<会社の情報守れていますか?テレワークのセキュリティをチェックしよう【1】> テレワークセキュリティガイドラインとコロナ禍での現状
厚生労働省が「働き方改革」の中で、「多様性のある働き方」として推奨してきたテレワークは、新型コロナウイルスという世界的パンデミックの影響で、想定外の速さで日本中に普及していきました。コロナ禍でのテレワークは、本来であれば、段階的に普及していくはずのテレワークは「感染症予防」の目的で「テレワークの導入」が最優先されています。そのため、多くの企業が「セキュリティ」において後手に回ってしまい、十分な対策がなされていないのが現状です。自社の情報を守るためのセキュリティは、どのように構築したら良いのでしょうか?まずは、コロナ禍においてのテレワークの現状や、セキュリティリスク、国が定めたテレワークセキュリティのガイドラインについてご紹介します。
コロナ禍においてのテレワークの現状
コロナ禍においてのテレワークの現状をまとめました。
●総務省による2020年テレワーク実施調査結果
総務省が2020年7月に実施したテレワークの実施状況調査によると、以下のような結果が出ています。
・従業員10名以上の企業のうちリモートワークを導入した企業…22.3%
・コロナ禍以前からリモートワークを導入していて企業…6.6%
この二つの結果を合わせると、現在テレワークを実施している企業は、合計で28.9%となります。また、コロナが収束してもテレワークを継続する企業は、上記企業の中で40.5%との回答を得ています。テレワークを導入している企業は、従業員規模が大きいほど導入率が高いのも特徴の一つです。
●セキュリティ対策はどうしている?
テレワークを導入している企業のうち、セキュリティ対策に対応できる専門チームを有している企業は、全体の11.6%に過ぎず、セキュリティ専門の担当者がいる企業も、10.1%と、テレワークのセキュリティに対しては後手に回っている現状となっています。
浮かび上がったセキュリティリスク
実際にテレワークを運用するうちに、セキュリティリスクも浮かび上がってきています。IPA(独立行政法人情報処理推進機構)が2021年1月に発表した「情報セキュリティ10大脅威2021(組織)」によると、以下のようなセキュリティが確認されています。
(1)ランサムウェアによる被害
セキュリティリスクで最も脅威とされたリスクが、「ランサムウェア」によるものです。サーバー、PC、スマートフォンがランサムウェアに感染してしまうと、保存されているデータが暗号化されて利用不可能となる事象や、画面にロックがかかり、端末が利用できなくなってしまう事象に見舞われてしまいます。単に端末やサーバーが利用できなるなるだけではなく、ウィルスを感染させた側が、その復旧を条件に金銭を要求する、またはデータを流出させると脅迫するなどの犯罪に発展することもあり、ランサムウェアに対する警戒が必要となっています。
(2)標的型攻撃による機密情報の窃取
民間団体、官公庁、大手企業などの特定組織から、機密情報等を窃取することを目的とした「標的型攻撃」による被害が増えています。多くの企業がテレワークへと移行した過度期に便乗して状況に応じた巧妙な手口で、サーバーを攻撃し、金銭や機密情報を窃取します。
(3)テレワーク等のニューノーマルな働き方を狙った攻撃
組織的な会社を挙げてのテレワークへの移行に伴い、WEB会議サービスや、VPN等の本格的な活用が始まった中で、システムの脆弱さや、セュリティの甘さを突いたサイバー攻撃が多数報告されています。公式WEBサイトが書き換えられる、システムをダウンさせられるなど、業務に多大な影響があるため、セキュリティの見直しが求められます。
(4)サプライチェーンの弱点を悪用した攻撃
「サプライチェーン」とは、原材料、部品の調達、商品の製造、在庫管理、物流、販売までの一連の流れに関わる組織群を呼びます。あらゆる関係企業が結びついているため、セキュリティが強固な企業もあれば、セキュリティが脆弱な企業もあり、攻撃側は脆弱な企業を狙って取引先の機密情報の漏洩や、脆弱な企業を足掛かりとして、メインターゲットである大企業を直接攻撃する、などの手口が確認されています。
(5)ビジネスメール詐欺による金銭被害
巧妙な騙しの手口を駆使した偽メールを企業や組織に送り付け、従業員をだまして送金取引をさせる詐欺を、BEC(Business E-mail Compromise)と言います。2020年度は新型コロナウイルスに関する内容を含めたビジネスメール詐欺が、多数報告されています。
(6)内部不正による情報漏洩
企業や組織に勤務する従業員や元従業員等、組織の内部より機密情報の持ち出しや、不正行為も後を絶ちません。特に、情報の持ち出しや紛失が増えており、情報漏洩問題に発展する企業も少なくありません。情報漏洩は企業イメージの低下にもつながる事から、ダメージの大きいリスクの一つです。
(7)予期せぬIT基盤の障害に伴う業務停止
企業で導入したネットワークやクラウドサービス等のIT基盤に障害が発生し、従業員の仕事がストップする、顧客へサービスが提供できないなどの不具合が生じるケースがあります。これらのIT基盤の障害は、システムの可能性を侵害する重大なセキュリティリスクであり、それによる業務停止は、企業へ甚大な被害を与えてしまいます。
(8)インターネット上のサービスへの不正ログイン
企業や組織が提供しているインターネットサービスに不正ログインし、顧客の個人情報が窃取されるケースや、不正に操作されるケースも後を絶ちません。不正入手されたIDやパスワードを使ってログインすると正規アクセスか不正アクセスかの判別が難しいため、知らない間に不正アクセスが行われ、被害がどんどん広がっている恐れがあります。
(9)不注意による情報漏洩の被害
テレワークにより、個人の手で企業の情報を管理せざるを得なくなり、管理体制の不備や、情報リテラシー不足による個人情報や機密情報の漏洩事件が多く散見されました。いわゆる「うっかりミス」でも情報が漏洩すれば、企業にとっては損失となります。個人のネットリテラシーの強化や管理体制の整備が課題となります。
(10)脆弱性対策情報公開にともなう悪用増加
ソフトウエアの脆弱性対策情報が公開されていますが、利用者への啓蒙と同時に、攻撃者に対してわざわざ弱点を教えているというデメリットもあります。事実、脆弱性が公開されたあとに、そのソフウエアが攻撃されるコードがすぐに作られ流通しているのが現状です。
国が定めたテレワークセキュリティのガイドラインとは?
総務省では「テレワークにおけるセキュリティの確保についての取組み」として、「テレワークセキュリティガイドライン」の第5版を2021年5月31日に公表しています。テレワークセキュリティガイドラインは2018年に第4版が公表されていましたが、第5版では以下のようなポイントで改定が実施されています。
【テレワークセキュリティガイドライン第5版の構成】
第1章はじめに
・背景・目的・テレワークの形態、想定読者等を説明
2章テレワークにおいて検討すべきこと
・「ルール」「人」「技術」のバランスのとれた対策の必要性を説明
・「経営者」「システム・セキュリティ管理者」「テレワーク勤務者」の適切な役割分担の重要性と各立場の役割を具体的に説明
・テレワークを取り巻く環境変化を踏まえ、クラウドサービスの有効性やセキュリティ上の留意事項に関して説明
・サイバー攻撃や高度化している状況を踏まえ、セキュリティの手法として注目されているゼロトラストセキュリティに関する考え方を説》
第3章テレワーク方式の解説
・テレワーク方式を7種類に再整理し、各方式について、基本的構成に加えては静的な構成まで詳細に解説
・各テレワーク方式に特有のセキュリティ上の留意点等について説明(各方式共通の対策は第4.5章)
・実現しようする業務内容等を踏まえ、適した方式を選定するフローチャートや各方式の特性比較表を掲載
第4章テレワークセキュリティ対策一覧
・「経営者」「システム・セキュリティ管理者」「テレワーク勤務者」の役割ごとに実施すべきセキュリティ対策を記載
(セキュリティ対策は「基本対策」と「発展対策」に区分)
・テレワークが一般的な勤務形態となってきたことに対応し、対策項目を全面的に見直し、項目数は98横目と第4版に比べ倍増
・対策分類は13個のカテゴリに細分化し見通しを整理
第5章 テレワークセキュリティ対策の解説
・第4章で明示した内容について対策分類ごとに詳細に解説
第6章 テレワークにおけるトラブル事例と対策
・トラブル事例を具体的に紹介した上でセキュリティ上留意すべき点や本ガイドライン内のどの対策が有効であるかを説明
【テレワークセキュリティガイドラインの改正点】
・テレワーク方式の再整理と適した方式を選定するフローチャートや特性比較を分かりやすく掲載
・経営者、システム管理者、勤務者のそれぞれの立場における役割を明確化
・企業が実施すべきセキュリティ対策の分類や内容の全面的な見直し
・テレワークセキュリティに関連するトラブルについて具体的事例を含めて全面的な見直し
・事例紹介やセキュリティ上の留意点、対策などについても明示
テレワークのセキュリティを知るにはセミナーが有効!
テレワークは「新しい働き方」ですが、新しい働き方であるゆえに、リスクを知らずに働いている人が多いのも事実です。テレワークで安全に働くためには、セキュリティリスクを知る必要がります。WEBセミナーなら、セキュリティリスクや情報漏洩の脅威などを学ぶことができます。下記URLで、テレワークのセキュリティリスクについて学びましょう。
■会場型セミナーで受講したい方は『ビジネスクラス・セミナー』
>>>最新のビジネスセミナーを探す
※サイトにアクセスしたら、「テレワーク」「セキュリティ」などでフリーワード検索してください。
■WEBセミナーで受講したい方は『Deliveru(デリバル)』
>>>Webセミナーで最新セミナーを探す
※サイトにアクセスしたら、「テレワーク」「セキュリティ」などでフリーワード検索してください。
【参照情報】
総務省
>>>テレワークにおけるセキュリティ確保
Canon サイバーセキュリティ情報局
>>>リモートワークの際に心がけたい10のセキュリティ対策
IPA 情報処理推進機構
>>>「情報セキュリティ10大脅威2021」を公開