こんにちは。新規事業の開発や既存業務の効率化などに使える補助金・助成金の無料診断 / 申請支援を行う『補助金サポート』を提供しているクラウド軍師運営チームです。
新型コロナウイルスの蔓延によって、ビジネススタイルは大きく変化しました。
その代表例が、テレワークの増加。人と人との接触を避けるため、現在も多くの企業でテレワークが導入されています。
テレワークは柔軟な働き方を叶える手段ですが、問題点も抱えています。テレワークの増加に伴い、セキュリティ事故も増加している点です。
テレワークを狙った第三者からの攻撃やミスによる情報トラブルは多く、企業は対策を迫られています。
そこで今回は、テレワークにおける情報セキュリティ事故の事例と原因、その対策について詳しく解説していきます。テレワーク導入企業は、自社の対策を今一度確認してみてください。
テレワークによるセキュリティ事故の事例
まずは、実際に起こったテレワークにおける情報セキュリティ事故の事例を5つご紹介します。
【事例①】ウィルス感染によるパソコンの使用不可
◆事例
ウイルス対策ソフトの更新をしないままパソコンで仕事を行なっていたら、いつの間にかマルウェアに感染してしまい、パソコンが使用できなくなった。
ウイルス対策ソフトの更新やOSのアップデートを怠ったことで、テレワーク端末がウイルスに感染してしまう事例です。テレワークを狙ったウイルスは多く、きちんと対策を取らなければ、業務を進められなくなったりデータが破壊されたりする恐れがあります。
【事例②】パソコン等の端末紛失のよる情報漏洩
◆事例
顧客情報が入ったパソコンを電車に置き忘れてしまい、鉄道会社に問い合わせても見つからなかった。後日顧客から「セールスの電話が来る」と相談を受け、情報漏洩が発覚した。
パソコンやスマホ、USBなど、持ち運ぶことが多い端末の紛失によるセキュリティ事故は多数起こっています。ビジネスで使う端末にはあらゆる機密情報・顧客情報が入っており、ちょっとしたミスが大きな事故になる恐れがあります。
【事例③】公衆Wi-Fiを利用した際の不正アクセス被害
◆事例
公衆Wi-Fiを使ってメールのやり取りを行なった結果、そのメールに添付したファイルの機密情報が漏洩した。
公衆無線LAN(公衆Wi-Fi)は便利なサービスですが、通信内容の暗号化がされていないものが多く、外部の第三者から通信を傍受されてしまう可能性があります。第三者からの通信傍受は、不正アクセスや情報漏洩に繋がり、企業にとって大きな損失となります。
【事例④】VPN利用による不正アクセス被害
◆事例
特定のVPN機器を利用していた複数の企業で情報漏洩が発生した。セキュリティパッチが更新されていないVPNの脆弱性を狙った攻撃によるものと見られている。
通信回路を暗号化するVPNには、このような脆弱性も確認されていて、安全性において万全ではないことがわかります。
【事例⑤】マルウェア感染
◆事例
テレワーク用のパソコンで海外のWebサイトを閲覧したところ、ランサムウェア(マルウェアの一種)に感染し、業務を進められなくなった。復旧に時間がかかった結果、業務の大幅な遅れが発生した。
不用意なWebサイト閲覧や添付ファイル開封によるマルウェア感染は多く報告されています。近年では特に、パソコンやデータの復旧の代わりに金銭を要求するランサムウェアの被害が目立ちます。
テレワークでセキュリティ事故が発生する原因
テレワークのセキュリティ事故に備えるためには、その原因について知っておく必要があります。テレワークでセキュリティ事故が発生する原因について、詳しく見ていきましょう。
テレワークにおけるセキュリティ事故のパターン
テレワークでのセキュリティ事故には、前章でご紹介した以外にもさまざまなパターンがあります。主なパターンを見てみましょう。
・OSやセキュリティソフトの脆弱性を狙ったウイルス感染
・Webサイトやメールからのマルウェア感染
・詐欺メールによる金銭・情報被害
・パスワード漏洩による第三者の不正アクセス
・クラウドサービスの設定ミスによる情報漏洩
・私物端末の業務利用によるマルウェア感染
・公衆無線LAN利用による通信内容傍受
・デバイスや書類の紛失
・SNSや口頭での情報漏洩
・盗み見や盗聴による情報漏洩 等
上記は一例であり、テレワークにはさまざまなセキュリティ事故のリスクが潜んでいます。
セキュリティ事故の3つの根本原因
では、これらのセキュリティ事故の根本原因とは何なのでしょうか。
その原因は以下の3つ。
①技術面でのセキュリティ対策不足
②従業員の情報リテラシー不足
③テレワークルールの不足
例えば、「OSやセキュリティソフトの脆弱性を狙ったウイルス感染」は、①の「技術面でのセキュリティ対策不足」が根本原因です。また、「公衆無線LAN使用による通信内容傍受」は、①②③の全てが根本原因にある考えられます。
テレワークにおけるセキュリティ事故は、これらの3つの要因が重なって起こっています。
言い換えると、セキュリティ事故を防止するためには、「技術面でのセキュリティ対策」「従業員の情報リテラシー教育」「厳格なテレワークルールの制定」を実施することが必要なのです。
テレワークに必要なセキュリティ対策
最後に、テレワークに必要な基本のセキュリティ対策について解説していきます。
セキュリティ対策は何重にも行うことが大切。下記の対策を基本に、状況によって必要な対策をプラスし、テレワークのセキュリティを強化するようにしてください。
ウイルス対策ソフトの導入
ウイルス感染の脅威を避けるためには、業務で使用するパソコンなどの端末へのウイルス対策ソフトの導入が必須です。ウイルス対策ソフトの導入およびアップデート漏れは事故のもとになるため、企業の管理者側で一斉に適用できるような製品を選ぶと良いでしょう。
また、使用者側でも、ウイルス対策ソフトが最新の状態であることや有効期限内であることを確認するようにしてください。
OSやアプリケーションのこまめなアップデート
OSやアプリケーションは、その脆弱性を補完するため、定期的なアップデートが行われます。
このアップデートを行わずにOSやアプリケーションを利用するのは危険。脆弱性を突いたウイルス感染などのリスクが高くなってしまうためです。
テレワークで使用するOSやアプリケーションは、使用前に必ずアップデートの有無を確認し、常に最新の状態を保つようにしてください。
通信インフラのセキュリティ強化
テレワークのセキュリティ対策としては、デバイスだけでなく、通信インフラのセキュリティ強化も検討してください。
無料Wi-Fiを利用する場合でも、VPNなどの通信経路を暗号化するサービスを導入すれば、通信インフラのセキュリティを高め、より安全にデータのやり取りを行うことができます。
とはいえ、VPNには脆弱性が確認されているものもあり、その選定は慎重に行う必要があります。
テレワークのルール制定
テレワークのルールを仔細に制定しておくことも、セキュリティ対策に繋がります。
例えば、「企業が許可したアプリケーション以外はインストールしない」「パソコンを開いたまま放置しない」など。このようなルールを制定しておくことで、知識不足やミスなどによるセキュリティ事故のリスクを低減させることが可能です。
総務省では、テレワークで利用する情報をレベル分けし、レベルごとに取り扱いのルールを定める方法を推奨しています。
情報セキュリティ教育の実施
従業員に対し、情報セキュリティ教育を実施することも、重要なセキュリティ対策です。
従業員の情報リテラシーが低いと、脅威に対する対策は疎かになってしまいます。例えば、不自然な添付ファイルをクリックしてしまったり、OSのアップデートを行なっていなかったり、デバイスを適切に管理しなかったりなど。
このような不注意・ミスによる事故を避けるためには、定期的に研修や講習会を実施し、従業員の情報リテラシーを育てていくことが大切です。
まとめ
テレワークは、コロナ禍以降のニューノーマルとして、今後もビジネスにおいて積極的に活用されていくと予想されます。
そこで企業が注意しなければならないのが、今回ご紹介したような情報セキュリティ事故への対策。対策を行わずセキュリティ事故が起これば、企業は多大な損失を被ることになります。
損失を防ぐためにも、企業は技術や人、ルールの観点から対策を講じ、企業全体で脅威に備える体制を作らなければなりません。
まずは、自社のテレワークにおける対策状況を確認し、不十分な部分は早急に補うようにしましょう。
