シェアオフィスや自宅など、自社オフィス以外の場所で働くテレワークが浸透しつつある今、「ソーシャルエンジニアリング」のリスクが高まっている。ソーシャルエンジニアリングとは、情報通信技術を使用することなく、ネットワークへ侵入するために必要なIDやパスワードなどの情報を盗み出す方法だ。
その具体例としては、アカウント所有者本人に成り済ましてシステム管理者に問い合わせ、ID/パスワードをだまし取るケースや、背後から肩越しに画面をのぞき(ショルダーハッキング)、機密情報を盗み見るケースなどが挙げられる。
「情報漏洩」と聞くと、コンピューターウイルスやマルウェアによるサイバー攻撃をイメージしがちだが、ショルダーハッキングのようにアナログな方法でも十分、情報漏洩に繋がる可能性はある。この最も身近なソーシャルエンジニアリングの一つである「のぞき見」に対し、企業は対策できているのだろうか。
ラックでは、同社にテレワークに関して問い合わせた顧客に対し、「のぞき見リスク」に関するヒアリングを実施。のぞき見に対する従業員の危機意識と、対策の実態についてホワイトペーパーにまとめた。本稿では、その一部を紹介する。
ラック 提供資料
モバイルワークにおける身近なソーシャルエンジニアリング
「のぞき見リスク」の実態と対策
> > 資料ダウンロードはこちら
自分だけは大丈夫? 「のぞき見のリスク」に対する意識が明らかに
ヒアリングによれば、「会社のセキュリティレベルが高いエリア以外で仕事をしたことがある」と回答した人、「仕事上、第三者に見られてはいけない情報を扱っている」と回答した人はどちらも8割以上となった。
また、「世間一般に、他人に見られて困る情報が盗み見られる危険性が潜んでいると思うか」という設問に対しては、ほとんど全ての人が「危険性がある」と回答したにも関わらず、自分自身がのぞき見される可能性に関して「可能性がある」と回答したのは3分の1程度に留まった。
さらに、のぞき見に対する具体的な対策について尋ねると、「人が少ない場所を選んでいる」と「何もしていない」が全体の半数を占め、プライバシーフィルターなどを活用しているのは1割未満に過ぎないことが明らかになった。
つまり、ビジネスパーソンの多くは「のぞき見されるリスク」の存在を把握しているものの、実際に自分がPCやスマートフォンを操作する際、第三者に対して細心の注意を払っている人は少ないということになる。
情報漏洩に対する危機意識を高める取り組みが必要
あらゆる場所で情報が盗み見られてしまう可能性がある今、企業は改めて、従業員の情報漏洩に対する危機意識を高める取り組みを行う必要がある。研修の実施はその一つだが、具体的な対策ツールの導入・利用自体が、身近に潜むリスクを日頃から意識することにもつながる。
入念な対策は、リスクの軽減だけでなく、取引先企業からの信頼獲得にも貢献するはずだ。資料では、先ほど紹介したヒアリング結果のほか、身近に起こりうる「のぞき見」のシチュエーションや想定される被害と対策、ソーシャルエンジニアリング対策に役立つ製品などを紹介している(のぞき見のシチュエーションを検証した記事は、下記リンクからも確認できる)。
参考記事:
大阪出張のついでに、新幹線にはどれくらい
「のぞき見リスク」があるか確認してみた! | セキュリティ対策のラック (lac.co.jp)
検証第二弾、カフェでの「のぞき見リスク」を確認してみた!
| セキュリティ対策のラック (lac.co.jp)
テレワークやモバイルワークが広がりつつある現代だからこそ、情報の取り扱いに対する従業員の意識改革が必要だ。併せて、強力なのぞき見防止ツールを活用することで、対策はさらに盤石なものとなる。例えば、ラックが提供する「顔認証のぞき見ブロッカー」では、AI顔認証技術とPC搭載カメラで「未登録の人物がカメラに映り込んだとき」や「ユーザーが不在になったとき」に警告を発して強制的に画面をロックする。のぞき見防止の効果はもちろん、利用を通じて従業員がセキュリティを意識する機会も増えるというわけだ。
アナログな手法で機密情報を窃取するソーシャルエンジニアリング。中でも、働く場所の多様化によってのぞき見リスクは一段と高まっている。対策を万全に整えることで企業としての信頼性は高まり、テレワークを推進しながら受注率の向上も期待できる。まずは社内の意識改革のきっかけとして、ぜひ資料を活用していただきたい。
ダウンロード資料のご案内
ラック 提供資料
モバイルワークにおける身近なソーシャルエンジニアリング
「のぞき見リスク」の実態と対策
> > 資料ダウンロードはこちら
[PR]提供:株式会社ラック