テレワーク

2021.05.31

テレワークのセキュリティ確保は企業の生命線!情報漏洩を防ぐための施策を解説

テレワークのセキュリティ確保は企業の生命線!情報漏洩を防ぐための施策を解説

働き方改革の推進や、ICT環境の整備、新型コロナウイルスの感染拡大の影響などもあり、日本でもテレワークで働く人の割合が増えてきました。
そんな中、問題となっているのが、セキュリティ対策です。

オフィス以外の場所でパソコンを使うことで、情報漏洩やウイルス感染などのリスクが高まります。これにより、企業の社会的責任を果たせなくなったり、信頼を失う恐れがあります。

企業の生命線ともいえるセキュリティを万全に確保し、情報漏洩を防ぐには、企業が適切な対策をとることが重要です。どのような取り組みをすべきなのか、今回の記事で詳しく解説します。

テレワークにおいてセキュリティを徹底しないとどうなる?

オフィスとは異なり、テレワークを行う環境はセキュリティ対策が整っていない場合もあります。テレワークを行う場所としては、自宅やカフェなどがあげられるでしょう。

オフィス以外でパソコンを使ってテレワークを行う際、対策を講じないまま進めてしまうと、次のような危険性が考えられます。

情報漏洩のリスクが高まる

テレワーク環境で業務を行う際、オフィスから持ち出したパソコンやUSBメモリなどに機密性の高い情報が含まれていると、社外に情報が漏洩するリスクが高まります。

例えば、顧客の個人情報が記録されたUSBメモリを紛失してしまった、あるいは盗難に遭ってしまった、セキュリティが完全でないパソコンを使って不正アクセスを受けてしまった、公共の場で業務を行って作業画面を放置してしまい秘密情報が漏れてしまった、などの情報漏洩事故が過去に発生しています。これらの行為には、企業の信用問題に発展するリスクが潜んでいます。

近年ではフリーWi-Fiの提供されている公共の場が増えており、仕事で使われるケースが増えています。

しかし、フリーWi-Fiは、無線通信の傍受が頻繁に起きており、メールの送受信で機密情報が漏洩するリスクがあります。

私物のパソコンを使ってテレワークを行う人もいるでしょう。私物のパソコンには、オフィスと同じようなウイルスソフトがインストールされていないことも多く、不正アクセスを受けて情報漏洩するケースも確認されています。

情報漏洩のトラブルは、半数以上がヒューマンエラーだともいわれています。誰しもうっかりミスをしてしまう可能性がありますので、自分だけは大丈夫という気持ちを持たず、常に警戒しないといけません。

ウイルス感染の恐れがある

オフィスでは、サイバーセキュリティの環境が整っていますが、テレワークでは環境が大きく異なります。外部からオフィスシステムへのアクセスが必要となる場合は、ウイルスに感染するリスクが高まります。

パソコンがウイルスに感染すると、業務が行えなくなります。情報漏洩と同じように、自宅にある私物のパソコンでは、特に注意が求められます。

ウイルスの感染経路は、ホームページの閲覧や、偽セキュリティソフトのインストール、Eメールの添付ファイル、USBメモリからの感染、ファイル共有ソフトからの感染、EメールのHTMLスクリプト、ネットワーク内でのファイル共有、マクロプログラムの実行など、さまざまなものが確認されており、その事実が総務省からも通達されています。それぞれ簡単にご説明します。

ホームページの閲覧により、Webブラウザの脆弱性を悪用したウイルスがパソコンに入り込むことがあります。正規のサイトであっても不正侵入を受け、ウイルスに感染する被害が増えています。

偽ソフトのインストールは、ウイルスに感染したかのようなメッセージを画面上に表示し、偽のウイルス対策ソフトを配布するサイトに誘導するものです。

Eメールの添付ファイルで、文書形式に見せかけたウイルスも増えています。ファイル形式だけでは判断しにくい場合もありますので、添付ファイルを安易に開くのは止めましょう。

USBメモリを差し込むとプログラムが自動的に起動する仕組みを悪用して、ウイルスに感染させるものがあります。パソコンに感染したウイルスが、別のUSBにも感染して、被害を広げてしまうこともあります。

ファイル共有ソフトとは、不特定多数の利用者が自由に使えるため、ファイルを偽装するなどして気づかないうちにウイルスを広げてしまいます。

Eメールは、HTML方式で書かれていると、添付ファイルがなくともウイルス感染の原因になることがあります。Eメールソフトによっては、メールを開かずにプレビューを実行しただけでウイルス感染を引き起こす恐れもあります。

ネットワーク内でのファイル共有では、特定条件に該当するファイルに次々と感染を広めていくタイプのウイルスが存在します。他のサーバーやパソコンに広めることも多く、とても危険度が高いウイルスです。

マクロプログラムは、マイクロソフト社が提供しているOfficeアプリケーション(Word、Excel、PowerPoint、Accessなど)の操作手順をプログラム化する機能のことです。この機能を利用して感染するマクロウイルスが存在し、ファイルの書き換えや削除などを自動的に始めてしまいます。

ウイルスはこれらの感染経路を通って、自己増殖・バックドアの作成による不正な活動・コンピューターシステムの破壊など、さまざまな問題行動を起こします。

セキュリティ事故の事例をご紹介

セキュリティのリスクを解説したところで、次は実際に起きてしまったセキュリティ事故の事例を紹介します。

従業員が顧客情報を不正販売(内部不正)

2019年に、トレンドマイクロ社でテクニカルサポートの元従業員が、データベースへ不正アクセスし、顧客の個人情報を持ち出して販売する事件が発生しました。

情報の流出が発覚したのは、詐欺犯罪を疑った利用者からの問い合わせがきっかけでした。この事件後、トレンドマイクロ社は影響が確認されたユーザーへ個別連絡を行ったほか、データベースへのアクセス厳格化し、監視の強化を行っています。

不正アクセスによる顧客情報の流出

2014年には、大手通信教育会社であるベネッセコーポレーションで通信教育を受講している会員の個人情報が社外に漏洩する事件が起きました。

通信教育をPRするためのダイレクトメールに用いる住所・氏名・性別・電話番号など、合計でおよそ3,000万件もの情報が、名簿業者へ売却されていました。

この事件を起こしたのは、委託会社の社員でした。顧客情報をUSBメモリに書き込めない対策は社内でとられていましたが、当該社員は自らのスマートフォンに情報をコピーしていました。

当時は、この個人情報漏洩事件は、日本史上最大規模だといわれて、情報漏洩が企業に及ぼす影響の大きさを改めて認識した人も多かったのではないでしょうか。

マルウェアへの感染

マルウェアとは、悪意のあるソフトウェアをさしています。ユーザーに対して不利益をもたらす働きをするもので、ウイルスのほかにワーム・トロイの木馬・スパイウェアの4つがあげられます。

ワームは、感染経路はウイルスと同じですが、性質は少し異なります。ワーム単体でパソコンの中に存在し、さまざまな被害の原因となります。2017年には、ワーム「WannaCry」が、ファイルを開けないようにして身代金を要求する文章を表示し、世界中に甚大な被害をもたらしました。

日本でも、およそ1,400万円の振り込みが確認されたうえ、一部工場の生産停止やコンビニに設置されている防犯カメラの管理端末の感染などの影響がありました。海外では、医療システムが使えない・鉄道の駅で電光掲示板が表示されない・電子決済ができないなどの被害が発生しました。

トロイの木馬も、感染経路はウイルスやワームと同様ですが、自己の存在を隠し、身を潜めて振舞うため、発見が遅れる可能性が高いマルウェアです。2012年頃から、パソコンを遠隔操作して犯罪予告や襲撃予告などの書き込みが行われ、誤認逮捕者が出る事件も起こっています。

スパイウェアは、トロイの木馬を含めた他のアプリと一緒にダウンロードされるものが多く、パソコンに侵入して情報収集や設定変更などを行います。2019年に、Androidスマホに感染するスパイウェア「Exodus」が発見されており、その後iOS版も見つかっています。

一度インストールされてしまうと、スマホの中にある連絡先や写真などのあらゆる情報にアクセスし、会話も盗聴されてしまいます。誤ってインストールしないよう細心の注意を払う必要があります。

クラウドのデータ紛失

レンタルサーバー会社であるファーストサーバでは、2012年に大規模なシステム障害を起こしました。このとき、5,000件強の顧客のサーバーデータを消失してしまいました。これは、データバックアップの仕組みに原因があったと考えられています。

セキュリティを確保するにはどのような対策が必要?

これまで解説したように、テレワークを行うリスクは高まっており、セキュリティへの万全な対策が必須です。

総務省では、「テレワークセキュリティガイドライン第4版」の中で、ルール・技術・物理の3点をバランス良く取り入れ、全体の情報セキュリティレベルを上げる対策を講じていく重要性を紹介しています。それぞれの項目で行うべき施策を解説します。

ルールを整備する

テレワークで業務を行うのに、オフィスと全く同じセキュリティ環境を整えるのは困難といえます。また、分からないことがあってもすぐに質問できる人も傍にいません。

そこで、テレワークにおける業務の進め方をルール化し、統一された環境の中で業務を行うことが大切になります。

例えば、データおよび端末の持ち出しルール、オフィス以外の場所からのアクセス方法、Eメールおよびデータの送受信制限などをあらかじめ取り決めておくことが求められます。

ルールを作成したら、従業員に周知するための行動も必要です。定期的なオンライン研修・イントラネットでの周知・啓発活動の実施などを通じて、セキュリティの重要性を浸透させていきましょう。

技術面の充実により確保する

テレワークでは、パソコンのシステムやアプリケーションで実現する「技術面でのセキュリティ」も必要です。

システムへのアクセス段階で、本人認証や端末認証などを実施するのに加え、ハードディスク内のデータ暗号化、ウイルス対策ソフトのインストールおよび定期的なアップデートも求められています。

物理的の整備により確保する

テレワークは、オフィス以外の場所で業務を行いますので、企業関係者以外の人物もいることを忘れてはいけません。このため、ルール策定や技術面ではカバーしきれない、物理的な対策も行う必要があります。

パソコンの管理場所に鍵をかける、テレワークにおける作業エリアに無断で立ち入らせないなど、パソコンそのものを保護する対策も行いましょう。

また、紙媒体は紛失や盗難のリスクが非常に高いため、これを機に文書の電子化を進めるのも効果的です。

まとめ

テレワークは、今後さらに広がる働き方であるといわれています。日本でテレワーク制度をより浸透させるためには、セキュリティ対策の見直しが重要です。

従業員が働きやすいテレワーク環境を整備し、かつ安全性の高いシステムとするために、セキュリティ対策は万全に行いましょう。