テレワークを導入する企業が増加し、在宅勤務で仕事をするケースも急激に増えてきています。そこで懸念されているのが在宅勤務でのセキュリティ対策です。
セキュリティ対策をせずに放置してしまうと、万が一セキュリティインシデントが発生した場合、企業の存続にも大きく影響します。本記事では、テレワーク環境下でのセキュリティリスクと、対策時に考慮すべき3つのポイントを紹介していきましょう。
テレワークのセキュリティリスク
テレワークの整備と同時にセキュリティリスク対策も万全に行わなくてはなりません。テレワーク特有のセキュリティリスクには、どのようなものがあるでしょうか。ここでは主なリスクを5つ紹介します。
PCや記憶媒体の紛失
従業員に対して社内端末を貸与している企業の場合、テレワークをする際はその端末を社外に持ち出します。その際、従業員が端末や記憶媒体を紛失したり、どこかに置き忘れてしまったりというリスクが生じます。
NPO日本ネットワークセキュリティ協会が発表した「2018年情報セキュリティインシデントに関する調査結果」では、情報漏えいにおけるインシデントの発生要因が報告されています。
情報漏えい事例のうち最も多いのは、「PCや記憶媒体の紛失・置き忘れによるもの」(26.2%)でした。続いて誤操作で意図しない漏えいが24.6%、不正アクセスによるものが20.3%です。PCの紛失や置き忘れという初歩的なミスによる情報漏えいが第1位と、そのお粗末な結果に驚く人もいるでしょう。
社内端末や記憶媒体を紛失してしまった場合、そこにある内部データがどのように扱われるかは誰にも予測できません。悪意ある者の手に渡った場合、クライアント情報が外部に流出することも十分考えられます。
家庭内ネットワークの利用
テレワーク時は、PCやデバイスを家庭用ルーターに接続して自宅から業務を行うのが一般的です。家庭内ネットワークのセキュリティ対策が十分かどうかにも注意が必要です。
例えば、ホームルーターの脆弱性が悪用され、ルーターのDNS設定が書き換えられるというリスクも発生します。この攻撃を受けると、PCから正規のURLを入力してWebサイトにアクセスしたとしても、リダイレクトされて不正なWebサイトなどへ誘導されてしまいます。
いくら企業内のセキュリティやPCのセキュリティ対策を万全に行ったとしても、ホームルーターが穴だらけでは意味がありません。
個人端末の業務利用(BYOD)
社内端末の外部持ち出しではなく、個人端末の業務利用(BYOD)でテレワークを実現している企業もあります。
BYODは、企業でデバイス使用状況を管理することが難しく、リスクが伴います。
例えば、業務時間中には不審なWebサイトを閲覧していなかったとしても、業務時間外のデバイス利用時に閲覧し、結果としてマルウェアに感染してしまうリスクがあります。
また、個人のデバイスでは画面を友人や知人に安易に見せたり、デバイスを貸したりすることがあるかもしれません。その際、デバイス内部の機密情報を見られてしまうことも考えられます。
情報持ち出しリスク
社内端末の持ち出しを禁止している企業でも、データをメール送信したり、USBメモリにコピーしたりして情報を社外に持ち出すことは可能です。
USBなどの記憶媒体で持ち出す場合は、上述のように記憶媒体を紛失するリスクが伴います。また、メール送信した場合は、メールを受信した自宅のPCにリスクの高いソフトウェアがインストールされていると、気つくことなく企業データが外部に流出していることもあります。
VDI環境を構築してテレワーク時は仮想環境で業務を行うことも有効です。この場合は持ち出し端末に情報が残らないため、盗難や紛失による情報漏えいリスクが低減します。しかし、情報持ち出しリスクがゼロになるわけではありません。
シャドーIT
許可されていないアプリ・サービスや、個人所有のIT機器を無断で業務に使用することを「シャドーIT」と言います。シャドーITで利用されるアプリケーションは、企業としては未検証のため、その安全性は未知数です。
シャドーITにより、脆弱性を含む信頼性の低いアプリケーションを、従業員が利用してしまうことが考えられます。従業員のアプリ利用状況を管理しているIT部門でさえも、シャドーITは利用状況を正確に追跡することが困難です。
また、シャドーITは、ITセキュリティの面だけでなく、IT担当者の労務管理上のリスクともなり得るものです。
安全なセキュリティを実現する3つのポイント
Office 365などクラウドベースのサービスを、従業員がテレワークで活用するという場面も急増しています。このような企業において安全なセキュリティ環境を実現するためのポイントを解説します。
クラウド環境のセキュリティ
クラウド上の脅威に対する監視・制御には、「CASB(Cloud Access Security Broker)」を利用するのも有効です。CASBは、クラウドにおけるセキュリティポリシーを一元管理し、ユーザーの利用状況を可視化します。
例えば、10件以上のクレジットカード番号を含んだドキュメントはただちに検出してブロックするなど、クラウド上の脅威を常に監視します。
インターネットのセキュリティ
インターネットアクセス時のセキュリティ対策として、Webプロキシを活用する方法があります。インターネットへアクセスする際に、マルウェア検知やURLフィルタリングなどのセキュリティ機能が働き安全にアクセスできます。例えば、Webプロキシをクラウド上で利用可能なクラウド型Webプロキシ「Zscaler(ゼットスケーラー)」は、特に高度なセキュリティ機能を備えています。
エンドポイントのセキュリティ
ネットワークに接続されている末端(エンドポイント)のデバイスである、PC・スマートフォンなどの操作や動作を監視し、攻撃に対処する機能が「EDR(Endpoint Detection and Response)」です。
EDRは、不審な挙動や痕跡を検出し、調査することを目的とした機能です。万が一攻撃を受けたとしても、リアルタイムで挙動調査を行い、素早く対処してサイバー攻撃の早期発見に貢献します。
SBテクノロジーのOffice365導入サービスがおすすめ
安全なテレワークを実現するために有効な3つの技術は、CASB・クラウド型Webプロキシ・EDRです。一方で、これらの機能を導入しても、自社のIT部門の担当者が、すべてをモニタリングすることは困難です。
そのような場合に有効なのがSBテクノロジーの「Office 365導入サービス」です。これは契約企業に代わり、セキュリティ監視センターでこれら3機能を、24時間・365日、監視・分析・調査し、導入と運用をトータルで支援するものです。
SBテクノロジーには、多くの企業のOffice 365導入を支援してきた実績があり、難易度の高い要件へ対応可能な技術力も蓄積されています。さらに、Office 365の導入検討前から利活用まで、ワンストップで提供できる強みを有しています。
導入前後の不安や問題点に対して最適なソリューションを提案し、そして安定稼働へのさまざまなサポートも行います。
Office 365導入を検討中の企業においても、ITセキュリティ専門家による支援を受けられる「Office 365導入サービス」の活用をおすすめします。
まとめ
テレワーク導入率の向上に際して、企業では、従業員が使用する端末管理やセキュリティ対策を万全にする必要性も高まっています。情報漏えいやサイバー攻撃などによるリスクに備えるために、ITセキュリティ専門家による支援を受けながら、安全なテレワーク環境を一刻も早く構築しましょう。
