テレワークで必要なセキュリティ対策、情報漏洩などのリスクを紹介

テレワークで必要なセキュリティ対策、情報漏洩などのリスクを紹介

新型コロナウイルスの感染拡大以降、企業においてテレワーク環境の整備が強く求められる状況になりました。そのためテレワークにおいてセキュリティを担保し情報漏洩が起こらないようにするにはどうすべきか、その対応が大きな課題となっています。

今回は、テレワークによって起こりうるセキュリティリスクの具体例を紹介すると共に、その解決策となるセキュリティ対策を解説していきます。

1. テレワークにおけるセキュリティ対策の重要性

テレワークにおけるセキュリティ対策の重要性

テレワークはもともと、社員の生産性向上をはかるための方策の一つとして注目されていました。テレワーク環境が整えば、子育て・介護などで出社が難しい社員でも安心して働くことができ、勤務場所にとらわれず有能な人材を集めることもできるようになります。

しかし、在宅から社内ネットワークにアクセスできる環境にはさまざまなセキュリティリスクが潜んでいます。テレワークの推進においては、セキュリティリスクを把握し適切な対策をおこなうことが必須です。

2. テレワークで起こりうるセキュリティリスク

では、テレワークで起こり得るセキュリティリスクにはどのようなものがあるのでしょうか。実際に発生した事例を交えて解説していきます。

2.1 パソコンやモバイルの紛失・盗難

パソコンやモバイルの紛失・盗難

まずはじめに、デバイスや記録媒体を社外に持ち出す場合には、個人の過失による紛失に加え、悪意ある第三者からの盗難にも注意する必要があります。
2019年、某大学病院勤務の医師が海外出張中にノートパソコンやモバイル端末が入ったカバンの盗難の被害に遭いました。幸いにも個人情報の流出などの被害は報告されていませんが、大学ではWebサイトに学長名義のお詫びのコメントを掲載するなどの対応に追われました。

このようなパソコンやモバイルの紛失・盗難を防ぐためには、物理的な保管方法のルールを明確化し適切な管理を行うと共に、万一の紛失・盗難に備えてデータの暗号化、端末の遠隔ロック・初期化を行う端末管理ツールの導入などの対策が重要です。

2.2 クラウドサービスからの情報漏洩

クラウドサービスからの情報漏洩

最近は自社内のサーバーではなくクラウドサービス上に業務情報を保存している企業が増えています。クラウドサービスはセキュリティ対策がおこなわれているものが多いですが、アクセス設定を誤り外部に機密情報を公開してしまう事例も複数発生しています。
また、コミュニケーションツール上で不用意に業務情報をやりとりし、業務に関係しない第三者に誤って情報を公開してしまうというミスも起こり得ます。

クラウドサービスからの情報漏洩を防ぐためには、データ通信の暗号化やアクセス機能制限などのセキュリティ機能が充実したサービスを選ぶと共に、不用意に情報を公開しないよう従業員のセキュリティリテラシー向上が必要です。

2.3 公衆無線LANからの情報漏洩

公衆無線LANからの情報漏洩

テレワークをおこなう際に無料で利用できる公衆無線LAN(Wi-Fi)に接続することで通信を盗み見られ、情報漏洩が発生するケースもあります。
2018年時点の総務省の調査では、全国で設置された約570の自治体の公衆無線LANにおいて半数近くの256自治体が無線区間の暗号化をしていなかったことがわかっています。

公衆無線LANからの情報漏洩を防ぐために、テレワーク時に公衆無線LANを利用しないよう、セキュリティガイドラインの設定が必要です。

2.4 ウイルス感染による情報消滅

ウイルス感染による情報消滅

従業員が標的型攻撃にあったり不審サイトにアクセスしたりすることでウイルスに感染し、情報漏洩や情報消滅が発生する可能性があります。近年ではEmotetと呼ばれる情報窃取を狙うマルウェアやWannaCryと呼ばれるランサムウェアが大きな被害をもたらしました。
ウイルス感染させるための手口は年々巧妙化しており、今後もそのリスクは高まっていくことでしょう。

ウイルス感染による情報漏洩を防ぐためには、常にウイルス対策ソフトを最新化できるよう端末管理ツールなどを導入することに加え、不審メールの添付ファイルやURLを開かない、業務に関係ないサイトにはアクセスしないといった、従業員に対するウイルス感染対策についての教育が必要です。

2.5 内部不正による情報漏洩

内部不正による情報漏洩

情報漏洩の脅威は外部にのみあるものとは限りません。関係者が不正に情報を持ち出し情報漏洩を発生させるケースもあります。
2020年には某病院において、業務委託先の従業員が患者の個人情報をUSBメモリなどに複製し、情報を盗み取っていた事例がありました。

テレワーク環境下では周囲の目が少ないことで容易に情報を盗み取れること、また情報を盗み取っている事実が発覚しにくいことにも注意が必要でしょう。

悪意ある内部者に対しては、監視カメラの設置など物理的な対策では対応しきれない場合があります。セキュリティガイドラインを浸透させると共に、情報を盗み取った結果として刑事事件に発展する可能性を含め、情報の持ち出しがどれほど重大なことなのかを教育していく必要があるでしょう。

3. テレワークでのセキュリティ対策

では、これからのセキュリティリスクにはどのような対策が有効なのでしょうか。ここからはテレワーク環境下でのセキュリティ対策を解説していきます。

3.1 セキュリティガイドラインの作成

セキュリティガイドラインの作成

セキュリティガイドラインを作成し、テレワーク時におけるルールを定めることで、情報漏洩を未然に防ぐことができます。
例えば「公衆無線LAN(Wi-Fi)を業務に使用しない」、「情報の機密性区分を定めて機密性の高い情報をクラウドサービスで取り扱わない」、「防犯のために端末にはセキュリティワイヤーを取りつける」など、基本的なルールを明確にしましょう。
また、社内端末の盗難・紛失した場合の対応など、万が一のインシデント発生に備えて緊急連絡体制を明確にしておくことも重要です。

3.2 ウイルス対策ソフトの導入

ウイルス対策ソフトの導入

テレワークで利用する端末にはウイルス対策ソフトを導入しセキュリティの監視をおこないましょう。管理サーバーをたてて各端末のウイルス対策ソフトの検知状況を把握することで、万が一のウイルス感染にも迅速に対応することができます。

自社内での管理サーバー構築や監視にはシステム管理者や専任技術者の対応が必要となるため、QT PROの「CylancePROTECT® マネージドサービス」のようなAIエンジン搭載型のエンドポイント等のセキュリティサービスを利用し、高いセキュリティを担保しつつ、構築・運用・管理を一元化するのがおすすめです。

3.3 マルウェアのブロック

マルウェアのブロック

マルウェアのブロックにはウイルス対策ソフトの導入も重要ですが、アップデートや長時間のフルスキャンを頻繁におこなわなければならず、システム管理者の負担が大きくなります。その結果ウイルス対策ソフトの利用が形骸化してしまう恐れがあるため、できる限りシステム管理者の負担を抑えられるウイルス対策ソフトを導入することが重要です。

3.4 データ暗号化等によるデータ保護

データ暗号化等によるデータ保護

テレワークで利用する端末にはデータ暗号化などによるデータ保護を施し、端末紛失・盗難が発生した際の二次被害を防ぎましょう。Windows OSのProにはBitLocker、Mac OSにはFileVaultといった暗号化機能が標準で備わっていますので活用をおすすめします。

なおWindows OSのHomeにはBitLockerがないため、別の暗号化手段を用意する、もしくはHomeの端末はテレワークでは利用しないなどの対策が必要となります。

3.5 端末管理ツールの導入

端末管理ツールの導入

モバイル端末管理で利用されるMDMのような端末管理ツールを導入することで、データ暗号化とあわせて端末紛失・盗難のリスクを軽減しましょう。

端末管理ツールでは、遠隔での初期化に加えアプリケーションの一括管理などもおこなうことができます。業務に不要なアプリケーション利用の制限や業務中の私的利用の検知にも活用できるため、内部不正による情報漏洩の対策としても有効です。

3.6 アクセス認証・制限機能の導入

アクセス認証・制限機能の導入

外部から社内のファイルサーバーや業務システムにアクセスする際のアクセス認証・制限機能を導入することで、盗難やマルウェア感染などで端末が不正操作されても情報流出を防ぐことが可能です。

「QT PRO セキュアモバイル」は、インターネットを経由しない安全な閉域網接続で、アクセス認証機能も搭載しているため、外出先からでもより高いセキュリティ性を担保することができます。

3.7 安全性の高い通信インフラ導入

安全性の高い通信インフラ導入

万全なセキュリティ体制を確保するためには、セキュアな通信環境の整備やファイアウォールでのフィルタリング、不正侵入検知・遮断、閉域で接続できるモバイル環境の構築など、安全性の高い通信インフラを導入することが重要です。

これらの通信インフラを自社内のみで構築するには高い運用コストや技術が必要になりますが、「QT PRO マネージドセキュリティ」や「QT PRO セキュアモバイル」のようなセキュリティサービスや閉域モバイルサービスを利用することで、技術面や機器購入・運用コストを抑えることも可能です。
導入までのリードタイムを短縮することもできるため、コストを抑えつつ迅速にセキュアな通信インフラを整えることができます。

3.8 従業員のセキュリティリテラシーの向上

従業員のセキュリティリテラシーの向上

いかにルールやツール、通信インフラを整えても、社員のセキュリティリテラシーが低く、不用意にメールのURLや添付ファイルを開いたり危険なサイトにアクセスしていては、テレワークにおけるセキュリティを確保することは難しいでしょう。

ここまで紹介したさまざまな対策をより効果的なものにするためにはしっかりと教育をおこない、従業員のセキュリティリテラシーを向上させることが不可欠です。
「QT PRO セキュリティ研修サービス」や「QT PRO 標的型メール訓練サービス」を活用し、根気強く従業員へのセキュリティ教育を実施しましょう。

4. QT PROがテレワークのセキュリティリスクを解決

ここまで、テレワークで起こりうるさまざまなセキュリティリスクを解決するためには、テレワークにおけるルールの策定やツール、通信インフラの整備、従業員のセキュリティリテラシー向上が必要になることを紹介してきました。

セキュリティに対する社会全体の関心の高まりや個人情報保護にまつわる世界的な法律の厳格化などを受け、セキュリティ対策は企業にとって避けては通れない取り組みとなっています。
テレワークにおけるセキュリティリスクを解決するQT PROのサービスをぜひ活用し、セキュアなテレワーク環境の構築を実現しましょう。