2020年初からの新型コロナウイルス感染症の拡大に伴い、急速に導入が進んだ民間企業におけるテレワーク。
緊急事態宣言によって半ば強制的に導入が進んだテレワークでしたが、実際に導入してみると2010年台後半からの「働き方改革の推進」や「ワークライフバランス」などの機運の高まりとも相性が良く、コロナ禍が落ち着いてからも導入し続ける一般企業も少なくありません。
東京商工リサーチによる実施状況の調査では、「1回目の緊急事態宣言時には17.6%から56.4%へと上昇し、その後、緊急事態宣言解除後には低下するものの、2回目の緊急事態宣言時には38.4%に再上昇している」という結果が出ています。
さて、そんなテレワーク、利便性を謳歌するだけでなくセキュリティリスクをきちんと把握していますか。たったひとりの、ついついやってしまいがちな行動や、うっかりが、企業に甚大な被害をもたらしたケースも多数報告されています。
今回のコラムでは、そんなテレワークでおさえておきたいセキュリティリスクについて、分かり易く整理していきたいと思います。
テレワークでおさえておきたい脅威とは
さて、テレワークで考慮しなければならないセキュリティリスクには、どのようなものがあるのでしょうか。最初に、意識しておきたい主な3つのセキュリティリスクについてご紹介します。
1.マルウェア感染
「マルウェア(malware)」とは
不正で有害な動作を行なわせる目的で作成された、悪意のあるソフトウェアや悪質なプログラムのすべて
のこと。
- ウイルス(コンピューター・ウイルス)
- ワーム
- トロイの木馬
- スパイウェア
など、ユーザーのデバイスに不利益をもたらす悪意のあるプログラムやソフトウェアはすべて「マルウェア」。
感染したPC端末をロックしてしまったり、PC端末上のデータを勝手に暗号化して使用不能にしたりする「ランサムウェア」もそのひとつ。このように悪意のあるソフトウェアや悪質なプログラムが、善意のユーザーのPC端末やソフトウェアに組み込まれてしまうことを「マルウェア感染」と呼びます。
「マルウェア」に感染してしまった場合、
- ・機器本来の動作が妨害される
- ・PC内に保存されたデータが破壊される
- ・PC内のデータが勝手に外部に送信される
などのリスクがあるだけでなく、感染したPC端末が別の第三者への攻撃に悪用されることで「攻撃の加害者」となる可能性もあるので、一層注意が必要です。
2.不正アクセス
「不正アクセス」とは、
情報システムへの正式なアクセス権限を持たない第三者が、何らかの方法で認証情報を得るなどしてシステムにログインすること
を言います。不正アクセスの認知件数の推移は2017年の1,202件から、2020年には2,806件と2倍以上に増加しているそう(「不正アクセス行為の発生状況及びアクセス制御機能に関する技術の研究開発の状況」(総務省、経済産業省、警視庁発表))。その手口は様々ですが、
・大手通販会社や宅配会社を装ったショートメッセージ(SMS)から偽サイトに誘導されクレジットカード情報やID・パスワードなどを入力してしまう
・取引先を装って届いたメールの添付ファイルをクリックしてしまい、PCがウイルスに感染する
・アルバイトや派遣社員など、セキュリティ意識が比較的高くない人がターゲットにされる
などが代表的な手法として報告されています。
偽サイトでクレカ情報を入力してしまったケースでは、「ECサイトなどで身に覚えのないカード利用が繰り返され、翌月の請求で初めて不正アクセスに気付いた」ということも決して珍しくありません。
3.情報漏えい
情報漏えいは、もっとも身近なセキュリティリスク。発生要因の代表的なものは、以下の4つ。
- ・マルウェア感染
- ・不正アクセス
- ・PC端末などの覗き見
- ・PC端末などの紛失・置き忘れ
日本ネットワークセキュリティ協会実施の調査では、
- 情報漏えいは、インターネットと電子メールが48%と約半数を占めており、年々比率は増加傾向
- 情報漏えいの原因は、「紛失・置き忘れ」「誤操作」「不正アクセス」が三大要因で、約70%を占める
このように報告されています。
実際にあった、重要情報の例と漏えい時の被害の例をご覧ください。
| 顧客の課題 | 情報漏えい時の被害例 |
| 顧客・取引先の個人情報 例)氏名、住所、クレカ情報 | 顧客・取引先からの信頼低下・取引停止、 損害賠償請求、業務停止など |
| 自組織の機密情報 例)新規サービスの開発情報 | 新規事業を停止、売上の減少など |
| 自組織の従業員の認証情報 例)管理者権限のログイン情報 | 社内システムへの不正アクセスによる、 システム停止、機会損失など |
| 親会社に接続する際の認証情報 例)親会社に接続するための認証情報 | 自社環境を介し親会社の顧客情報にアクセス、 顧客や親会社から損害賠償請求など |
テレワークでおさえておきたい5つの掟
会社の外では、悪意を持った人もいるという事実を認識しておくべき。テレワークで何かトラブルが起きてしまう前に、おさえておきたい5つのポイントを整理しましょう。
① フリーWi-Fiの脅威を認識しておく!
商店街やコンビニエンスストア、カフェなどでのテレワーク時、携帯電話のパケット通信を利用しないで済む無料のWi-Fi(公衆無線LANとも呼ばれます)の存在は、非常に有難いですね。
しかし、フリーWi-Fiは、不特定多数の利用者に解放されているため、通信内容が窃取されてしまう危険性が。インターネット等のネットワーク上でやり取りされているデータを盗み見られたり、端末をのぞき見られたりすることを「情報の盗聴」と言いますが、まさにその危険に晒されてしまうのです。
暗号化されていない通信は、関係者以外の誰にも知られたくない情報を、大声で電話しているのと同じ状態。暗号化できている通信は、ネットワーク名の右側の鍵マークがその目印。それ以外の不特定多数が通信するネットワークや、提供元が不明なネットワークの利用は業務上利用するのは避けましょう。個人のスマホ端末でも、スマホの自動接続をオンにしている方を見かけますが、大変危険な行為です。
② PC端末を持ち出すときは「のぞき見フィルター」装着!
カフェやサテライトオフィスなど、気分転換にもなって仕事が捗ることも。社外にPC端末を持ち出して業務する際、特に自宅以外では「のぞき見リスク」があることをお忘れなきよう。不特定多数の人がPC端末を閲覧可能な状態は、まさに情報漏えいリスク満載。万が一、のぞき見されても問題ない環境を予め用意しておきましょう。
③ オンライン会議は、情報漏えいリスクとの闘いと心得る!
公共の場で機密情報を含む話をするときには、自分の声の大きさや、周りのとの距離に配慮しましょう。相手の声が漏れないようにイヤホンなどを装着するのも当然のマナー。気を抜いてしまいがちな社内でも、近くの別のオンライン会議の会話が聞こえてしまうリスクにも備えたいものです。
また、Web会議アプリの必須機能のひとつ「画面共有」にも要注意。画面共有の前には、不要なアプリケーションはすべて閉じてから会議に臨みましょう。共有した資料は、撮影・録画される可能性があるということも念頭に置いておくべきです。
④ 持ち物・忘れ物には細心の注意を払うべし!
公共の場でのテレワークでは、離席する際や撤収時にも細心の注意を払いましょう。
カフェでの作業後に置き忘れたPC端末が紛失・盗難されるケースは、じつは数多く報告されています。重要な会社の資産であることも去ることながら、最も考慮すべきなのは情報漏えいリスク。PC端末がログイン状態のまま持ち去られた場合など、想像したくありませんね。
また、紙の重要資料の置き忘れもありがちなミスのひとつ。廃棄する際はシュレッダーがお約束ですが、会社の外ではシュレッダーがないこともしばしば。そもそも重要な紙資料を社外に持ち出すのは避けましょう。
⑤ プライベートPC端末や、脆弱なクラウドサービスの利用は注意!
プライベートPC端末の業務利用は、セキュリティリスクの高い行為です。セキュリティソフトやファイアウォールが充分でない場合、情報漏えいの元になり得ます。どうしても利用しなければならない場合には、事前に会社に申請し、適切な指示を仰ぎましょう。
また、データ保管に便利なクラウドサービスも、慎重に選択する必要があります。
- ・充分なセキュリティ対策が施されている
- ・強固なパスワードを設定する
- ・バックアップサービスが付いたものを選ぶ
これらの観点で選定すると良いと思います。
さいごに
今回は、テレワークにおけるセキュリティリスクについて取り上げました。
組織としてセキュリティリスクの回避策を講じることも重要ですが、一方で、社員ひとりひとりがセキュリティリスクに対する正しい認識を持つことがリスクの回避につながります。本コラムでその重要性が伝わっていたら嬉しく思います。
最後までお読みいただきありがとうございました!
(著:FRS広報チーム)