テレワークのセキュリティ課題対策とポイントを解説

この記事は約9分で読めます。

昨今の働き方改革に加え、新型コロナウイルス感染症の影響により、出社が前提の働き方からテレワークを中心とした働き方へ変わって来ました。

ただ、社内制度面や情報システム面での対策が十分に行えていない状態のまま、テレワークを実施している企業が多いのも事実です。

テレワークを導入するにあたり、組織内での連絡体制の整備、人事評価制度や労務管理制度などを変更する必要がありますし、業務に使用する端末のセキュリティ、私物端末の使用を許可するか、ウイルス対策などのリスクについて検討しルール化しておく必要があります。

今回はテレワーク(リモートワーク)セキュリティについて詳しく解説していきます。

テレワーク(リモートワーク)時にセキュリティ事故が起きる原因

テレワーク時においてセキュリティ事故が起きる原因は以下のようなものがございます。

不特定多数の人が行き交う場所での作業

社外で業務を行う際、カフェや公共の場所での作業を行う場面は多くあると思います。
こういった不特定多数の人が行き交う場所での作業では、画面の覗き見や電話の内容を盗み聞きされ情報漏えいにつながるといったリスクが考えられます。

また、新幹線や電車での移動中に、スマートフォンやタブレット端末で、業務で使用する資料やメール、チャットの確認を行うときにも周りから画面が覗き見られることのリスクはあります。クラウドサービスの普及によりどこでも作業を行えるようになってきましたが、作業を行う環境には注意が必要です。

端末の紛失

今までは社内でしか使用しなかったPCや書類をリモートワークのために持ち帰る機会が増えることにより、紛失や置き忘れ、盗難といったリスクが高くなります。

特にUSBなどの外部記憶媒体を自宅に持ち帰る際は、極力持ち帰らないよう業務の方法を工夫したり、自宅の中でも管理場所を決めておくなど紛失に留意する必要があります。

個人端末からの不正アクセスやウイルス感染、マルウェア感染

サイバー攻撃の被害にあい、不正アクセス、ウイルス感染による情報漏えい事故を引き起こしてしまうことが多発しております。
ウイルス感染の手口として、「標的型攻撃」が挙げられます。

IPAが公表している「情報セキュリティ10大脅威 2020」において、組織向けの脅威として1位に「標的型攻撃による機密情報の窃取」が取り上げられています。

「標的型攻撃」とは、特定組織の機密情報の窃取を目的として、PCをウイルスに感染させ、組織内に潜入することです。メールの添付ファイルやリンクを開かせることによってウイルスを感染させる手口や、webサイトを改ざんしそこへアクセスするとウイするへ感染するようにすることがあります。

日ごろから怪しいメールは開かないようにするといった対策が必要になります。

セキュリティ対策不足のネットワーク利用(家庭やカフェなど)

リモートワークにおいては、社外のネットワークを利用することになります。
ただ、カフェなどの公共Wi-Fiなどのセキュリティ対策が不十分なインタ-ネット回線を利用していると盗聴や改ざんのリスクが発生します。

アプリやソフトウェアの更新不足

情報を窃取、サービスを不正利用しようとする犯罪者などには、アプリやソフトウェアの脆弱性を狙われることになります。

脆弱性対策として、OS、ソフトウェアの更新を行い最新化にアップデートしている状態を保つことが重要です。

前途のウイルス感染の対策として、ウイルス対策ソフトの導入が考えられますが、導入されている場合は、自動更新の設定を行い最新化することによりより効果的なものとなります。

ご自分のOS、ソフトウェアが最新に更新されているか確認してみてください。

実際に起きたテレワーク(リモートワーク)時のセキュリティ事故

ここではテレワーク(リモートワーク)時のセキュリティ事故の事例を紹介します。

マルウェア「Emotet」に感染し、個人情報等の流出

所属する従業員が使用するPC端末がマルウェア「Emotet」に感染、同社の従業員を装い社内外へ不審メールが送付するというセキュリティ事故が多くの企業で公表されています。

感染した端末から社内外へ送られる不審メールには、暗号化されたZIP形式のマルウェアファイルが添付されており、それを開くことにより「Emotet」の感染を広げていくことになります。

不審なメールからさらなる被害の拡大が予想されるため、受信された方へ添付ファイルの開封を行わないことを呼び掛けています。

「Emotet」については、下記をご参考ください。

VPNのユーザーIDなどがインターネット上で公開

ある会社では、VPN装置を利用していた社員およびVPN装置の管理用のユーザーIDとパスワードがインターネット上で、2週間限定でダウンロードできるようになっていたというセキュリティ事故がありました。

緊急事態宣言によるリモートワークへの対応のために急ぎ対応したため、脆弱性が存在している古いVPN装置を利用していたことが原因でした。

テレワーク(リモートワーク)導入のための具体的なセキュリティ対策

ここまでで事故の原因を事例を交え紹介してきました。
ここからは具体的なセキュリティ対策の方法を紹介していきます。

組織的セキュリティ対策

組織として実行できるセキュリティ対策としては以下のようなものが挙げられます。

1. リモートワークを前提としたルールの策定

出社が前提のルールから、リモートワーク前提のルールに変更していく必要があります。

策定するルールとしては以下が挙げられます。

  • 会社として取り扱う情報資産について、その重要度に応じてレベル分けを行い、社外での利用可否、可の場合の取扱いの方法を定める
  • テレワークの実施や私物端末利用の申請フローの設定を行う
  • セキュリティ事故発生時に迅速な対応が可能になるよう緊急連絡先の設定、周知

2. セキュリティ教育の実施

リモートワークを実施するにあたり、情報の取扱いについて従業員が意識すべきことなどを再周知を行います。

今まで集合研修で行っていた企業も多いと思われますが、web会議ツールを使用した研修、eラーニングを使用するなど教育の方法にも変更が必要です。

3. 情報セキュリティ状況の把握

リモートワークで各従業員が別の場所で業務を行うからこそ、ルールが適切に守られているかを確認することも重要です。

方法としては、社内アンケートを行い従業員がセルフチェックを行う、セキュリティ担当者が抜き打ちで従業員とのweb会議を実施しチェックするなどがあります。

技術的セキュリティ対策

セキュリティソフトの導入、データの暗号化、VDIの導入、ネットワークの整備、多要素認証など技術的に解決できることについて紹介する

技術的に解決できる対策としては以下のようなものが挙げられます。

1. ソフトウェアなどの管理

  • ソフトウェアの利用可否を会社として、システム担当者などが判断し、セキュリティ上の安全性に不安のあるソフトウェアを業務利用しないよう対策を行うことができる
  • 脆弱性対策として、OS、ソフトウェアは最新にアップデートを実施するよう周知する
  • 業務利用する端末には必ずウイルス対策ソフトをインストールし最新の定義ファイルが適用されているようにしておく

2. 私物端末の利用

リモートワークを実施中のみ私物端末を利用しているという会社もあると思われます。

その場合は、システム担当者への許可制を行い、端末の管理を行えるようにしましょう。OSの更新状況などの確認を行う必要があります。

3. ネットワーク

自宅で無線LANへ接続する場合は、脆弱性対策が講じられているかを確認しましょう。カフェなどの公共Wi-Fiを使用しません。

システム担当者は、社外から社内システムへアクセスするための基準を明確に定め、適正に管理、運用していくことで不正アクセスなどのリスク対策となります。

また、社内システムへのアクセスログの取得などを行い不正アクセスなアクセスがないかを監視します。

物理的セキュリティ対策

リモートワークによって、取扱う場所が変わり、利用や管理の際に気を付けるべきことが変わることもございます。以下のような対策が挙げられます。

1. 紙媒体の取扱い

まず、紙媒体について、リモートワーク時に紙媒体を持ち帰る場合は、社外から持ち出す際に許可制にするや、紛失に留意しカフェや公共の場では利用しないことなどが挙げられます。また、廃棄方法についてもゴミからの漏えいも考えられるのでルールとして定めておくことが必要です。

2. PCの利用

PC持ち出しのルールも、紙媒体と同様に、管理者の許可の下持ち出しを行うようにするべきとなります。

自宅でPCを使用し業務を行う場合、同居人がいる環境であれば、同居人も第三者に当たるのでweb会議を行うときにはイヤホンをつけるようにする、一時離席するときは画面ロック、スクリーンセーバーを設定するなどし同居人が会社の情報を知ってしまうことが無いように気を付ける必要がああります。

テレワーク(リモートワーク)のセキュリティ対策を実施する際のポイント/注意点

対策をするのは重要ですが、意味のあるものでなければいけません。そのためには3つのことを抑える必要があります。こちらについて紹介していきます。

総合的に対策をする

上記3つ対策について例を挙げていきました。
ただ、あくまで一つの方法であるので、会社ごとの状況(設備面、リモートワーク実施比率など)に合わせて、対策を実施していくことが重要になります。

定期的な見直しや改修なども行う

導入時に、ルールの策定や設備投資を行ったとしても、セキュリティ対策が完璧ということはありません。
世の中の情勢や会社の状況によってセキュリティリスクを考慮し、ルールの見直しを行って行く必要があります。

テレワーク(リモートワーク)下でのセキュリティ事故発生時の対応法

対策を万全にしていたとしても、どこかでセキュリティ事故が発生する可能性はあります。むしろ昨今のサイバーテロの巧妙さはすごいことになっています。
こういった場合、対策と同様に重要なことは実際にセキュリティ事故を起こしたときの対応/初動です。こちらについて紹介していきます。

すぐに情報セキュリティ担当者へ報告をする

各担当者は、セキュリティ事故の発生を確認した場合、すぐに上長や情報セキュリティ担当者へ報告を行います。組織としては、すぐに連携が取れるような連絡手段を決めておく必要があります。

電話で直接セキュリティ担当者へ行うよう連絡先の伝達、チャットツールでセキュリティ事故発生の報告用ルームを作成することなども考えられます。

情報セキュリティ担当者を中心に各担当者と連携して対処する

情報セキュリティ担当者は、報告を受け代表者への伝達を行ったもとで、セキュリティ事故を発生させた部署や情報システム担当者と連携し影響を最大限抑えるための処置を行います。

必要に応じて外部への報告を行う

情報セキュリティ事故の外部への影響度を踏まえ、本人、個人情報保護委員会、取引先への連絡、webサイトなどでの公表を行い、二次被害が起きないようにします。

まとめ

リモートワークにはまだまだセキュリティの課題があります。リモートワークにおいても、安全に情報を取扱い業務を行うためのルール・体制を作ってい事が重要になります。

セキュリティ対策をする 組織体制の構築
LRM株式会社 画像
この記事を書いた人
ISMSやPマーク取得支援・情報セキュリティツールの導入支援を行っている情報セキュリティコンサルティング会社。また、情報セキュリティ特化eラーニングサービス「Seculio」の運営しています。
セキュマガ | LRM株式会社が発信する情報セキュリティの専門マガジン
タイトルとURLをコピーしました