Withコロナ時代におけるテレワーク導入後のセキュリティ

テレワークで起きうるセキュリティの問題

先輩まず、テレワークで起きうるセキュリティ上のリスクから考えてみよう。

テレワークで起こりうるもっとも大きなセキュリティ上のリスクは、情報が外部に漏れる「情報漏えい」の機会拡大だ。

テレワークをする場合、当然業務で使用する PC をオフィス外に持ち出して、個人宅で契約しているネットワークや移動中に使用するモバイルネットワーク、カフェや公共で提供されている無料 Wi-Fi などさまざまな環境から、ビジネスに関わる情報をやり取りしたり、クラウドサービスや VPN へのアクセスなどを行うことになる。

従業員の自宅のネットワーク環境まで会社としては管理しようがないし、全社員に会社からネットワーク環境を支給するにも限界がある。そして公共の場所にある Wi-Fi についても、セキュリティ面が万全ではないケースが十分に考えられる。

脆弱なセキュリティの中で作業した際に、万が一にでも機密情報や個人情報などが漏えいした場合、謝罪や損害賠償などを法律に沿って償わなければならず、企業イメージの悪化も避けられない。

このように、テレワーク環境においては、これまで企業としてセキュリティ対策を進めてきたことだけでは、カバーしきれない部分が大きくなる。

これからの企業が情報漏えいやそれにつながる不正アクセスなどのサイバー犯罪を防ぐには、テレワークを前提としたセキュリティ対策を改めて考える必要があるね。

テレワーク導入後のセキュリティリスクはどこにあるのか

新人テレワークしている時のセキュリティ問題というと、会社の PC を無くさないようにするとか、外でログインする時には後ろに気を付けるとかでしょうか。

先輩そうだね。基本的にはノート PC で作業する外回りの従業員が注意することと似ているけど、テレワークとなると思いがけない場所にセキュリティリスクが潜んでいることもあるんだ。こんどはそれについて考えてみようか。

テレワーク導入時におけるセキュリティリスクは、具体的に以下のようなものが考えられる、1つずつ解説していこう。

自宅回線によるセキュリティリスク

1つ目は、自宅回線のセキュリティリスクだ。

テレワークでは多くの場合、自宅のインターネット環境を利用して社内ネットワークにつなぐ。

自宅で使用するルーターなどのセキュリティが万全でないと、いくら会社で支給されたセキュリティ対策がされた PC を使用していても自宅のネットワークの脆弱性から、結果として社内のネットワークにウイルスやマルウェアを広げてしまう事になりかねない。

また、緊急対応としてテレワークを実施している場合、一時的に社内システムに外部からアクセスできるような対応をしている企業も多い。そうした時に、支給された PC 以外の個人所有の PC やモバイル端末でアクセスするようなときも、マルウェアを社内ネットワークに招き入れてしまう危険性がある。
さらに、端末にウイルスやマルウェアが入り込んだ場合も、企業のネットワーク環境の中であれば、ファイアウォールによって情報漏えいが防げる可能性もあるが、自宅のネットワーク環境の場合はほぼ絶望的だ。

インターネットまでの層が薄く、セキュリティ的にも脆弱な自宅から企業のネットワークへのアクセスは、それだけでセキュリティリスクの高い行為だと言えるんだ。

ウイルス/マルウェア感染によるセキュリティリスク

2つ目は、ウイルスやマルウェアの感染によるセキュリティリスクだ。

会社から支給されている PC なら、当然ウイルス対策ソフトは導入しているはずだ。しかし、セキュリティソフトのアップデートが会社のネットワーク経由でないとできなかったり、個々の PC でセキュリティアップデートをかけるようになっている場合、自宅に持ち帰った PC のアップデートが止まっていたり、重要な更新ができていない端末が生じてしまう可能性がある。

セキュリティソフトやシステムの更新がされない端末は、それだけでウイルスやマルウェアへの感染リスクが高くなってしまう。また、自宅や公共のネットワーク回線の場合、不正なサイトへのアクセスを遮断するための防壁も薄くなるから、知らないうちに端末内にマルウェアが潜んでいたという事にもなりかねない。

外回りなどで PC を使用している以上に、会社のネットワークから切り離される時間が増えるテレワークにおいて、端末のアップデート管理は今まで以上に難しい状況になると言える。

公衆 Wi-Fi によるセキュリティリスク

3つ目は、公衆 Wi-Fi のセキュリティリスクだ。

テレワークのメリットの一つが、働く場所をある程度自由に設定できることだが、同時に脆弱でセキュリティ面が万全でないインターネット回線に繋がるリスクも高まるんだ。

自宅でのネットワーク環境以上に注意が必要なのが、カフェや公共施設などで提供されているフリーの Wi-Fi を利用するような場合だ。
例えば、情報を流出させる目的で第三者が設置した Wi-Fi スポットや、セキュリティに不備のあるネットワークに繋げてしまうと、機密情報を取り出されて悪用される可能性もある。

また、フリーの Wi-Fi 回線を利用するような場所は、PC の画面や操作の手つきを第三者にみられる可能性がある場所でもあるから、自宅の回線が遅くなったときに、そういった場所を利用する時などは、アクセス先と合わせて注意が必要になるね。

端末の紛失リスク

4つ目は、端末を紛失するリスクだ。

テレワークが導入されると、当然会社から仕事をするための端末を持ち出して使用することになる。その場合、注意しなければいけないことの１つは、端末の盗難や紛失のリスクだ。

オフィス以外の場所に端末を持ち出すことで、飲食店やイートインスペースなどで短時間の離席の間に盗難に遭ったり、電車やバス、タクシーなどに端末を置き忘れるというリスクが発生することになるし、端末を持ち歩くということは落したり、ぶつけるなど破損や故障といった物理的な損害が起きるリスクも高くなる。

さらに、外で PC やスマートフォンなどを使って仕事をするということは、第三者に覗き見をされるというリスクもある。PC などの画面を覗き見ることで、企業の機密事項や個人情報、メールの中身や ID、パスワードを、第三者に知られてしまう可能性も十分に考えられる。

こうした4つのリスクは、それぞれは気を付けることで回避できる程度のリスクでもあるけど、テレワークを導入するという事は、これらのリスクに複合的かつ長期間に渡ってさらされるという事でもある。 脅威的な速さで進化しているウイルスやマルウェアは、企業において脆弱な部分を常に探して、企業の内部へと入り込もうとしている。一時的に持ち出された端末は、そうした脅威にとっては格好の獲物だ。そこから、情報漏洩に繋がってしまえば、その損害は自社を脅かす可能性もあるわけだから、慎重に対策を行う必要があるんだ。

テレワークを導入したら抑えるべきセキュリティ対策

新人そうか、テレワークとなると、これまでよりも長時間 PC が持ち出されることになるんですね。そうするとリスクの種類もいろいろありますね。

先輩そうだね。こうしたリスクにどうやって対応していけばよいのか、抑えるべきセキュリティ対策を見ていこうか。

テレワークを導入する時に抑えるべきセキュリティ対策は大きく分けて以下の3つになる。
それぞれについて、解説していこう。

規定による対策

1つ目は、規定による対策だ。

テレワークの実施にあたり重要になるのが、社内での規定を策定して、従業員を管理・教育することだ。

例えば、社外との情報のやり取りや、社内文書の取り扱い方を、テレワーク用に規定するという方法がある。

テレワークを実施する際に、従業員にこの規定を遵守してもらう事で、セキュリティ問題のリスクを減らすことができる。

情報セキュリティに関する基本方針や行動指針を策定している企業では、テレワークで業務を行う上で遵守すべきセキュリティの考え方を、セキュリティガイドラインに反映していくことも重要になる。

会社はガイドラインや規定を策定して終わるのではなく、ルールの趣旨や、ルールを遵守することの重要性を従業員に自覚してもらうために、最新の状況に照らし合わせて改定したセキュリティガイドラインを元に、従業員へセキュリティに関するトレーニングを定期的に実施する事で、テレワークという新しい働き方に合わせた、セキュリティレベルを社内に周知させることができる。

物理的な対策

２つ目は、物理的な対策だ。

規定の策定や従業員のトレーニングといった対策はセキュリティにおける基礎にはなるが、それだけでは進化するサイバー攻撃の脅威への対応や物理的な被害に対して限界がある。

物理的な脅威の例は、盗難や破損などによって、パソコンや記憶媒体などのハードウェアそのものが危険にさらされる場合だ。
こうした脅威に対して重要になるのが物理的なセキュリティ対策だ。

会社から持ち出した PC を安全に保管するために、自宅でもセキュリティチェーンの使用や業務時間外には鍵のかかる棚などへしまうといった施錠管理を徹底させたり、モバイルデバイス管理（MDM）を導入して、クラウド経由で PC のロックや暗号化、メンテナンスができるようにするなど、物理的に端末を守れるようにする必要がある。

またカフェなど公共の場所で仕事をする際には、第三者による覗き見防止のために、PC画面にプライバシーフィルターを設置するなどといった対策も、物理的なセキュリティ対策だ。

そして、PC 側にデータを残さないように、テレワーク実施時にシンクライアント形式を採用するのも、物理的なセキュリティ対策の1つと言えるかもしれない。

ソフトウェアによる対策

３つ目は、ソフトウェアによる対策だ。

ほとんどの企業では、ウイルス対策ソフトを導入しているはずだが、テレワークを安全に行うためには、これまでのウイルス対策ソフトだけでは不十分だ。

現在の企業の多くは、社内ネットワークへの侵入を防ぐために、PC 端末のアンチウイルスソフトだけではなく、ファイアウォールの設置や IDS・IPS といった侵入検知システム、メールゲートウェイでの不正メールやファイルの除去など多層防御によるセキュリティ対策を行っている。
PC が社内ネットワークの外に持ち出されてしまうと、こうした多層防御による恩恵が受けられないことになる。

さらに、持ち出された PC は、外部から社内ネットワークへとアクセスする必要があるわけだから、テレワークで使用している PC が、企業のネットワークの一番外側に位置することになり、必然的に企業へ侵入しようとする脅威に一番さらされることになる。

こうした状況から、各端末のセキュリティについては侵入を未然に防ぐだけではなく、万が一ウイルスなどに侵入されても、迅速な検知や隔離、復旧を目指す方向へと変化してきており、それを実現できる EDR（Endpoint Detection and Response）製品を既存のアンチウイルスソフトと合わせて導入する動きが増えてきているんだ。

まとめ

新人テレワークは今後、企業の標準的な働き方としてもっと広がっていくと思いますが、それを安全に実現するためには IT 部門がしっかりとテレワーク向けの対策をしないといけないという事ですね。

先輩その通り。働き方の自由度を高めることはBCP対策の一環としても必要になるし、企業の情報を守るためにも、常にセキュリティ対策をどうするのかをセットで考える必要があるね。