リモートワークで実施すべきセキュリティ対策とは?具体的なトラブル事例も紹介

2021年11月04日(木) テレワーク・リモートワーク

こんにちは。マニュアル作成・社内wikiツール「NotePM」ブログ編集局です。

近年リモートワークは一般的になりましたが、十分なセキュリティ対策ができていない企業を狙ったサイバー攻撃も増えています。会社としてはリモートワークではどのような対策を施せば良いのでしょうか。本記事では会社が実施すべきセキュリティ対策や、実際に起こったトラブルについても詳しく解説していきます。

リモートワークのセキュリティに関する課題

リモートワーク時のセキュリティにはどのような問題があるのでしょうか。近年トラブルになっている事項を3つに分けて詳しく見ていきましょう。

テレワーク環境を狙ったサイバー攻撃の増加

情報処理推進機構が2021年に公開した「組織における10大脅威」の3位にはかつて見られなかった「テレワーク等のニューノーマルな働き方を狙った攻撃」が新しく入っています。具体的には、新型コロナウイルスの対策で普及したウェブ会議やVPNを狙ったサイバー攻撃のことです。多くの企業ではテレワークを急に始めたため、VPNやウェブ会議のソフトウェアのアップデートの方法などを良く知らないまま使用してしまうケースが多くあります。アップデートが適正に行われないと、攻撃者にソフトウェアの脆弱性を悪用され、機密情報などが外部流出してしまう可能性があります。ソフトウェアの修正プログラムの情報を収集して、すぐに適応することが大切です。

従業員による人為的なリスク

リモートワーク中には会社から与えられたパソコンや携帯のみならず、持ち運びが容易なUSBや紙媒体の資料を電車やカフェなどに置き忘れたり、盗難にあったりする可能性があります。顧客の個人情報など機密情報が流出するリスクがあることを念頭において、リモートワークを行う必要があるといえるでしょう。2018年には久留米大学の教員が研修先のホテルで、学生の情報が含まれたパソコンを紛失する事件があり、2020年には大阪の高等学校の教員が生徒の個人情報を記録したUSBを紛失する事件が起こっています。盗難に遭うことを想定してハードディスクを暗号化するのも一つの手です。USBや外付けハードディスクの持ち出しを禁止して、安全なクラウドでやりとりを行う企業もあります。

情報漏洩は従業員によるパソコンの紛失や外部からの攻撃だけではありません。実は内部の不正によるものも多数存在していますが、企業の信頼にも関わるためあまり明るみにはなっていません。個人情報だけでなく特許などの技術情報に対しても情報漏洩が起こりえます。内部不正を防ぐためには、個人情報や技術情報にアクセスできる人の制限、インターネットの利用制限や利用履歴の把握、入退室制限を行うなどの対策が有効です。

境界型セキュリティの限界

多くの企業では企業内のネットワークと外部のネットワークの間にファイアーウォールなどのセキュリティ機器を設置することで、サイバー攻撃の侵入を阻むという「境界型セキュリティ」を行なってきました。

しかし、テレワークが一般的になったことで、従業員が社外から端末を操作して業務を行うことが一般になってしまい、境界型セキュリティでは社内ネットワークを守りきれなくなっています。攻撃者が一般家庭のルーターを突破すれば、社内ネットワークの機密情報にアクセスすることができますが、家庭内にセキュリティ機器を設置することはコストがかかってしまい容易なことではありません。新しいセキュリティモデルとして「ゼロトラスト」という考え方が注目されています。ゼロトラストでは社内外を問わず、社内の重要なリソースへのアクセスについては個別に認証を行うことで被害を最小にとどめるというものです。

関連記事:リモートワーク導入担当者必見!社内運用ルール策定のポイント

リモートワークで講じておきたいセキュリティ対策

リモートワークでの課題がわかったところで、リモートワーク時にどのようなセキュリティ対策を講じておくべきなのか詳しく見ていきましょう。

自社の状況にあったセキュリティインフラの見直し

モバイルPCやタブレットなどさまざまな端末を利用して、オフィス以外の場所で働くことが一般的になっています。またSkypeやSlackのような便利なサービスが登場し、今まで社内のシステムで行ってきたことも、クラウドサービスで代用することも今や珍しくありません。IT部門が知らないうちに、従業員がクラウドサービスを勝手に使用して機密情報をアップロードすることも十分にあり得るでしょう。
クラウドシフト化への波を止めることは、効率化や競争力の面から考えても得策でありません。エンドポイントセキュリティの強化やゼロトラストセキュリティーの実装など、自社の状況に応じたセキュリティインフラの見直しが必要と言えるでしょう。

インシデントの早期発見と対応

以前から使われているファイアーウォールのような「IDS」は不正アクセスを発見する機能のみですが、不正アクセスを検知に加えて自動で遮断する「IPS」を導入することで、インシデントの早期発見だけでなく、迅速な対応にもつなげることが出来ます。EDR(Endpoint Detection and Response)はパソコンやサーバーでの不審な動きを検知し、管理者に通知するソリューションです。1日に数十万件ものマルウィルスが開発されてい今日では、サイバー攻撃を完全に防ぐことが難しくなっており、内部に侵入された場合を考えて被害を防ぐ方法が一般化してきています。

セキュリティ教育の実施と管理

企業のセキュリティレベルを高く保つためには、インフラの見直しなど技術的な対策だけでは足りません。どのような脅威やリスクがあるのかを理解した上で、従業員への教育やセキュリティに関するルール作りも重要です。ルール・人・技術のバランスが取れていないと、最も弱いところがその会社のセキュリティレベルになってしまうためです。会社内のセキュリティレベルを高く設定していても、自宅のネットワークはセキュリティレベルが低くウィルス感染などの可能性が高くなります。また自宅で感染したウィルスを社内ネットワークに持ち込む事例もあります。

具体的なトラブルの事例や未然に防ぐ方法を教育することで、企業全体のセキュリティレベルを高めることが出来ます。OSやブラウザのアップデートを放置する危険性について、特別なトレーニングを受けていなければ知らない人が多いのではないでしょうか。Windows7、WindowsVista、WindowsXPはサポートが終了しており、セキュリティのアップデートがされません。このため脆弱性を突かれてマルウェアに感染しやすくなります。OS をアップグレードしたり、サポートが終了しているOSのパソコンは使用しないようにしたりする必要があります。

OSやソフトウェアが自動でアップデートが行われるようにしている分には問題ないですが、手動の場合は特に注意が必要です。自宅のパソコンにもセキュリティ対策ソフトを導入し、日々業務を行う前にアップデートが行われているか確認することが大切です。

関連記事:リモートワークの注目ツールを5つのカテゴリ・10選にまとめて解説!

リモートワークのセキュリティに関するトラブル事例

それではリモートワーク時にはどのようなトラブルが起こっているのでしょうか。具体的な事例を知っておくことで、未然にトラブルを防ぐことができるはずです。

SNSを通じた標的型攻撃

TwitterやFacebookなどSNSでのコミュニケーションは、今やメールのやりとりやWebサイトの閲覧に代わり主流になっています。サイバー犯罪でもSNS経由のマルウェア感染が増えています。安売りのクーポンなどの広告や大きな事件関連の書き込みで、標的をサイトに誘導します。2020年三菱重工業グループの社員が在宅勤務中に、社内ネットワークを経由せずにSNSを利用した際に、第三者から送付されたウィルスを含んだファイルをダウンロードしてしまい会社のパソコンがウイルスに感染し、社内ネットワークを通じてさらに感染したという事例がありました。会社のパソコンを使う際はVPNに強制的に接続させるなどの手段が有効です。

急遽再開したVPNのセキュリティホールへの攻撃

社外から業務システムにアクセスするには、VPNの環境を安全に保つ必要があります。しかし2019年の夏以降、Pulse Secure社製品やCitrix社製品などVPN機器の脆弱性が公表されています。セキュリティパッチがすぐに公表されましたが、アップデートを行わずにリモートワークの業務を行ってしまい攻撃を受けてしまう例が増えています。外貨両替の大手Travelex社ではVPNの脆弱性をつかれ、大規模なランサムウェア被害にあっています。この事例では身代金を払わなければ、顧客情報を公開するという脅迫を攻撃者から受けました。
システムを利用する前にソフトウェアやセキュリティプログラムのアップデートを必ず行うことが重要です。また多要素認証を導入することで不正アクセスの被害を最小限に抑えることが出来ます。

フリーWi-Fi使用時の情報漏洩

フリーWi-Fi時には簡単に情報が漏れてしまうことを理解しておかなくてはなりません。過去にはフリーWi-Fiにつないで仮想通貨の取引を行なってしまい、盗難にあった事例や、クレジットカードなどの番号や口座番号を盗まれてしまった事例があります。リモートワーク中であれば、顧客情報などの機密情報が漏洩する可能性もあることから、リモートワーク中のフリーWi-Fiの使用を禁じることが大切です。

まとめ

本記事ではリモートワーク時に起こったセキュリティのトラブルに関する事例や、企業が事前に行わなければないセキュリティの対策について詳しく解説しました。高いセキュリティのインフラを導入するだけでなく、個々の従業員が具体的なトラブルや対処法を覚えておくことで、トラブルが起こる可能性を限りなく低くできるはずです。本記事を参考にリモートワーク中のセキュリティを高める施策を考えてみてください。

おすすめの情報共有ツール

マニュアル作成・ナレッジ共有ツール 「NotePM」 は、社内の知りたいことが簡単に確認できるツールです。「社内のほしい情報を探すのが大変」「ナレッジ共有が上手くいっていない」とお悩みの方は、NotePMの無料トライアル をお試しください。

NotePMサービス紹介資料はこちら >