Written by MashiNari
ITベンダー、インフラ全般サービス企業で、プロジェクトマネージャー/リーダー等の経験を経て2016年にフリーランスへ転身。
インフラやクラウドシステムを中心に、要件定義、設計、構築、保守まで携わっています。
インフラの土台からweb周りの案件にも視野を広げ、近頃ではフロントエンド・バックエンドの開発にも従事し、日々奮闘中です。
“ChatGPT”の社内利用ルール、どう決める?
【AIサービス利用ガイドライン】を公開!
MOTEXが社内向けに作成したAIサービス利用ガイドラインをダウンロードできます。利用方針の決め方、作成ポイントの解説付き!
コロナ禍以降、テレワークが急速に普及しました。経済の再活性化に動いている現在でもテレワークを継続する企業は多く、移動コストやオフィス固定費の削減、従業員のワークライフバランスの充実などメリットが多くあります。
しかし、一般住宅と企業のオフィスではセキュリティ環境に差が出てしまい、サイバー攻撃の標的になってしまうケースもあります。そこで今回は、テレワークにより発生した情報漏洩の事例から、有効な対策をご紹介します。
テレワークで情報漏洩が発生しやすくなる理由
テレワークはオフィスと比べてセキュリティ対策を施すことが難しく、情報漏洩のリスクが高まる傾向にあります。
外部からのアクセスを受け入れる必要性
オフィスでの業務であれば従業員が利用する端末は社内ネットワークに接続されており、基本的にはそれを前提にセキュリティ対策を施すことが可能です。しかし、テレワークでは従業員の自宅から社内ネットワークへ接続するため、外部からの接続を受け入れる必要があります。
多くの企業ではクラウドサービスの活用やVPN環境の構築を行い対応していますが、設定不備やVPN製品自体の脆弱性、従業員の端末へデータをダウンロードしたデータが流出するなど、想定外の事態が発生するケースも報告されています。
利用するインターネット回線
自宅だけではなく、家庭環境等の理由でカフェやコワーキングスペースを利用する従業員もいるでしょう。その際、作業場所で提供されているインターネット回線を利用することがリスクに繋がります。不特定多数が利用する公衆Wi-Fiでは暗号化が施されておらず、通信内容を傍受される危険があるためです。
また、画面の覗き見や離席時の盗難など、直接的なセキュリティリスクも存在します。
テレワーク特有のリスク
テレワークは移動時間を削減できるなどのメリットもあり、うまく運用することで生産性の向上を期待できます。しかし、同僚や上司の目が届かないため、気が緩みやすい面もあるでしょう。軽い気持ちで業務に無関係なwebサイトを閲覧し、そこからウイルスに感染してしまうリスクも存在します。
また、従業員と家族が共有しているインターネット回線も安心できません。従業員の家族がウイルスに感染し、同じネットワークを利用している業務用端末が巻き込まれてしまう可能性があります。
多くの企業が導入したテレワークですが、メリットだけではありません。どのような危険が潜んでいるのかを把握し、適切な対策を講じることが必要です。
テレワークにおける情報漏洩の事例
テレワーク環境で発生しやすい情報漏洩について、実際にどのようなケースが存在するのでしょうか。ここからは、システムと在宅勤務者それぞれの要因で発生した情報漏洩の事例を紹介します。
VPN製品の脆弱性未対応
2020年8月に、VPN製品のアカウント情報が大量に流出しました。特定のデータをVPN製品へ送信することで、ユーザー認証を行わずに任意のファイルを取得できる脆弱性を悪用されたことによるものです。この脆弱性は既知のものであり、2019年には当脆弱性に対するファームウェアの修正が行われていましたが、ファームウェアを適用していないユーザーが被害を受けた形です。
全世界で約900社がこの被害を受け、そのうち日本企業は38社が含まれており※1、該当する各社は自社設備の調査から対外的な対応に追われました。VPN製品のアカウント情報を盗まれたことから、社内ネットワークへの侵入を許してしまった可能性は否定できません。
直接的な原因はVPN製品の脆弱性ですが、適切な保守運用が行われていなかったことも問題視されています。テレワークにより利用が急増したVPN製品にセキュリティパッチが適用されていないのであれば、他の機器も同じような管理をされているのではないかと外部からは見えてしまうでしょう。
※1 参考:日本経済新聞 VPN情報流出、懸念されるリスクは?
テレワーク端末の踏み台化
2020年5月にテレワークを行っている従業員の作業端末からアカウント情報が盗まれる事件が発生しました。該当端末ではオフィスへリモートアクセスを行う設定が施されていたため、端末を踏み台にリモート先のVDIサーバーへのアクセスを許してしまった形です。
さらに、VDIサーバー経由でファイルサーバへのアクセスが可能な状態であり、結果的にファイルサーバ内の機密情報を閲覧されたと考えられています。
この事件では被害組織の顧客180社以上に影響が出た可能性があり、被害の発覚直後から調査対応、顧客への説明対応に追われました。社内システムのセキュリティに問題がなくても、アクセスを行う端末のセキュリティ対策の不足により発生した事件と考えられます。
クラウドサービスの設定ミス
2020年12月に、クラウドサービス上に保管していた情報に対して不正アクセスを行われる事件が発生しました。クラウドサービスのアップデートが行われた際に一部のセキュリティ設定がデフォルト値に戻り、再設定の必要がありましたが対応できていなかったことが原因の事件です。
この事件では被害に遭った組織が保有していた顧客情報約140万件に対して不正アクセスを受けた可能性があり、約200件は実際に不正アクセスが行われていました。クラウドサービスであっても安心はできず、必要な情報確認や設定作業を行えなかったことによる事件だといえます。
参考:総務省 テレワークセキュリティガイドライン第5版
テレワークを実現するために、システムや業務環境を刷新した組織は多く存在します。しかし、テレワーク実現のための仕組みが原因で不正アクセスを許してしまうケースもあり、組織にとって大きな脅威となります。システムの正常動作だけではなく、適切なセキュリティ対策が施されているかの確認を怠らないようにしましょう。
テレワークの安全性を高めるには?
テレワークで業務を行うのであれば、それに適したセキュリティ対策を施す必要があります。必要な観点は多くありますが、「従業員への教育」「社外ネットワーク環境での業務遂行」「システムの健全性」の3点は多くのテレワーク環境で必要となるでしょう。
従業員の教育
テレワークを行う従業員は、システム管理者が定めたルールを理解し、遵守する必要があります。適切なルールが整備されていても、在宅勤務者の正しい理解を得られていなければ、効果は半減してしまうでしょう。資料の配布や簡単な周知に留まらず、テレワークを行う従業員全員がしっかり理解できるよう努めなければなりません。
業務や環境によりルールは様々ですが、下記の4点は基本ルールとして制定するとよいでしょう。
- OSやセキュリティ対策ソフトを最新の状態に保つ
- 第三者に画面を覗かれる、盗難される可能性がある場所での作業は行わない
- セキュリティインシデントが発生した場合は速やかに報告を行う
- 自宅のネットワーク機器に対してセキュリティ設定を行い、侵入を防止する
従業員の情報リテラシーが低いと、大きなセキュリティリスクになりえます。従業員へ必要な教育については、こちらの記事で解説していますので、併せてご覧ください。
社外ネットワーク環境での業務遂行
全員がオフィスに出勤して業務を行う環境であれば、社内ネットワークと外部ネットワークの境界に強固なセキュリティ対策を施すことで、多くの脅威を排除することができました。しかし、端末の乗っ取りなどでシステム的に正規だと認証されてしまう経路での侵入に対する防御が甘くなってしまう問題があります。
近年注目されているセキュリティの概念に「ゼロトラスト」という考え方があります。ゼロトラストでは、端末やユーザーはネットワークの内外に関わらず全て信用しないと想定し、通信や動作を監視・検証します。これにより、業務端末の乗っ取りやセキュリティホールからの侵入者の不審な動きを検知し、被害を最小限にすることができます。
システムの健全性
業務に利用するデバイスやサーバー、ネットワーク機器を最新の状態に保ち、適切な取り扱いをすることは大前提です。もしテレワークにおけるデータや端末の取り扱いにルールが定められていない場合は、早急にルール化しましょう。
また、起こってしまった情報漏洩の中には、適切に機器のアップデートを実行していれば防げたケースも少なくない。システム管理者は世の中のセキュリティ関連トピックを注視し、「どのような手口があり、もし自社がその手口に直面した時に、十分な対策が施されているか」を考えておくことが重要です。
テレワークにはこれまでのセキュリティセオリーが通用しない場面が多く、適切なセキュリティ対策を行うことが必須です。
セキュリティ対策の内容は多岐にわたります。こちらの記事では情報漏洩の対策について解説していますので、併せてご覧ください。
自社に合ったツールを活用して安全な環境を整えよう
テレワークはメリットが多く、柔軟な働き方を実現できる反面リスクも存在しています。そのため、自社の業務体系に合わせたセキュリティ対策を行い、管理者と利用者双方がリスクを認識・警戒しながら運用することが求められます。
テレワークを後押しするソリューションは数多く存在していますので、自社に合ったツールをうまく活用して安全な環境を整えていきましょう。
その一つとして、エムオーテックスでは外部脅威対策・内部情報漏洩対策・脆弱性対策を行えるツール「LANSCOPE」を提供しています。情報漏洩対策を整えたいと考えている方はぜひお役立てください。
情報漏洩が発生する理由や基本的な対策については、こちらの記事で解説しています。
“ChatGPT”の社内利用ルール、どう決める?
【AIサービス利用ガイドライン】を公開!
MOTEXが社内向けに作成したAIサービス利用ガイドラインをダウンロードできます。利用方針の決め方、作成ポイントの解説付き!
関連する記事
