新型コロナウイルスの流行によって、リモートワークやテレワークと呼ばれる出社を必要としない勤務体制の導入が進んでいます。コストの削減や業務効率化に効果がある一方で、情報セキュリティの面では不安要素が多いのも確かです。リモートワークにおけるセキュリティ事情を解説します。
↓PCトラブルなど社内IT環境にお困りなら↓
リモートワーク拡大と実情
新型コロナウイルスの感染拡大は、企業活動にも大きな影響を与えています。感染症対策として、会社のオフィスに出勤することなく業務にあたるリモートワークを導入する企業が増加しているのです。
一方で、リモートワークの拡大に伴いセキュリティ被害も深刻化しているのが実情です。働き方のスタイルが変化する中で、状況に応じた新しいセキュリティ管理が求められています。
総務省は、企業が安心してテレワーク、リモートワークを導入・活用するための指針として、既存の内容を大きく改定した「テレワークセキュリティガイドライン第5版」を令和3年に発表しました。
リモートワークの拡大の背景と実情を解説します。
コロナをきっかけに制度導入が進む
リモートワーク制度導入拡大の要因の1つに、新型コロナウイルスの感染拡大があります。東京商工会議所が2020年に実施した「テレワークの実施状況に関する緊急アンケート」によると、テレワークの実施率は67.3%にのぼっています。
さらに、テレワーク導入企業の半数以上が、2020年4月の緊急事態宣言発令以降に新たに制度の導入を決めたと回答しました。これらの結果から分かるように、感染症対策としてリモートワークの導入が進んでいるのは間違いないようです。
参照:東京商工会議所―テレワークの実施状況に関する緊急アンケート
セキュリティ面の不安から導入を見送る企業も多数
総務省による「テレワークセキュリティに関する実態調査」では、リモートワークを導入していない企業の内15%が、導入に踏み切れない理由としてセキュリティ面の不安を挙げています。
リモートワークでは、それぞれの社員にセキュリティ管理が任される側面があるため、企業としてルールを整備・徹底しなければなりません。リモートワークを安全に行える環境整備が充分にできていないために、制度の導入を見送っている企業も多いでしょう。
約7割の企業では情報セキュリティ担当者が不在
リモートワークの導入が進む中で、セキュリティ問題への対応が急務となっています。実際に、IPAの調査結果では組織における情報セキュリティ脅威として「テレワーク等ニューノーマルな働き方を狙った攻撃」が今回初めてランクインしました。
しかし、リモートワークにまつわるリスクが高まっている状況下でありながら、適切なセキュリティ対策が取れていない企業も多いのが現状です。先の章でご紹介した「テレワークセキュリティに関する実態調査」によると、リモートワーク実施企業の7割で、情報セキュリティ専門チームや専任の担当者が不在だと回答しています。
他業務との兼任担当者が対応にあたっていると回答した割合は5割を超えますが、専任のチームや担当者が配置されている場合と比べるとセキュリティ対策に不安が残ってしまうでしょう。
参照:IPAー情報セキュリティ10大脅威 2021
参照:総務省ーテレワークセキュリティに関する実態調査
↓PCトラブルなど社内IT環境にお困りなら↓
リモートワークで発生しうる6大セキュリティリスク
リモートワークによって発生が懸念される6つのセキュリティリスクは次のとおりです。
- 情報漏えい
- デバイスの紛失
- 通信の盗聴や傍受
- マルウェア感染
- アプリケーションやクラウドを介した攻撃
- OSやセキュリティソフト更新の遅延
会社のオフィスで全員が業務にあたる場合と違って、それぞれの社員が違う場所で仕事をこなすことになるリモートワークでは、特にセキュリティ対策の強化が必要です。
リモートワークを行ううえで知っておきたい6大セキュリティリスクをご紹介します。
1.情報漏えい
1つ目のリスクは、情報の漏えいです。オフィスや自宅以外で仕事をする場合には、覗き見(ショルダーハッキング)による情報漏えいに気を付ける必要があります。
リモートワークは、自宅や専用のワークスペースなど落ち着いた環境で行うのが基本で、周囲に人がたくさんいる場所は避けるのが無難です。どうしてもカフェや電車など他人の目がある場所で作業をしなくてはならない場合は、覗き見防止フィルターの利用や離席中のデバイス管理を徹底しましょう。
電話会議をする際も、イヤホンからの音漏れや声量の確認を怠ってはいけません。公共スペースへの資料の置き忘れも情報漏えいにつながってしまうため、屋外で仕事をする際は普段以上に情報管理に気を配るのが基本です。
2.デバイスの紛失
機密情報が入ったパソコンやタブレット、USBメモリなどの記憶媒体を紛失してしまうのも、リモートワークにおけるリスクです。自宅で紛失した場合は落ち着いて探せば見つけ出せる可能性がありますが、自宅以外の場所で紛失してしまうと第三者による盗難被害にもつながります。
機器を持ち出す際には、パスワードやコピー制御ロックの設定を徹底しましょう。特に、ワークスペースやカフェでの利用で目立つのが、離席の際にデバイスを携帯せずにその場を離れてしまう行為です。
デバイスの紛失は、機器本体の再手配にかかる損失だけではなく、情報漏えいなどの二次被害の危険性がある点を忘れてはいけません。
3.通信の盗聴や傍受
カフェや公共施設などで利用できる無料Wifiは、暗号化がされていない場合もあり、データ盗聴のリスクが高まります。気分転換ができるからといって、むやみに重要なデータを外部に持ち出すのは危険です。
また、自宅であってもWifiルータのパスワードを初期設定のまま変更せずに使っていると、セキュリティが充分な状態だとはいえません。会社から支給されたWifiを利用し、安全性の確保されていない回線は避けるなど、個人でも対策を取る必要があります。
4.マルウェア感染
リモートワーク環境では、マルウェアと呼ばれる悪意のあるソフトウェアやプログラムへの感染リスクも高まります。なぜなら、社員個人が業務に関係ないサイトを訪問したり、危険性のあるアプリやソフトウェアをダウンロードしたりしても管理者の目が行き届きにくいからです。
マルウェアの感染を防ぐためには、セキュリティソフトの導入や不正サイトへのアクセス制限設定などが有効です。
5.アプリケーションやクラウドを介した攻撃
リモートワークを導入するにあたって、それまでオフィスで仕事をする際には利用していなかったテレビ会議システムやチャットツールなどのアプリケーションや、クラウド上へのデータ共有が必要になりました。
それらのアプリケーションやクラウドを狙ったサイバー攻撃が増加しています。社員がツールの扱い方に慣れていない場合や、企業として利用方法のルール化が徹底できてない場合は注意が必要です。
セキュリティ性の高いツールを使うほか、使用方法の教育やマニュアルの整備を行いましょう。
6.OSやセキュリティソフト更新の遅延
安全性を確保するには、OSやセキュリティソフトを適宜更新し最新のバージョンを利用することが基本です。しかし、リモートワークの普及で各デバイスのアップデート状況の管理が難しくなり、更新が行われていないデバイスを使い続けてしまう事態も発生しています。
情報セキュリティ担当者がアップデート状況を監視できるシステムを構築したり、社員個人に定期的なアップデートを促す通知をしたりする必要があるでしょう。
↓PCトラブルなど社内IT環境にお困りなら↓
リモートワークで実際に起きた3つのセキュリティ問題事例
次にリモートワークの実施中に実際に起きてしまったセキュリティ問題事例を3つご紹介します。
- VPN装置の脆弱性を狙った攻撃
- 社員の不注意による情報漏
- アップデートを怠りマルウェア感染
事例から問題が起きた原因を知れば、取るべき対策が見えてくるでしょう。それぞれ別の原因からなるセキュリティトラブルを解説します。
VPN装置の脆弱性を狙った攻撃
1つ目は、VPN脆弱性がトラブルにつながってしまった事例です。リモートワークで利用しているVPNへの負担が増大してしまったため、以前使っていたVPN装置を再び用いて負担の分散を試みました。
しかし、旧VPN装置に問題があり、管理用のIDとパスワードが抜き取られていたのです。VPN利用者である従業員、さらにVPN装置管理用の他社情報までもがインターネット上で取得可能な状況になるなど大きな被害が出ました。
社員の不注意による情報漏えい
リモートワークの特別対応として、社員の私用メールアドレスの利用を許可したことから発生した事例です。メールの送信先を誤ったために、数十通のメールが意図しない相手に届けられてしまいました。
情報流出してしまったのは、外部の連絡先と行政書類です。業務にあたる社員個人個人のミスが大きなトラブルにつながる可能性は否めません。
アップデートを怠りマルウェア感染
たまにしか使わないパソコンは、必要なアップデートが済んでおらずセキュリティがゆるくなってしまっている可能性があります。自宅でのリモートワークに整備の行き届いていないパソコンを利用したがゆえに起きた事例です。
差し迫った業務を理由にアップデートを怠ってしまい、ついにはマルウェアに感染してしまいました。少しの手間を惜しむことで、大幅に業務効率が下がる結果につながる恐れがあります。
↓PCトラブルなど社内IT環境にお困りなら↓
リモートワーク導入企業が行うべきセキュリティ対策
企業がリモートワークを導入する際に押さえておきたいセキュリティ対策は次の3つです。
- 規定やルールの周知
- 社員のIT教育
- セキュリティ体制の強化
社員がそれぞれ遠隔で業務にあたるリモートワークでは、セキュリティリスクを避けるために、会社全体でしっかりとした方向性やルールを定めておく必要があります。リモートワークを導入する企業が行うべき対策を3つご紹介します。
規定やルールの周知
社員1人1人の意識を高め、セキュリティリスクを回避するには、企業として規定やルールが定められているのが大前提です。会社の情報セキュリティポリシーの内容を決める際には、総務省が発表している「テレワークセキュリティガイドライン」が参考になるはずです。
業務を効率的に進めるためにも、社員が自分で確認できるようなマニュアルを整備しておく必要があります。また、ルールが変更になった場合には社員が共通認識を持てるように、周知を徹底しましょう。
社員のIT教育
社員個人の情報セキュリティ知識を養成するのも、人為的なセキュリティリスクを避けるために有効な手段です。これまで利用していたIT教育カリキュラムがすでにある場合も、リモートワーク導入に合った内容かどうか再検討する必要があるでしょう。
個人情報の漏えいなど重大な問題が発生した場合には、企業のみならず関係者である社員も責任を問われる可能性があります。重要な情報を扱う者として、当事者意識を持って業務にあたることが大切です。
セキュリティ体制の強化
セキュリティソフトの導入や認証方法の見直しといった、セキュリティ体制の強化は、リモートワーク導入には欠かせないポイントです。セキュリティソフトを導入すれば、基本的なウイルス対策だけではなく、多様化しているセキュリティリスクに備えた機能が利用できます。
リモートワークにおいて、社員個人が所有しているデバイスの利用を許可する場合にも、セキュリティソフトの導入を義務付けるなど、一定の基準を定めておくとよいでしょう。
↓PCトラブルなど社内IT環境にお困りなら↓
リモートワークをする社員が行うセキュリティ対策
リモートワークを安全に実施するには、導入する企業と実際に業務にあたる社員の両方がセキュリティ対策を行うのが基本です。
遠隔で業務にあたる場合に、社員が取るべきセキュリティ対策2つは次のとおりです。
- 情報管理の徹底
- デバイスのアップデート
それぞれのポイントを詳しく解説します。
情報管理の徹底
情報セキュリティ問題には、メールの送り間違えやデバイスの紛失など、内部社員の不注意が原因となって起きてしまう事故も多いのが現状です。社外で仕事をする際には、普段よりも危機感を持って情報管理を徹底する必要があります。
例えば、パスワードの管理不備による情報漏えいや、人が多い場所で作業をしてしまったことによる覗き見の危険性が挙げられます。重要な情報へのアクセスを可能にしてしまうパスワードは管理を徹底し、他人の目が多い場所で仕事をするのを避けるなど、個人でできるセキュリティ対策を確実に行いましょう。
デバイスやUSBなどの記憶媒体はもちろん、紙資料の紛失も情報の流出につながってしまいます。基本的には自宅や定められたワークスペースを利用し、むやみにカフェや野外など知らない人の目につきやすい場所での作業は避けるのが安心です。
デバイスのアップデート
デバイスのアップデートを面倒だからと後回しにしてしまう行為は、充分なセキュリティの取れていないOSを継続して使うことになり大変危険です。リモートワークで利用するデバイスは、その都度最新バージョンにアップデートをして、高いセキュリティ機能を維持しておく必要があります。
リモートワークが盛んになってからは、ツールやネットワーク、デバイスの脆弱性を狙ったサイバー攻撃が増加しています。情報セキュリティ担当者が、遠隔で仕事をしている全社員のデバイスアップデート状況を把握するのが難しい点を突いた攻撃です。
デバイスをアップデートすることの意味をしっかりと把握し、適宜バージョンアップを行うようにしましょう。
↓PCトラブルなど社内IT環境にお困りなら↓
リモートワークの導入にはセキュリティ対策が必須!
人々の働き方が多様化し、オフィスに出勤せずに仕事をするリモートワークも一般的になりつつあります。しかし、リモートワークにおけるセキュリティ対策はまだまだ甘い部分が多く、リモートワーク環境を狙ったサイバー攻撃も発生しているのが現状です。
リモートワークで起こりうる情報セキュリティリスクは、情報漏えいやマルウェアの感染、デバイスの紛失など多岐にわたります。セキュリティ対策は、企業と社員の両者が連携して行う必要があるでしょう。
ゼロトラストとは「全てを疑い確認する」ことを意味する、リモートワークの増えた今注目すべきセキュリティソリューションです。これまではネットワーク環境を安全な社内と危険な社外に分け、境界線に防壁を作るというセキュリティ対策が主流でした。
しかし、重要な情報をクラウドにアップロードし、社員が遠隔で情報にアクセスできる体制を整えている企業も増加しています。つまり、安全と危険の境界線が曖昧になっている現代では、かつてのセキュリティ対策では対応できない場合があります。
今必要なセキュリティ対策であるゼロトラストを実装するには、範囲が広すぎてどこから手を付けるべきか迷っている企業も多いでしょう。リモートワークの導入に合わせて、セキュリティ体制の見直しを検討している場合は、ぜひとげおネットまでご相談ください。
セキュリティ関連記事
どうしてもうまくいかない時は
インターネットで検索して色々な方法を試してみた、それでもやっぱり上手くいかない場合は
とげおネットまでお気軽にご相談ください。
とげおねっとでは出張サポートにてお力になることが可能です。
下記の電話番号、もしくはメール(フォーム)からお問い合わせいただくことが可能です。