リモートワーク に潜む情報セキュリティリスクとは?

リモートワーク に潜む情報セキュリティリスクとは?

オフィス内の勤務に比べ、リモートワークでは柔軟な働き方が実現するかわりに、セキュリティ上のリスクは高まることはあまり注目されていません。リモートワークにおける情報セキュリティのリスクと、その対策について解説します。

リモートワーク に潜む情報セキュリティリスクとは?

新型コロナの影響における企業のリモートワーク導入実態

新型コロナウイルス拡散防止策として、2020年初旬から一気に導入が進んだリモートワークは、もはや定着したと感じている人も多いでしょう。

東京商工リサーチによる「第4回「新型コロナウイルスに関するアンケート」調査」によると、新型コロナウイルス感染拡大防止策としてリモートワークや在宅勤務を実施したかという問いに対し、55.9%の企業が「実施した」と回答しています。

前回の調査では25.3%だったため、30.6ポイントも増加したことになり、リモートワークの実施企業が急激に増えたことがわかります。

ただ、企業規模別の回答では大企業が83.3%であるのに対し、中小企業は50.9%にとどまっており、企業の規模によってかなりの差が生じています。

それでも、企業規模を問わず半数以上の企業でリモートワークを実施済みであるという事実から、もはや目新しい働き方ではなくなっているといえるでしょう。

(参照元:https://www.tsr-net.co.jp/news/analysis/20200515_02html/

セキュリティリスクの増加

このように、リモートワークが広く導入された背景には、2020年初旬からの新型コロナウイルス拡散防止策として、政府・企業が一気にリモートワークを推進したことがあります。

一方、オフィス内勤務に比べ、リモートワークでは社外から社内ネットワークへのアクセス回数が増えることから、セキュリティ上のリスクが高まることはあまり注目されていません。

実際、チェック・ポイント社とDimensional Researchによる調査でも、セキュリティ専門家のうち71%が、新型コロナウイルスの発生以降サイバー攻撃が増加したと回答しています。

(参照元:https://www.checkpoint.com/press/2020/increase-in-remote-working-and-coronavirus-related-threats-creating-perfect-storm-of-security-challenges-for-organizations-new-survey-finds/

時事問題や人々の興味を持つニュースを悪用するのはサイバー犯罪者の常套手段ですが、新型コロナウイルスも同様でした。

実際、新型コロナウイルスに関する情報を提供するWebサイトであると偽るフィッシングサイトを利用した攻撃が、多数確認されています。

また、米国CNBCの調査によると、大企業や政府機関・NPOなどの技術責任者のうち36%が、リモートワークによりサイバーセキュリティ上の脅威が増していると答えています。

なりすましメールなど、リモートワーク中の社員を直接狙った詐欺行為が、通常よりも40%増加したとする回答もありました。

(参照元:https://www.cnbc.com/2020/03/20/phishing-spam-spike-as-hackers-use-coronavirus-to-hit-remote-work.html

実際には、この調査で表面化した値よりも、サイバー攻撃を受けるリスクは高まっていると見るセキュリティ専門家もいます。

新型コロナウイルス対応に端を発したリモートワーク急増によるセキュリティリスクの増加には、大きく2つの要因があります。

1つは、サイバー犯罪者がリモートワークに切り替えた社員を狙い撃ちしたサイバー攻撃を仕掛けていることです。時事問題や人々の興味を持つニュースを悪用するのはサイバー犯罪者の常套手段ですが、新型コロナウイルスも同様でした。

実際、新型コロナウイルスに関する情報を提供するWebサイトであると偽るフィッシングサイトを利用した攻撃が、多数確認されています。

2つ目は、十分な準備がなされないままリモートワークに切り替えたため、セキュリティ対策が不十分だったことによるものです。。

マルチクラウド管理とセキュリティ対策を備える統合プラットフォームで効率的な運用を実現
Windows Virtual Desktopセキュリティ監視

リモートワークに潜む5つの情報セキュリティリスクとは

では、リモートワークには具体的にどのような情報セキュリティリスクが存在するのでしょうか。

パソコン・USBなどデバイスの紛失リスク

情報漏えいというと、社内の情報資産がハッカーからのサイバー攻撃を受けて盗み取られるというイメージを持つ人が大半ではないでしょうか。

JNSAの「情報セキュリティインシデントに関する調査結果」によると、実際、情報漏えいの原因のうち20.3%が、不正アクセスによるものとなっています。

驚くべきことにPCやUSBなどの紛失・置き忘れによる漏えいが26.2%と上回っており、情報漏えい原因の第一位となっているのです。

(参照元:https://www.jnsa.org/result/incident/2018.html

リモートワーク中の社員がデバイスを紛失したことから情報漏えい事件が発生した場合、責任を問われるのは各企業となります。

覗き見(ショルダーハッキング)における情報漏えいリスク

パスワードなどの情報を入力中に背後から近づいて画面の内容や手の動きを盗み見ることを「ショルダーハッキング」と呼びます。

肩(shoulder)越しに覗くということからこのように命名されています。

この手法は単純ですが、PCのIDやパスワード、機密情報が盗み見られてしまうと被害は大きくなるため、覗き見防止フィルターを貼るなどの対策が必要です。

脆弱なネットワーク接続へのリスク

リモートワークでは、社員が社内ネットワークにアクセスする場所が限定されないため、脆弱なWi-Fiを利用してしまうケースがあります。

特に、カフェや駅構内といった公共の場所に設置されているフリーWi-Fiには注意が必要です。

悪意のある第三者が設置したWi-Fiスポットや、セキュリティに不備のあるネットワークに接続してしまうと、マルウェアに感染したり通信内容を傍受されたりするリスクが高まります。

コンピューターウィルスの感染リスク

リモートワークではオフィス内のIT環境とは異なり、外部から社内ネットワークへアクセスするため、マルウェアへの感染リスクが高まります。

特に、会社がセキュリティ対策を施したPCではなく、自宅のPCを使ってリモートワークをせざるを得ない場合は、セキュリティ対策が十分とは言えません。

警視庁は、2020年3月以降、リモートワーク中の社員を狙ったと見られるフィッシングメールが多数確認されるようになったとして注意喚起しています。

リモートワークでは、PCやモバイルデバイスにセキュリティパッチが適用されているかといった管理が各社員任せになりがちです。万が一、社員がパッチの適用を怠っていた場合、ぜい弱性を突いた攻撃を受けやすくなります。

セキュリティパッチの適用のほか、サポートが終了しているOSを使用していないか、不特定多数で使用しているPCではないか、セキュリティ対策ソフトウェアがインストールされているかなど、社員のデバイスを常時確認する必要があります。

IDやパスワードの漏えいリスク

上記で紹介した「情報セキュリティインシデントに関する調査結果」によると、情報漏えいの原因の24.6%は、PCやモバイルデバイスの誤操作です。

IDやパスワードを記述したファイルを誤送信してしまい、外部に漏れてしまうと取り返しがつきません。

また、IDやパスワードを聞き出すために本物そっくりに作られたフィッシングサイトに引っかかってしまう場合もあります。

リモートワーク導入におけるセキュリティ対策

リモートワーク導入にあたって、どのようなセキュリティ対策が有効になるのでしょうか。

デバイス内データの暗号化またはVDI化

PCやモバイルデバイスを紛失・盗難した場合に備えて、重要なファイルは暗号化することが重要です。暗号化しておけば、最低限の情報資産は守ることができます。ただし、この方法ではファイルの暗号化を忘れてしまうと意味がありません。

個別のファイルを暗号化するのではなく、自社内のサーバに仮想的なデスクトップ環境を作る「仮想デスクトップ(VDI)」を採用するのも一つの方法です。

VDIでは、社員のデバイスはサーバ内の仮想化された環境を遠隔で操作するだけに用いられるため、ファイルやデータなどの実体はデバイス内にはありません。

万が一デバイスを紛失したとしても、サーバ内にあるデータなどの情報資産まで失ってしまうことは回避されるのです。

スリープ状態のパスワードロック

PCやモバイルデバイスは一定時間操作しないとスリープ状態になります。

スリープ状態から復帰する際にパスワードを求められるように設定を変更しておくことで、スリープ状態で離席しても第三者に端末を操作されて情報を盗み見されることがありません。また、スリープに入るまでの時間も短く設定することも大切です。

機密データへのアクセス制御

機密性の高いデータの保管場所へのアクセスを制御することも大切です。

方法としては、機密データの保管場所へのアクセス権限を限定したりアクセスを監視したりすることで、アクセスを制限・管理する方法です。

もっとも安全なのは、リモート環境からはアクセスできないようにすることです。

しかし、業務の都合によってはどうしてもアクセスが必要となることもあります。その場合は、多要素認証を導入したりファイアウォールを設置したりするなどの措置が必要となります。

また、機密データを他のデータとは切り離して別の保存場所に移す方法も有効です。機密データの保存場所へのアクセスには別途に申請・承認を求めるなどの対処を施し、厳重に管理します。

社員に対するセキュリティ教育の実施

リモートワークを導入する前に、対象の社員にセキュリティ教育を実施する必要があります。

社員のセキュリティ教育では、「不審なWebサイトへのアクセスは避ける」や「セキュリティ対策ソフトウェアは常に最新版にアップデートする」「パスワードは定期的に変更する」「不審なメールは開かない」といった基本的な内容をはじめ、「カフェなどの第三者から覗き見られたり盗まれたりしやすい環境で作業しない」などのリモートワークならではの注意事項を伝えます。その際、IT部門の社員以外も理解できるよう、できるだけ分かりやすい言葉で、具体例も交えたほうがいいでしょう。

また、セキュリティ教育は1回のみでなく定期的に実施して、社員の情報セキュリティに対する意識を常に高めておくことが重要です。

セキュリティ問題発生に備えた対処マニュアルの作成

情報漏えいのほか、実際にセキュリティ問題が発生した場合を想定した対処マニュアルを作成しましょう。

セキュリティに関する問題が発生した場合、対処が遅れるほど被害が拡大します。

問題が発生したときの報告ルートや検証方法、責任者などを予め決定しておき、万が一の問題発生時にはマニュアルに沿って迅速に動けるようにします。

問題が発生した時の報告窓口や、最終的な意思決定者などをあらかじめ決めておきましょう。また、「発生した問題に関してどこまで情報共有するか」「業務時間外に問題が発生した際の意思決定方法」などの問題も部署ごとに擦り合わせしておき、決定した内容をマニュアルに明記しておくことも重要です。

まとめ

リモートワークは、勤務場所を問わない柔軟性がありますが、同時にセキュリティ上のリスクは高まる働き方です。リモートワークにおける情報セキュリティ問題では、事前に対策を講じられることもあるため社員教育やマニュアル作成など必要な対策を行っておきましょう。

今こそSIEMを使いこなしてセキュリティ強化を!スキルやノウハウ面の懸念を払拭する支援サービス
マルチクラウド管理とセキュリティ対策を備える統合プラットフォームで効率的な運用を実現
Windows Virtual Desktopセキュリティ監視
リモートワーク に潜む情報セキュリティリスクとは?
Microsoft Azure製品カタログ 避けて通れぬマルチクラウド 活用を限られた人材でいかに 実現するか

RANKING人気資料ランキング

RECENT POST 最新記事

ブログ無料購読

RANKING人気記事ランキング

関連記事