テレワークという勤務スタイルは、時間や場所に依存することなく、インターネットさえつながれば仕事ができる環境を可能にしました。しかし、その一方、セキュリティ面で多くのリスクを伴います。VPNサーバーの脆弱(ぜいじゃく)性を狙った攻撃、対面で業務をしていないことにつけ込んだなりすまし電話、チャットボットによる遠隔操作など、巧妙な攻撃が年々増加しつつあります。このような実情を鑑みて、テレワークにおけるセキュリティリスクについて再度認識し、対策を行うことの重要性について述べていきます。
2023.06.14
基礎知識
テレワークのセキュリティは万全?取り入れたい対策を紹介
テレワークの普及
日本テレワーク協会によると、「在宅勤務」「モバイルワーク」「サテライト/コワーキング」「ワーケーション」の4つのスタイルがテレワークに該当するとされています※1。
総務省が実施した「テレワークセキュリティに関する実態調査(R3年度)」※2では、2021年12月10日から2022年1月14日までの期間に、従業員が10名以上の企業を対象としてテレワークの実施状況(全回答数8,264)を調査していますが、その21.6%がコロナ対策のためにテレワーク導入をしたと回答しています。以前からテレワークを導入していた6.4%と合わせると、合計28.0%もの企業、すなわち3割弱がテレワークを導入しているという結果となりました。さらに、コロナ対策のためにテレワークを導入したと回答した企業のうち、76.6%が今後もテレワークを活用する予定であると回答しています。
コロナ禍が落ち着いた今でも、通勤時間の短縮、働き方改革、働きやすい職場の実現の一環から、テレワークで働く人が多数いる状況です。
このように、コロナ禍をきっかけとしてテレワークが急速に広がったものの、多くの企業ではセキュリティ対策が追いついていないという問題を抱えています。テレワークにおけるセキュリティリスクについて、いま一度考える必要があると言えるでしょう。
※1 一般社団法人日本テレワーク協会|テレワークとは(2023年5月12日)
※2 総務省|テレワークセキュリティに関する実態調査(R3年度)(2023年6月12日)
テレワークのセキュリティ対策の重要性
自宅で仕事をするテレワークの実施にあたっては、情報漏えい防止、ネットワーク環境のセキュリティ対策を考慮する必要が出てきます。
テレワーク実施に伴うセキュリティリスク
テレワークで生じるセキュリティリスクとしては、以下のような事項が考えられます。
モバイル端末等の紛失・盗難のリスク
ノートパソコン(PC)を含めたモバイル端末およびストレージの紛失や盗難は、情報漏えいの要因になりがちです。特に、USBメモリーといった持ち運びが容易で小型のストレージは、重要なデータの保存に使用されるケースが多く、深刻な情報漏えいにつながる可能性があります。このようなモバイル端末およびストレージの紛失、盗難によるデータ流出を防ぐため、取り扱いに関する社内ルールの設定が必要になります。暗号化を必ず行うようにする、といった取り決めも求められるでしょう。
シャドーITのリスク
シャドーITとは、企業の管理対象外である端末やサービスを業務に利用することを指します。シャドーITは、企業の情報システム部が実体を把握していない活動です。そのため、社内LAN環境への接続、業務データへのアクセスといった点で、ウイルス感染その他のセキュリティリスクが危惧されます。
シャドーITについての詳細は以下の記事で解説しています。
シャドーITとは何か?シャドーITのリスク、対応策を詳しく解説
脆弱な通信環境を利用することによるリスク
自宅の通信環境が脆弱な場合は、ウイルス感染へのリスクが発生します。テレワークを導入する際は、無線LANルーターのセキュリティ対策を適切に行うことが大切です。また、公衆Wi-Fiは適切なセキュリティ対策が行われていないことが多いため、リスクが大きいと言えます。
働く環境に起因するリスク
居間やダイニングルームなどで仕事をしている場合は、家族が機密情報を目にしてしまう、また家族がSNSにアップロードした写真に、業務で利用しているPCの画面が写ってしまう、といったことが起こり得ます。そのため、個室で業務を行うといった適切な対策を講じる必要があります。
リモートデスクトップへの不正アクセスのリスク
リモートデスクトップとは、他者がインターネット経由でPCにアクセスし、操作することを許可するものです。
手口としては、情報システム部を装い、PCの不具合を確認するといった口実でアクセス許可を求めてくる、などがあります。テレワークで働いているため、本当に情報システム部かどうかを疑わず、ついつい許可ボタンを押してしまったといった例も見られます。もし不信なポップアップが表示された場合は、拒否するのがベターです。
Web会議招待メールに潜むセキュリティリスク
Web会議システムとは、インターネット回線を経由したWeb会議を可能にするシステムのことです。コロナ禍以降増加したWeb会議を利用し、偽Web会議招待メールを送るという手口が確認されています。「会議はすでに開始時間を過ぎています」といった、考える時間を与えずに参加を促すようなメッセージが表示されるため、ついつい参加するというボタンを押してしまいます。
このWebサイト招待リンクは、フィッシングサイトへの誘導URLになっており、サイトへアクセスすると、マルウェアに感染するような仕掛けがされています。
テレワークのセキュリティ対策の具体例
テレワークを実施するうえでのセキュリティ対策としては、以下のような方法が考えられます。
暗号化技術の活用
暗号化による保護がされていない、個人情報をトラッキングするような公衆Wi-Fiの使用を社内ポリシーで禁止します。自宅のWi-Fiルーターの設定については、業務用通信と家庭用通信を分けるポートの設定、Wi-Fiルーターのファームウェアのアップデートなどが推奨されます。通信の暗号化規格はWPA2、WPA3にし、脆弱性のあるWEP※3は使用しないといった施策が有効です。
※3 WEP(Wired Equivalent Privacy)とは、無線LAN(Wi-Fi)の通信を暗号化する方式の一つ。Wi-Fi暗号化の最初の標準として広まったが、現在では十分な安全性が確保できなくなっている。
プロキシサーバーの導入
プロキシサーバーを導入することで、従業員が社外からアクセスする場合でもインターネットを経由することによる脅威から守ることができます。セキュアWebゲートウェイなどは、プロキシサーバーとして動作しながら、デバイスがアクセスするデータをチェックし、不正なWebサイトへのアクセスをブロックし、情報漏えいを防ぐ機能を有しています。
サーバー証明書の確認
フィッシングサイト自体もSSLに対応したものが増えています。しかし、SSL証明書にもいくつかの認証レベルがあり、Domain Validationのみの場合は、Webサイト運営者の実在性審査がされないので注意が必要です。ほとんどのフィッシングサイトは、このDomain Validationのみだとされます。
SSL証明書には、このほかに実際に会社組織の存在を確認して発行するOrganization Validation、組織の存在をさらに厳格に審査するExtended Validationの2種類があります。Webサイトの安全性を確認する際は、サーバー証明書に組織の所在地が記載されているかどうかを確認すると確実です。
多要素認証の導入
多要素認証とは、IDやパスワードのほかに、ワンタイムパスワードや生体認証などを組み合わせた認証方法のことです。多数の方法を組み合わせることにより不正アクセスを防ぎ、安全性を高められます。ポリシーは都度変更し、よりセキュリティを厳しくすることが求められます。
OSやアプリケーション、Webブラウザの最新版へのアップデート
使用しているデバイスのOSやアプリケーション、およびWebブラウザは、必ず最新版にしておきましょう。古い状態のままだと、セキュリティホールを狙った攻撃を受けるリスクが伴います
クラウドサービスの活用
クラウドサービスはベンダーがアップデートを担い、常に脆弱性に対してアップデートを行っていることにより、高いセキュリティレベルが保たれています。クラウドの利用を監視し、許可されていない利用を遮断する、CASB(クラウドアクセスセキュリティブローカー)を導入すれば、よりセキュリティを強化できます。
CASBについては以下の記事をご覧ください。
そのクラウドサービスは安全ですか? Netskope CASBとは
ストレージの暗号化
ストレージを暗号化しておくことでデータの読み出しが不可になるため、モバイル端末の紛失や盗難による情報漏えいのリスクの対策になります。
適切なセキュリティ対策をするには
テレワークのセキュリティ対策上で大切なことは、社内のルールを定め社員に周知することです。しかし、自宅での勤務時はシステム管理者や上司の目が行き届きにくいため、システムによるサポート体制を整えておくことも重要です。
セキュリティ対策強化をご検討の方は、DRSにご相談ください。
