コロナ禍で急速に普及したリモートワークを狙うサイバー攻撃が増加している。環境的な要因から生じる脆弱性を突いたものから、働き手のミスや油断などいわゆる「心理的な脆弱性」を突いたものまでさまざまだ。本記事では、リモートワークにおける情報漏えいリスクをどのようにして予防するのか、具体的に解説する。
リモートワークで高まる情報漏えいリスク
リモートワークの際に、業務を行う自宅やカフェなどではセキュリティ的に脆弱なことがある。その結果、こうした脆弱な業務環境を狙ったサイバー攻撃が多発している。IPA(独立行政法人 情報処理推進機構)が2021年8月に発表した「情報セキュリティ10大脅威 2021」では、「ランサムウェア」、「標的型攻撃」に加えて「テレワーク等のニューノーマルな働き方を狙った攻撃」がランクインした。実際に、業務用パソコンがマルウェアに感染したり、許可を得ていない私用端末がマルウェアに感染したりする事例が相次いでいる。
なぜリモートワークで情報漏えいリスクが高まるのか
リモートワークで情報漏えいリスクが高まる理由をもう少し掘り下げてみよう。情報漏えいリスクが高まる要因は、「環境要因」と「人的要因」に大別できる。まず、環境要因として挙げられるのは、使用する機器やネットワーク設備に起因するものだ。私用端末を業務利用するケースも想定されるが、セキュリティソフトなどが適切に導入されていない場合もある。
もう1つの人的要因については、操作ミスや管理不備、危機意識の欠如などが挙げられる。すなわち、ヒューマンエラーと呼ばれるものだ。日本労働組合総連合会が2020年6月に発表した「テレワークに関する調査2020」 によると、リモートワークの負の側面として「仕事とプライベートの区別がつかなくなる」、「休憩時間が減る」、「長時間労働になる」などの傾向が見られた。こうした要因が操作ミスなどにつながり、情報漏えいを引き起こすと考えられる。
リモートワーク時の情報漏えいにおける環境要因と対策
リモートワーク時の情報漏えいについて、環境的な側面から要因と対策を3つ紹介する。
1)私用端末のマルウェア感染
企業側で許可する・しないに関わらず、私用端末の業務利用には注意が必要だ。ここでいう私用端末にはパソコンだけでなく、スマートフォン(以下、スマホ)やタブレットも含まれる。私用端末にはセキュリティソフトなどが適切に設定されていないことも多く、情報漏えいのリスクが高まる。
業務上のやり取りやデータを保存する端末には極力、セキュリティソフトを導入しておくことが望ましい。また、セキュリティ対策を講じていない端末は業務に利用しない、といった明確な就業ルールの整備も必要だ。
■ BYODって?私用携帯の業務利用で企業が求められることとは?
>>詳しくはこちら
2)Wi-Fi接続による情報漏えい
リモートワークでは、外出先のカフェや移動中などにWi-Fi接続によってインターネットを利用するケースも少なくない。店舗で提供されるWi-Fiや公衆Wi-Fiなどはセキュリティ的に安全ではない可能性があるため、極力利用しないことが推奨される。また、外出先でインターネット接続をする際は、VPNを用いることで通信経路上での盗聴リスクを軽減でき、より安全にインターネットを利用できる。
■ モバイルWi-Fiなど野外での接続をする時に知っておきたいセキュリティの基礎知識 [更新]
>>詳しくはこちら
3)フィッシングメール・標的型攻撃
リモートワークやコロナ禍に便乗したフィッシングメールやスミッシング(SMSを介した詐欺メール)も横行している。特定企業を狙った標的型攻撃も大企業だけでなく中小企業にも広まりつつある。自社も狙われる可能性があるという前提に立つ必要があるだろう。これらを防ぐにはウイルス対策機能のみならず、フィッシング対策や迷惑メール対策などの機能も含まれた総合セキュリティソフトの導入が有効だ。
■ 標的型メールとは?巧妙化する手口とその対応方法
>>詳しくはこちら
リモートワーク時の情報漏えいにおける人的要因と対策
リモートワークにおける情報漏えいの人的要因と、その具体的な対策を以下6つ取り上げていく。
1)機密情報の持ち出し
リモートワークでの業務遂行時に、やむなく機密情報を持ち出さざるを得ないケースもある。しかし、データ・紙を問わず、外部へ情報を持ち出す行為そのものが情報漏えいリスクを高めてしまうという前提に立って、対策を講じなければならない。物理的に外部へ持ち出す機会を減らすために、クラウドのストレージやサービスを利用することも選択肢として考えられるだろう。もちろん、自社の業務内容に応じた情報の持ち出しに関するルールや規程を整備しておくことも重要だ。
■ Googleドライブなどのクラウドストレージを使う際のセキュリティ対策
>>詳しくはこちら
2)外部記憶装置の紛失・盗難
USBメモリーやポータブルSSDなど、外部記憶装置を用いたデータの持ち運びは紛失や盗難のリスクがある。過去に、個人情報を記録したUSBメモリーが紛失した事例は数限りないほどだ。また、外部記憶装置をパソコンに接続したことでマルウェアに感染した事例もこれまでに確認されている。クラウドストレージなどの環境整備はもちろんのこと、業務端末側で外部記憶装置への書き込み禁止の設定をするなどの対策を講じておきたい。
■ マルウェアが機器に侵入する7つの方法とは?
>>詳しくはこちら
3)モバイル端末の紛失・盗難
ノートパソコンやスマホなど、モバイル端末本体の紛失や盗難も情報漏えいの要因の1つだ。対策として、生体認証を利用するなど、利用者以外が端末へログインするのを困難にするといった方法がある。また、Windowsのパソコンであれば、BitLockerを用いてストレージ自体を暗号化する方法もある。
MDM(Mobile Device Management:モバイルデバイス管理)ツールを導入し、端末の紛失や盗難時にリモートワイプ(遠隔ロック)できるように設定するといった対策も一考の余地があるだろう。
■ ストレージを暗号化する「BitLocker」とは?利用する上での注意点はあるのか?
>>詳しくはこちら
4)認証情報の漏えい
ネットワークやクラウドサービスなどの認証情報が漏えい、あるいは認証が破られることで、不正ログインされるリスクがある。破られるパスワードは多くの場合、類推しやすいものや使い回しているものが該当する。仮に、クラウドストレージやオフィススイートなどの認証情報が漏えいして不正ログインされてしまうと、機密情報や個人情報が漏えいしかねない。対策としては、パスワードの設定・管理の厳格化、二段階認証を設定するなどが挙げられる。
■ 二要素認証と二段階認証の違いを理解していますか?
>>詳しくはこちら
5)メールの誤送信
情報漏えいの原因として最も多いのはメールの誤送信とされる。先述のとおり、特にリモートワーク環境下では集中力が持続せず、人的なミスも起こりやすい。誤送信の対策としては、ファイル添付ではなくクラウドストレージの共有URLでファイルを受け渡す方法や、メールの内容を確認することでミスを抑制する、あるいは、内容を監査できるようなツールを導入することなどが挙げられる。
例えば、セキュリティ対策ソリューション「GUARDIANWALL MailConvert」では、メールに添付されたファイルを自動でサーバーへアップロード、ダウンロード用のリンクに変換し、受信者は認証を経てダウンロードを行うように設定できる。
また、メールの誤送信に関する主な要因は宛先の設定ミスである。「MOutbound Security for Microsoft 365」では、メール送信時に送信者自身が宛先を再確認したのちに、ファイルを公開するといったステップを踏ませることが可能だ。送信後に宛先を確認することで誤送信のリスクを抑制できる。
■ PPAPの延長線!? 新たに登場する代替策で実現するDX対応のメールセキュリティ
>>詳しくはこちら
6)SNS経由での情報の流出
LINEやTwitter、FacebookといったSNS経由の情報漏えいはSNS黎明期において数多く見られた。しかし、今でも起こり得ることを強く認識しておきたい。間違ったグループや相手への投稿、撮影した写真に写り込んだ機密情報、あるいはSNSの認証情報を入手しての不正ログインなども想定される。SNSを業務で利用する際のルール設定、二段階認証の利用などを徹底する必要がある。
■ SNSは危険!?利用時に頭に入れておくべきセキュリティの考え方
>>詳しくはこちら
私用端末利用などのシャドーITによるリスクをどう防ぐか
リモートワークにはもう1つ、先述の2つの要素に関連して「シャドーIT」のリスクがある。シャドーITとは、私用端末や個人契約したクラウドサービスなどを会社の許可なしに業務に使用することだ。例えば上述の「私用端末のマルウェア感染」、「外部記憶装置の紛失・盗難」、「SNS経由での情報の流出」などは従業員のシャドーITに起因するセキュリティリスクだ。
キヤノンマーケティングジャパンが2021年4月に実施した調査では、過去1年間に私用端末を業務に使用したことがある人は37.2%。また企業から許可を得ていない在宅業務において「顧客情報を持ち出したことがある」人は25.5%だった。
シャドーITは在宅での業務環境が整備されていない結果として、やむを得ず生じているケースもある。企業側でクラウドストレージやモバイル端末などの環境整備を進めることで、こうしたリスクの抑制につながるはずだ。
リモートワークでは環境的な要因だけでなく、メールの誤送信をはじめ、人的なミスによる情報漏えいが起こるリスクが高まる。しかし、これらのリスクはこれまで述べてきたように、システムの導入や環境整備によって抑制できる場合も多い。自社の業務内容や状況に応じて、セキュリティを高めつつ運用負荷を下げられるようなツールの導入やルールの整備などを進めてほしい。
■ 情報セキュリティ意識に関する実態調査レポート2021~コロナ禍で高まる「シャドーIT」の情報セキュリティリスク~
>>詳しくはこちら
※本記事はキヤノンマーケティングジャパンのオウンドメディア「サイバーセキュリティ情報局」から提供を受けております。著作権は同社に帰属します。
セキュリティ最前線
サイバー攻撃の最新動向とセキュリティ対策についてまとめたカテゴリです。
[PR]提供:キヤノンマーケティングジャパン