えられます。巧妙な手口を使いウイルスを感染させ、ID/パスワードを抜き取ることで不正アクセスし、機密情報を漏洩させるという流れや、マルウェアによって外部に情報を流出させるような不正プログラムを実施させるなどがあります。
また、上記で述べたようなウイルス感染や不正アクセスをされてしまう要因として、標的型攻撃が存在します。一般公開されているWebサイトに訪問した人に対してウイルスを感染させるのではなく、攻撃対象を絞ってウイルス付きのメールを送付する攻撃などが標的型攻撃です。
内部要因
内部要因の一例として以下が考えられます。
内部要因 | 影響例 |
---|---|
端末の紛失 |
|
危険なネットワークへのアクセス |
|
身内からの情報漏洩 |
|
内部不正 |
|
ネットワーク機器の脆弱性 |
|
外部からの攻撃に対してだけ注意を払うのではなく、内部にも情報漏洩を引き起こしてしまう要因は存在します。
まずはテレワーク勤務者それぞれが重要な情報を所持しているということを認識することが大切です。テレワーク勤務者が少し気をつけるだけで紛失による情報漏洩は大きく減らすことができます。
また、身内とはいえ社内の重要情報を知られることは情報漏洩のリスクがあります。自分自身が情報漏洩に対する影響度を認識していても、身内からすれば、その情報を外部に話してもよいのかという判断ができないことがあります。
テレワークのセキュリティリスクへの9つの観点から対策をまとめた資料はこちら。
テレワーク時の情報漏洩の事例
近年、テレワークの普及による情報漏洩事件が増加しています。情報漏洩は前章で紹介した要因によって発生することが多く、その対策は要因によって様々です。
この章では、情報漏洩の事例を紹介し、その事件が発生した要因、今後同じことを繰り返さないための対策を説明します。
ウイルス感染による情報漏洩
- 内容
-
- テレワーク中の社員がSNSで知り合った第三者からウイルスが添付されたメールを受領したことがきっかけでPCがウイルス感染し、出勤時にそのPCを社内ネットワークに接続したことで、社内システムの情報が外部に漏洩した。
- 要因
-
- 業務で使用するPCで業務以外のメールを受領してしまったこと
- テレワーク環境のセキュリティ対策が社内より劣っていたこと
- 対策
-
- VPN機器へ接続しない限りインターネットに接続できない仕組みを導入し社内と同等のセキュリティ対策を適用する
- 少しでも不審に感じたメールに添付されているファイルやリンクは絶対に開かない
- テレワーク環境においても他の人に相談できる環境を作り、1人で判断しない
不正アクセスによる情報漏洩
- 内容
-
- テレワークで増大した負荷への対策として急遽、脆弱性があるVPN機器への不正アクセスにより社員の認証情報等が外部に漏洩した。
- 要因
-
- 脆弱性のあるVPN機器に接続したこと、脆弱性のあるVPN機器だと気づけなかったこと
- 容易に不正アクセスが可能な認証方法を設定していたこと
- テレワークへの移行準備を事前に十分に行えなかったこと
- 対策
-
- システムが稼働する前に、利用する機器等に関してセキュリティの検証を行う
- 多要素認証を導入し、もしID/パスワードが漏洩した場合でも容易に不正アクセスできないようにする
- 脆弱性に関する情報を収集し、対策として配布されるセキュリティパッチの適用を徹底する
USB持ち出し紛失による情報漏洩
- 内容
-
- 自宅で作業をするために、個人情報が記録されたUSBメモリを持ち出し、紛失したことにより情報を漏洩した。
- 要因
-
- 原則としてUSBメモリに個人情報を保存してはいけないルールであるにも関わらず、私物のUSBメモリに個人情報を保存していたこと
- 個人情報の取扱いに関する認識及び管理が不十分であったこと
- 対策
-
- USBには個人情報を保存してはいけないというルールを再周知し徹底させる
- 個人情報を持ち出す際のルールを明確化する
第三者による機密情報の盗み見による情報漏洩
- 内容
-
- 社外から社内システムのファイルにアクセスできるように設定していたところ、従業員が顧客の機密情報が表示された状態で作業画面を放置してしまい、秘密情報が盗み見され、情報が漏洩した。
- 要因
-
- 社外から社内ファイルサーバ内の全ての情報にアクセスできるように設定していたこと
- 顧客の機密情報をデスクトップに表示したまま離席してしまったこと
- 対策
-
- 重要情報については社外からアクセスできないように設定する
- 離席するときは必ず画面をロックするルールを策定、徹底する
テレワーク時の情報漏洩対策
「テレワーク時の情報漏洩の要因」で簡単に対策を紹介しましたが、更に踏み込んでテレワーク時の情報漏洩対策を説明したいと思います。
組織的セキュリティ対策
テレワーク環境における情報セキュリティを担保させるためには、組織的にテレワークに対する方針やルールを規定して実施することが重要になります。
自社にあった方針を1から作成することは大変にも思えますが、テレワークのセキュリティ対策はどの組織にも当てはまり得る普遍的な内容が多いです。
参考資料としては、総務省が公開している「テレワークセキュリティガイドライン 第4版[PDF]」や「中小企業等担当者向けテレワークセキュリティの手引き(チェックリスト)(初版)[PDF]」があります。
ではどのような方針やルールを決めればいいのかと言うと、2つの手順を踏みます。
1.「テレワークセキュリティガイドライン」を作成
「テレワークセキュリティガイドライン」を作成することが大切です。まずは組織として統一された基本方針や行動指針を定め、どのような体制でセキュリティに対して取り組んでいるのかを示します。
「テレワークセキュリティガイドライン」の構成は、基本方針、対策基準及び実施内容の3つからなります。これらの内容や、その組織の企業理念、経営戦略、企業規模、保有する情報資産、業種・業態等によって異なってきます。組織かつテレワーク環境に適した情報セキュリティポリシーを定める必要があります。また、これらが経営者の判断のもと発行されることによって、組織として情報セキュリティに取り組む姿勢を示すことが望ましいです。
2.実践的なセキュリティルールの決定
次に、実践的なセキュリティルールを決めていきます。
社内で業務することを前提として作成された情報セキュリティルールでは、テレワーク環境における脅威に対して対処しきれないことが多くあります。例えば、既存のセキュリティルールがPCの持出しを前提にしていないならば、テレワークには対応することができないでしょうし、もしPCを紛失したときの対処方法などが規定されていないことが考えられます。
他には、以下のようなルールを検討する必要があります。
- 紙媒体の資料の持ち出し
- テレワーク環境における作業環境やPCの保管・管理方法
- 離席時のPCの取扱い
- オフィスから持ち出すPCの管理
- アプリケーションのインストールの可否や承認手順
- クラウド使用の可否や条件
- 使用するネットワークの暗号化強度
このように、環境が変わることで新しくルールを変えなければいけないことや、既存のルールを変更しなければいけないこともあります。
また、ルールを策定するだけではなく、これらのルールを従業者が守ることができるように教育をすることも組織的対策の1つです。教育の方法は組織によって変わってきますが、手法としては、情報セキュリティに関する専用の教材を作成してテストを行うことや、集合研修のようなセミナーに参加することも実施方法の1つです。
テレワークを実施する際に知っておきたい注意点をまとめた資料を無料でご用意しております。ぜひテレワーク導入にご活用ください!
技術的セキュリティ対策
ネットワーク環境が変わることによって、テレワーク勤務者や組織がとるべき技術的対策も変わってきます。例としては以下のものが挙げられます。
アクセス制御
社内のネットワーク環境では、フィルタリング設定やIP制限等によって、従業員が危険なサイトにアクセス出来ないようにすることで、一定のセキュリティ対策は実施されていることもあります。
しかし社外ではそうはいかず、自宅やカフェ等のWi-Fiでは自由にWebサイトを閲覧できたり、アプリケーションのインストールを行うことができます。暗号化されていないWebサイトの閲覧や、提供元不明なアプリケーションのインストールはマルウェアに感染する可能性があります。よって、テレワーク環境においてもアクセス制御を行うことが重要となります。
具体的な方法としては、従業員がアクセスしてもよいWebサイトや使用可能なアプリケーションを規定したホワイトリストを作ることや、逆に利用してはいけないWebサイトやアプリケーションを規定したブラックリストを作る方法があります。
しかし、上記の対策では、従業者の意図的なアクセスに対しては防ぐことができません。従業員がルールを破って危険なアプリケーションを利用してしまい、マルウェアに感染し、情報漏洩が起こってしまう可能性もあります。
データ暗号化
テレワークを実施するために社外に端末やデータを持ち出すということは、同時にその端末を紛失してしまい、情報が漏洩するというリスクがあるということを認識しなければなりません。
情報漏洩のリスクを低減させるための技術的な対策の1つとして、データの暗号化があります。もし端末を紛失してしまったときのことを考え、第三者がその端末から情報を抜き取れなくするために、ハードディスクの暗号化や、USB等の可搬媒体に関してはパスコードロック付きの媒体に限定して利用するなどの対策が必要です。
また、テレワーク業務を行うために利用する通信経路のセキュリティの考慮も必須となってきます。通信経路が暗号化されていないWi-Fiや、ファイアウォールが設定されていないルータを利用した通信では、悪意のもった第三者からすれば簡単に情報を抜き取ることができます。
対策としては、リモートデスクトップを用いて社内データにアクセスして、テレワーク端末にデータを残さないようにする方法や、専用のWebブラウザを用いることで、テレワーク端末へのファイルダウンロードや印刷の機能を制限する方法があります。
ウイルス対策ソフトの導入
上記で述べたとおり、社内の一定のセキュリティレベルが保たれたネットワークを経由した通信ではなく、セキュアな設定がされていない自宅やカフェ経由の通信は、比較的、悪意をもった攻撃者に狙われやすい傾向にあります(標的型攻撃など)。
攻撃者によって情報漏洩される要因の1つにウイルス感染があり、近年では巧妙な手段を使ってウイルスを感染させる事案が発生しています。これらに対処するための基本的な技術的対策として、ウイルス対策ソフトの導入があります。
ただウイルス対策ソフトを導入すればいいのではなく、日々巧妙化している攻撃手段に対して適切な対処プログラム(パッチ)が提供されているか、危険なファイルや不審な侵入を発見した際に利用者にアラート通知される設定にしているかを確認することが大切です。
また、最近では従来のパッケージソフトウェア型のウイルス対策ソフトに加えて、SaaS型で提供されているウイルス対策ソフトもあります。後者の利点としては、ネットワークが利用できればどこでも利用できることや、最新のウイルス対策定義ファイルが常に配信されること、導入・運用にかかるコストを削減できることにあります。
とはいえ、クラウドサービスが自社に適していない組織もあるので、自社のポリシーにあったウイルス対策ソフトを導入することが重要です。
物理的セキュリティ対策
情報漏洩を防ぐためには、上記で述べたような技術的対策も必要不可欠ですが、物理的セキュリティ対策を欠いてしまってはヒューマンエラーなどによって意図しないインシデント発生に繋がる可能性があります。ではどのように対策を講じればよいのでしょうか。
ここでは「資産・情報の取扱い」と「物理的セキュリティ領域」について考えていきたいと思います。
資産・情報の取扱い
まずは「資産・情報の取扱い」で大切なことは、テレワークに適した資産と情報の取扱いルールを決めることです。通常のオフィスにおいて資産や情報の取扱いルールを定めている組織は多いと思います。例えば、以下のものが挙げられます。
- 重要情報が記載された紙媒体は鍵付きのキャビネットに保管する。
- 名刺はスキャンしてデータ化した後、原本はシュレッダーで破棄する。
- 一時ファイル以外の業務情報は個人PCのローカル領域に保存せず、共有フォルダで保管する。
一例として挙げた3つのルールですが、テレワーク時ではどのように実施すればよいのでしょう。自宅で作業することを前提としたとき、鍵付きキャビネットやシュレダーがない場合は当然考えられます。
また、社外で業務を行うために、社内のサーバに保管された情報を個人PCに移して持ち出さなければならない場合も考えられます。このように、今までのルールでは業務に支障があり、そのままテレワークを実施することによって、ルール違反が発生する可能性があります。上記の例で挙げたルールを守らなかった場合に発生し得る情報漏洩は、例えば以下となります。
- 限られた人がアクセスできる場所で保管しなかったことにより、機密情報が外部に漏洩する。
- 名刺の管理が煩雑になり、自宅で紛失、誤ってそのまま破棄してしまう。
- 機密情報が保管されたPCを社外で紛失してしまう。
このようなリスクを低減するために、テレワークに適した資産・情報の取扱いルールを決めることが重要です。
物理的セキュリティ領域
次に「物理的セキュリティ領域」について考えたいと思います。テレワークでは業務スペースが普段のオフィスとは異なります。
場所が異なる事によって発生するリスクとしては、紙媒体の資料の管理が煩雑になることで紛失してしまうことや、身内からの情報漏洩の危険性があります。
対策として、技術的対策と同様に、物理的にもアクセス管理を行うことが望ましいです。作業スペースは限られた人のみが出入りできるようにすることや、重要書類を保管するキャビネットを用意したりなど、第三者から容易に情報にアクセス出来ないようにする対策が重要です。
また、カフェや新幹線での移動中などで作業を行う際に対策しなければいけないことは、第三者による盗み見・盗聴・盗難防止です。
自宅内より更に情報漏洩リスクが高い外部での作業では、ネットワーク経由による情報漏洩の危険性と物理的に情報が抜きとられる危険性の両方が共存しています。前者は技術的セキュリティ対策でも述べた通りですが、後者はあらためて対策をしなければいけません。対策としては例えば以下が考えられます。
- 外部で作業するときは機密情報が記載されたファイルは開かない
- PCに覗き見防止フィルタを貼る
- PCや重要書類を置いたまま離席しない
当たり前に思えるようなことでも、従業員一人ひとりが守れることができているのかを確認することが大切です。
最後に
本稿では、テレワーク時における情報漏洩の要因から対策までを紹介しました。テレワークが世の中に普及してきた一方で、情報セキュリティ面のリスクを考慮し、テレワークを推奨していない企業や、テレワークを完全廃止した企業もあります。
様々な動きがある中、テレワークを採用する企業にとって必要なことは、テレワークの利便性と危険性の両方を認識することが大前提だと考えます。
業務を行う場所が変われば情報漏洩の発生可能性や影響度が変化します。テレワークを実施することによる危険性をしっかりと理解した上で、セキュリティルールを検討していただけたら、よりセキュリティに配慮したテレワーク環境の構築が実現できると考えます。
また、弊社では、テレワーク導入でお困りの企業様に向けて、セキュリティ構築コンサルティングを行っております。お気軽にご相談ください。