こんにちは。スプラッシュトップ編集部です。
テレワークは従来の働き方と異なるため、セキュリティに関する注意点も異なります。しっかりと対策ができなければ、思わぬセキュリティ事故につながってしまうことも……。
今回は、総務省のガイドラインで紹介されている内容を中心に、テレワークにおけるセキュリティ事故の事例、そのような事故を起さないためのポイントや対策方法を解説します。
テレワークにおけるセキュリティ事故の事例
総務省が公開している『テレワークセキュリティガイドライン(第4版)』にある事例を中心に、テレワークにおいて発生したセキュリティ事故やトラブル事例をいくつか紹介します。
マルウェア感染により納期遅延が発生
テレワーク時に持ち出した社用PCで海外のWebサイトを閲覧した際にランサムウェアに感染してしまい、復旧の期間は業務が行えなかったために納期遅延が発生してしまったという事例です。
インターネット上には不正なWebサイトが無数にあります。社内ネットワーク内であれば、ネットワークセキュリティでの対策や管理が可能ですが、テレワーク中は端末のエンドポイントセキュリティ対策が特に重要になります。
公衆無線LANの利用により競合に情報が漏洩
テレワークで公衆の無線LANを利用してメールの送受信をしたところ、メールに添付した機密情報を含むファイル情報が競合企業に漏れてしまったという事例です。
公衆無線LANのなかにはセキュリティ対策が不十分なものも少なくないため、他者に通信内容を傍受される可能性があります。テレワークは、インターネットにつながっていれば場所を問わず業務が可能ですが、接続するネットワークの管理やセキュリティ対策にも注意を払う必要があります。
端末の紛失によりクライアント情報が漏洩
取引先情報に関するファイルを保存した端末を電車内で紛失してしまい、取引先の情報の漏洩を引き起こしたという事例です。
その結果、取引先から「御社にしか伝えていない電話番号にセールスの電話が来る」などの苦情が寄せられ、謝罪対応に追われるようになりました。
この事例のように、テレワークで利用する端末に機密情報を含むファイルを保存していると、紛失・盗難によって情報漏洩につながる恐れがあります。
VPNに関するセキュリティ事故も
テレワークの普及とともに注目度が高まっているVPN(Virtual Private Network)は、テレワークを安全に利用する技術として認知されています。
しかし、2020年8月には、特定のVPN装置を利用していた日本企業38社、世界では900社以上の情報が漏洩する事例が発生しました。
利用企業がセキュリティパッチを更新しなかったために、当該装置の脆弱性が悪用され、漏洩につながったとされており、「VPNさえ利用していればテレワークは安全」とは言い切れないことがこの事例から分かります。
VPNの情報漏洩事例について詳しくはこちら
セキュリティ事故が起こる8つのパターンと原因
総務省のガイドラインには14の事例が紹介されていますが、大きく8つのパターンに分けることができます。以下のテレワークでセキュリティ事故が起こるパターンと原因を確認し、セキュリティ事故を未然に防ぎましょう。
セキュリティ事故の8つのパターン
- 公共の場での盗み見・通信傍受被害
- アプリやWEBサイト経由でのマルウェア感染
- セキュリティソフトやOS等の更新忘れ
- 端末の盗難・紛失
- 詐欺・なりすましメール被害
- パスワード管理の問題による不正アクセス
- SNSの誤用
- クラウドサービスの設定ミス
セキュリティ事故が起こる根本原因
同ガイドラインでは、安全なテレワークを実現するために、「ルール」・「人」・「技術」の三位一体のバランスがとれた対策の実施が必要だとされています。
前述のようなセキュリティ事故が起こる要因はケースバイケースではありますが、「ルール」・「人」・「技術」のいずれかの対策が不十分だったことが根本原因にあると考えられるでしょう。
安全にテレワークを実施するためのルール策定、従業員に対するリテラシー教育、技術的なセキュリティ対策が、不足なくバランスよく実施できているか常に確認することが、あらゆるセキュリティ事故から企業を守るために重要となります。
具体的な対策方法について、次章で説明します。
あらゆる事故を防ぐためのセキュリティ対策
「ルール」・「人」・「技術」を軸とした具体的な対策方法
「ルール」
テレワークは従来と異なる環境下で業務を行なうため、まずは安全にテレワークを実施できるよう、新たなルールの策定からはじめましょう。
「人」
策定したルールの周知徹底や、従業員のセキュリティリテラシーを向上させるための教育も重要になります。ルールを周知するだけでは守ってもらうことは難しいため、ルールの遵守とリテラシーの向上が自身のメリットになると理解してもらうことが大切です。
「技術」
最後に、ルールや人だけでは対応できない部分を補完するために、技術的なセキュリティ対策を実施します。技術的なセキュリティ対策は認証・検知・制御・防御を自動的に実施するものであり、不正アクセスやマルウェア感染などの直接的な対策になります。
具体的な対策例
有効な対策例として以下のようなものがあります。
- テレワークできる場所の指定(ルール・人)
- 使用するツール・アプリの指定(ルール・人)
- 利用する端末やアプリの最新化(ルール・人・技術)
- 暗号化された通信経路の利用(ルール・人・技術)
- テレワーク端末へのファイル保存の禁止(ルール・人・技術)
- ウイルス対策ソフトの導入(技術)
- 多要素認証の利用(技術)
例えば、多要素認証を利用すると従来のID/パスワードによる認証に加えて、生体認証やデバイス認証などを行なうことで不正アクセスの対策ができます。これは、ルールや人だけでは対応しきれない不正アクセスを、技術で対応する代表的な例でしょう。
その他にも、テレワーク端末へのファイル保存を避けると、端末の盗難・紛失時の情報漏洩を防げます。これはルール・人の対策でも対応可能ですが、そもそも端末にファイルを保存できない仕組みを技術で実現できると、より効果的です。
このように、ルール・人・技術による対策を組み合わせて、隙のないセキュリティ対策を実施しましょう。
強固なセキュリティ対策におすすめのテレワークツール
先述のような対策を実現するためには、複数のソリューションの併用が必要な場合がほとんどです。しかし、リモートデスクトップサービスの“Splashtop”であれば、1つのツールで広範囲をカバーすることが可能です。
Splashtopは一般的なリモートデスクトップツールとは異なり、VPNを利用せずとも安全な通信が実現可能です。通信経路はSSL/AES256ビット暗号化通信によって暗号化されているため、通信傍受や盗聴への対策が可能です。
また、二段階認証やデバイス認証も利用できるため、不正アクセスによる情報漏洩にも備えられます。
更に、社内PCに遠隔地からアクセスして業務を行える仕組みのため、テレワーク端末にデータを残しません。
テレワークを実現するためのシステムやツールを最小限にすることで、従業員が守るべきルールも最小限にすることができ、結果セキュリティ事故の発生抑制にもつながります。
テレワークにおけるセキュリティ対策にお困りの方は、Splashtopの導入も検討されてみてはいかがでしょうか。
>【無料トライアル実施中】Splashtopについて詳しく知りたい方はこちら
まとめ
テレワークを利用する際には、さまざまなセキュリティリスクに留意しなければなりません。テレワークの利用が増えている今、関連するセキュリティ事故も増えてきています。
テレワークのセキュリティ対策は、「ルール」・「人」・「技術」の3つの柱を基にして考えることが重要です。この記事で紹介した内容を参考に、強固なセキュリティ対策を実施して安全なテレワーク環境を実現しましょう。
