特集記事

2021.12.01

テレワーク環境下における4つのセキュリティ事故事例と7つの対策法

コロナウイルスの急激な蔓延によって、多くの日本企業が新たな働き方として次々と導入していった”テレワーク”。

テレワークとは、従来の”職場で働く”というスタイルから脱却し、インターネット等の通信技術を駆使して”職場以外の場所(自宅や周辺の施設、時には観光地など)で働く”スタイルのことを表しています。

コロナウイルスを機に急速に普及したテレワークですが、海外やIT企業を中心に既に実践されてきていた働き方であり、会社へ出勤するための時間を削減できたり、出勤中の交通混雑を回避できたりと、感染回避の観点だけでなく、従業員の時間の使い方という観点でも魅力ある働き方として積極的な企業導入が求められています。

一方で、テレワークは職場以外の場所で働くスタイルであり、かつ、企業情報等を常にインターネット等を介して扱うことになるため、企業間者以外の第三者による情報の閲覧やインターネットトラブルによる情報の漏洩などのセキュリティ事故が発生してしまうリスクを抱えています。

「企業情報を守ろうとしたらセキュリティ技術を向上させればいい」とお考えになる方もいらっしゃるかと思いますが、セキュリティは技術そのものだけで向上することはなく、セキュリティを管理する”人”、管理する人々を統制する”セキュリティルール”もまた必要不可欠なものです。

今回の記事では、このようなテレワーク環境におけるセキュリティ事故の事例と、それぞれの対策法に関してご説明していこうと思います。ぜひ最後までご覧ください。

セキュリティ対策の在り方

テレワーク セキュリティ事故 事例

セキュリティを万全にしなければ企業情報の漏洩など、トラブルの種となってしまいます。冒頭にてセキュリティを向上させるためには、”技術”・”人”・”ルール”の3つの要素が大切となるとお伝えしましたが、これがどのような意味を持っているのかを、まずはじめに確認しておこうと思います。

この考え方は総務省が2018年に発表した『テレワークセキュリティガイドライン(第4版)』で記載されています。このガイドラインの中では、お風呂で使う桶を例に用いており、桶の中に溜まる水を”企業情報”、この桶を構成しているひとつひとつの木組みを”技術”・”人”・”ルール”と見た際に、企業情報を守る、技術・人・ルールのどれかのセキュリティレベルが高くても、どこかひとつでもセキュリティレベルの低い要素があるだけで、そこから水(企業情報)が漏れ出していく(漏洩していく)と説明しています。

この説明は、情報セキュリティを万全なものにするためには、”技術”・”人”・”ルール”の3つの要素がバランスよくセキュリティレベルを保持しなければならないことを強く主張しているといえます。

テレワーク セキュリティ事故 事例

また、第4版を改編し、新たなセキュリティの観点を説明してくれている『テレワークセキュリティガイドライン(第5版)』では、セキュリティを守る”人”の要素を更に細分化し、企業全体の健全な経営と情報管理の方針策定を担う”企業経営者”、情報管理の方針を実際のセキュリティ管理システム・ルールへと具体化させるとともに管理を担う”情報システム・セキュリティ管理者”、情報管理ルールを遵守するとともに情報管理リテラシーの高いレベルの維持に努める”テレワーク勤務者”のそれぞれがセキュリティにおいてどのような役割を担わないといけないかを丁寧に説明しています。

テレワーク環境下のセキュリティ事故例

テレワーク セキュリティ事故 事例

セキュリティというものが、どのようにその盤石性を維持しなければならないかをご理解いただいた次に、この盤石性が築ききれていなかった(桶に穴があった)場合にどのようなセキュリティ事故が発生するのかをご説明していこうと思います。

先に触れたセキュリティガイドラインでもセキュリティ事故に関しての説明が行われており、その中から以下に挙げた事故例をご説明していきます。

  • マルウェア感染によって納期の延期が発生
  • 公衆無線LANの利用によって競合他社に企業情報が漏洩
  • 情報保管端末の紛失によりクライアント情報が漏洩
  • VPNを起点に発生した情報漏洩(セキュリティ事故)

それぞれを詳しく見ていきましょう。

マルウェア感染によって納期の延期が発生

テレワークのために持ち出していた社用PCや、企業内部の回線に接続している個人PCで海外のWebサイトを閲覧した際にランサムウェアに感染してしまい、復旧期間中の業務の全面停止、更には取引先との納期の延期が生じてしまったというセキュリティ事故事例です。

インターネット上には不正なWebサイトが無数に存在しており、社内のネットワークであればネットワークセキュリティ(ファイアウォール等)での対策・情報管理が可能ですが、テレワーク中においては、社外へと持ち出した社用PCや社内ネットワークと接続可能な個人PCなど、各端末のエンドポイントセキュリティも万全にする必要があります。

公衆無線LANの利用によって競合他社に企業情報が漏洩

テレワーク中は自宅で働くだけでなく、インターネットに接続できる無線LANが提供されている商業施設や公共施設で仕事を行うこともあるかと思います。

しかしながら、この際に利用した無線LANのセキュリティが十分でないために、公衆の無線LANを利用したメールの送受信を行い、メールに添付した機密情報を含んだファイルが企業他者に漏れてしまうという事故も確認されています。

公衆の無線LANの中にはセキュリティ対策が不十分なものもあり、他者に通信内容を傍受されてしまうリスクが常に付きまとっています。接続するネットワークの管理やセキュリティ対策にも注意を向けることが大切であり、盤石性を高める意味ではポケットWi-Fiなどの個人での利用を想定した無線LANを利用するのもおすすめです。

情報保管端末の紛失によりクライアント情報が漏洩

先に触れた公衆無線LANの利用による情報漏洩が起きるのならば、「USBなどでインターネットを介さずに情報のやりとりを行えばいい」と考えた方もいらっしゃるのではないでしょうか?

確かに、インターネットを介さずに情報交換を行えばインターネット等を起点としたセキュリティ事故に遭うリスクは随分と小さくなります。しかしながら、また同時に別のリスクが発生してしまうのです。

事例として取り上げられているケースでは、取引先情報に関するファイルを保存した情報保管端末を電車内で紛失し、取引先の情報漏洩が発生したということが説明されています。テレワークはもちろん、企業情報を外部に持ち出すことは非常にリスクが高いため、機密情報を含んだファイルは厳重な保管を徹底するとともに、外部に持ち出さない工夫を検討することが大切となります。

VPNを起点に発生した情報漏洩(セキュリティ事故)

テレワークの普及に伴って注目が高まるようになってきたのがVPN(Virtual Private Network)です。この技術はインターネット上に利用者専用の仮想的なプライベートネットワークを構築するもので、これによってセキュリティ上の安全性を担保した通信を行うことが可能となります。このような観点からテレワークを安全に利用する技術として認知が広がりました。

しかしながら、このVPNを起点にしたトラブルが発生してもいて、2020年8月に特定のVPN装置を利用していた日本含む世界の900社以上の機密情報が漏洩するという事態が発生しました。

このVPNサービスを利用していた利用企業がセキュリティパッチを更新しなかったことで、当該装置の脆弱性が悪用され、結果的に情報漏洩につながったと説明されており、「VPNを利用していればテレワークは安全」という認識を改めなければいけない教訓を与えました。

テレワーク環境下のセキュリティ対策

テレワーク セキュリティ事故 事例

最後にテレワークを導入するにあたって、テレワーク環境下におけるセキュリティ対策をご説明していこうと思います。

テレワークにおけるセキュリティを向上させるには、先に触れた”技術”・”人(企業経営者、情報システム・セキュリティ管理者、テレワーク勤務者)”・”ルール”の3要素を軸とした具体的な方策を練ることが重要となります。

”ルール”の観点では、企業の健全な発展と従来と異なるテレワーク環境での業務を遂行するための方針を、企業経営者を中心として定め、安全なテレワーク環境を実装できるように努めなければなりません。

そして”技術”の観点では、企業経営者が示したテレワーク環境下における情報セキュリティの在り方にどのようなセキュリティ技術を導入できるか、また、ルール・人のみでは補え切れない情報管理が何であるのか、どのようなセキュリティを検討すべきかを情報システム・セキュリティ管理者が具体化するとともに、より詳細なルール(社内規定)に落とし込むことが重要となります。

最後に”人”の観点では、情報システム・セキュリティ管理者が具体化させた社内規定をテレワーク勤務者はもちろん、企業経営者、情報システム・セキュリティ管理者も遵守することが大切となります。

またルールを定めるだけでは社員すべての遵守にはつながらないため、積極的な周知を行ったり、セキュリティリテラシーを向上させるための説明会等を行う必要もあるといえます。

ルールを遵守してもらうには、単に遵守してほしいと伝えず、ルールの順守とリテラシーの向上が企業にとっての、更には企業に勤める従業員すべてのメリットになると理解してもらうことが重要となります。

具体的な対策例としては以下のものが挙げられます。

  • テレワークを行う場所の指定(ルール・人)
  • テレワーク中に利用するツール・アプリケーション等の指定(ルール・人)
  • テレワークに用いる機器・端末・アプリの更新と最新化(ルール・人・技術)
  • 暗号化された通信経路の利用(ルール・人・技術)
  • テレワーク端末へのファイル保存の禁止(ルール・人・技術)
  • ウイルス対策ソフトの導入(ルール・人・技術)
  • 多要素認証の利用(ルール・人・技術)

上記に説明した方法以外にもセキュリティを高める方法はいくつも存在します。今回の記事でご紹介した『テレワークセキュリティガイドライン』にはさまざまな対策法が説明されていますので、これをきっかけに情報セキュリティリテラシーを高めるための取り組みに積極的に努めていただければと思います。

まとめ

テレワーク セキュリティ事故 事例

テレワークにおけるセキュリティの在り方、セキュリティ事故の事例、セキュリティ対策をご説明してきましたがご理解いただけたでしょうか?

本文にて触れましたが、セキュリティを維持するためには”技術”だけが高水準にあればいいわけではなく、この技術を利用する”人(企業経営者、情報システム・セキュリティ管理者、テレワーク勤務者)”と技術を利用する人々を統制する”ルール”も常に高水準を維持しなければならないことを強く実感していただけたかと思います。

また更に”技術”が更新されたものの、”ルール”・ルールを遵守する”人”が技術を最大限に活用するものとなっていなかった場合には技術の更新は無駄なものとなってしまいますし、この技術の更新には”人”による積極的な情報収集が大切となり、”ルール”の必要性が企業の従業員それぞれに理解してもらっていなければ情報収集を行う動きが起こることもありません。

このように、”技術”・”ルール”・”人”は常に密接な関係にありながら情報セキュリティを守るための要素となっていることを意識していただければと思います。この記事がテレワークを企業導入しようとしている・実際に導入している企業関係者の方のお力になれば幸いです。

同じキーワードの関連記事

熊本という新たな環境で共に動き挑戦していく企業様を求めています。 熊本という新たな環境で共に動き挑戦していく企業様を求めています。

まずは気軽にお問い合わせ、
又は、オンライン相談申し込みをしてください。