2024.05.30 テレワークで行うべきセキュリティ対策とは?過去のトラブル事例も紹介
コロナ禍以降、浸透したテレワーク。メリットは多いですが、サイバー攻撃や不正アクセスによるリスクには厳重な注意が必要です。万が一情報漏えいが起きると、莫大な損害賠償が発生するだけでなく、社会的信用低下による長期的な顧客離れにつながります。
大袈裟かもしれませんが、日々の業務には様々なリスクが存在しています。
今回は、テレワークにおけるセキュリティ対策の必要性と起こり得るトラブルの事例、必須のセキュリティ対策について解説します。
テレワークでセキュリティ対策が必要な理由
総務省が行った「テレワークセキュリティに関する実態調査(2022年度)」の結果では、テレワーク導入にあたって課題となった点について「セキュリティの確保」が52%と全体の回答のトップとなりました。
テレワーク実施時の通信回線は、オフィスの強固なサイバーセキュリティ環境とは異なります。つまり、テレワークはセキュリティ対策を徹底しておかなければ、予期せぬトラブルに発展する可能性があるのです。
では何の対策が必要であるのかご紹介します。
- コンピューターウイルスの感染防止
- 情報漏えいの防止
- 紛失や盗難防止
コンピューターウィルスの感染防止
テレワークでは、外部パソコンから社内ネットワークシステムにアクセスします。そのため、セキュリティ対策が万全でない状態では、マルウェア(コンピューターウィルス)に感染するリスクが高まります。
最近では、マルウェア感染に気づかないといったケースも増えています。そのまま放置しておくと、社内ネットワークから他のパソコンを攻撃して悪影響を及ぼすため大変危険です。
テレワークで使用するパソコンやタブレット、スマートフォンは、テレワーク専用のセキュリティ対策が施されたものを導入しましょう。
情報漏えいの防止
テレワークでセキュリティ対策を怠ると、情報漏えいに発展する可能性があります。たとえば、サイバー攻撃を受けると、顧客名・ID・パスワードなどの機密情報が流出してしまいます。これにより、企業の社会的な信用が失われてしまう事態になりかねません。
トラブルの規模が大きい場合は、損害賠償請求を受けるリスクも。信用低下により取引先企業とのビジネス機会が減少し、企業存続の危機に直面する可能性もあります。
こうしたことからも、テレワークのセキュリティ対策は必須です。
紛失や盗難防止
テレワークは、自宅に限らずカフェやコワーキングスペースなどで作業をする場合もあります。その移動中などで、パソコンの盗難・紛失が起こる可能性は十分にありえます。
例えば、盗難・紛失に備えて、持ち運ぶ必要のない機密情報・個人情報は機器本体に保存しておかないことや、容易に認証されにくいログインパスワードを設定すること、ハードディスクを暗号化して利用すること、遠隔から機器を操作して保存されている情報を消去できるようにしておくことなどが、セキュリティ対策として挙げられます。
テレワークにおけるセキュリティリスクと被害事例
テレワークで起こりうるセキュリティリスクにはどのようなものがあるのでしょうか。
総務省の「テレワークセキュリティガイドライン」を元に、実際に起こった被害の事例を紹介します。
- デバイスの紛失や盗難
- 通信環境によるセキュリティリスク
- フィッシング・標的型メール
デバイスの紛失や盗難
とある教育機関で児童や関係者延べ3000人以上の氏名や住所、電話番号等を含む個人情報を記録したUSBメモリを外部に持ち出し、紛失する事故が発生しました(2020年6月)。紛失や盗難被害にあったデバイスからの情報漏えいにより、関係先への二次被害を生み出す危険性があるとわかります。
通信環境によるセキュリティリスク
VPN機器のIDやパスワードが世界中から流出する事件が発生し、日本でも40社近くの企業に対して不正アクセスが行われました(2020年8月)。
VPN機器は、自宅から会社のネットワークに接続できるため、業務効率を高められるメリットがあります。しかしながら、被害の事例ではVPN機器の脆弱性が指摘されており、セキュリティの強化が求められます。
フィッシング・標的型メール
フリーメールに添付されたファイルを開封し、PC1台がマルウェアに感染する事件が発生し、氏名やメールアドレスを含む個人情報1万件以上が漏えいしました(2020年5月)。
マルウェア検知システムの導入をしていたものの、メールに添付されたファイルに仕込まれたマルウェアが新種のため、検知が遅れて起こった事例です。フリーメールなど、企業が業務で利用する正規アプリケーション以外のものをテレワーク端末上で利用している場合に、マルウェア感染のリスクが高まることもあります。
テレワークにおける基本的なセキュリティ対策
セキュリティ対策の前提は、技術的・物理的・人的のバランスが取れた対策を実施し、全体的なセキュリティレベルの向上を図ることにあります。
このセクションでは、テレワークにおける基本的なセキュリティ対策を確認しましょう。
ルールの策定・周知
会社が許可していないアプリケーションを利用しないこと、OSやウイルス対策ソフトが常に最新か確認してから作業を行うこと、知らない相手からの添付ファイルは開かないことなどの社内ルールを策定し、社内に周知します。
従業員を対象としたITリテラシー教育・啓蒙活動
社員のITリテラシーの欠如はビジネスへの弊害を生むものです。ITリテラシーを高めることにで情報セキュリティの強化につながるため、情報漏洩、改ざん、詐称などの不祥事を未然に防ぐことにもつながります。一人ひとりがリスクを認識しルールを徹底することがセキュリティ対策の一歩であることを共通理解として持つようにしましょう。研修も従業員の入社タイミングだけではなく、定期的に実施するようにしましょう。
セキュリティソフトの導入
テレワークで使うパソコンやタブレットにセキュリティソフトを導入することは必須で対応したいところ。ウィルスチェックなどの基本的な機能はもちろんのこと、現在はより広範囲に対応するセキュリティソフトも販売されています。マルウェア感染を防止するアンチウイルス機能や、Webフィルタリング、ネットワークの保護などの機能が搭載され、多方面から端末を保護するものもあるので、自社のセキュリティレベルに応じて選びましょう。
パスワード管理の徹底、多要素認証の導入
誕生日や名前、電話番号や社員番号といった容易に推測できるパスワードや、同じパスワードを使い回すことは危険です。パスワード設定時のルールを策定したりパスワードマネージャーを利用するなどしましょう。またIDやパスワード以外にも、指紋認証やワンタイムコードなど、複数の認証ステップを経る多要素認証の導入も、安全性を高める策として効果的です。
OSやアプリケーションを最新版にアップデート
「ルールの策定・周知」でも述べたように、使っている端末のOSやアプリケーションを最新版へアップデートすることもセキュリティ対策の基本です。脆弱性を狙った攻撃からのリスクを低減させることにもつながるため、漏れなく定期的に行うことを社内に周知しましょう。
クラウドサービスの利用
情報資産をクラウドサービスに預ける動きが一般的になりつつあります。インターネット回線を利用する点ではリスクを有しているため、自社が利用するクラウドサービス事業者が以下のような対策をしっかり取っているかを確認した上で導入を検討しましょう。
- データセンターの物理的な情報セキュリティ対策(災害対策や侵入対策など)
- データのバックアップ
- ハードウェア機器の障害対策
- 仮想サーバなどのホスト側のOS、ソフトウェア、アプリケーションにおける脆弱性(ぜいじゃくせい)の判定と対策
- 不正アクセスの防止
- アクセスログの管理
- 通信の暗号化の有無
ここまで基本的なセキュリティ対策をご紹介しましたが、これはあくまで一例です。扱っている情報の種類やテレワークの実施範囲、情報セキュリティ対策の方針などにより、企業や組織ごとに必要な対策は異なります。テレワークの導入やセキュリティ対策の専門家に相談しながら、自社に合う対策を取っていきましょう。
まとめ|中小企業のセキュリティ対策なら「近藤商会」にお任せください。
今回は、テレワークにおけるセキュリティ対策について解説しました。テレワークの浸透で、企業の外部からネットワークに接続する機会が増え、サイバー攻撃を受けるリスクも高まっています。企業側で規則を設けるなど対策を講じることも必要です。
近藤商会では、IT活用において新たに発生するセキュリティリスクや、外部環境の変化で発生したセキュリティリスクにも自組織で対応できるサイクルを構築するご支援をいたします。
まずはお気軽にご相談ください。
▼セキュリティ対策のご相談はこちら
https://www.kond.co.jp/contact/inquiry/
▼近藤商会のセキュリティ対策はこちら
https://www.kond.co.jp/security_measures/