新型コロナウイルスによってリモートワークが急速に普及した結果、便乗したサイバー攻撃も増加している。半ば強制的にリモートワークへ移行せざるを得なかったため、十分なセキュリティ対策を講じることができなかった企業は攻撃者の格好のターゲットとなり得る。この記事では、リモートワークにおけるセキュリティ対策について、起こり得るリスクや事例も交えて具体的に解説する。

  • TOP

 リモートワークとテレワークの違いは?

メディアでの報道やインターネットの記事では、リモートワークとテレワークはしばしば同義として使われる。そもそもテレワークの「tele」は「遠隔」という意味で、仕事を意味する「work」と組み合わせて、遠隔地で業務を遂行することを意味する。リモートワークの「remote」も同様に「遠隔」というニュアンスで使われており、言葉としてはほぼ同様のことを意味していると考えてよいだろう。日本テレワーク協会によると、テレワークは以下4つに分類される。

 在宅勤務

従業員が自宅で業務を遂行する。出勤のための時間が不要となるため、通勤ラッシュの回避、育児や介護などのしやすさといったメリットがある。ただし、自宅の中に業務遂行のための環境を用意する必要がある。

 モバイルワーク

カフェや自動車の車中、あるいは屋外などでモバイル回線に接続して業務を遂行する。近年、スマートフォン(以下、スマホ)やパソコンなどのモバイル端末が進化したことで、どこでも業務しやすくなったことが普及の背景にある。

 サテライト/コワーキング

サテライトオフィスやシェアオフィスなど、デスクやWi-Fi環境が整備されたテレワーク向けの施設で業務を遂行する。自宅近くのコワーキングスペースなどを利用することで、会社まで行く必要がなく、設備も充実しているため、業務を効率化できる。

 ワーケーション

観光地や海外など、休暇も取れる環境で仕事を行うこと。アウトドアブームの影響でキャンプ場など、自然豊かな場所で仕事するケースもある。近年、浸透し始めた新しい働き方でもある。

上述のように、テレワークとリモートワークの定義に明確な差はないが、一般的に行政機関や大企業などではテレワークという言葉を用いることが多い。それに対し、リモートワークという言葉はIT企業などでよく使われる傾向がある。このような背景から、この記事ではリモートワークとテレワークを同義として扱うこととする。

■ テレワークとは|日本テレワーク協会 >>詳しくはこちら

 リモートワークの現状

リモートワークの導入状況やセキュリティ体制について、いくつか調査結果が発表されているので紹介しておきたい。

 リモートワークの実施状況

最初に取り上げるのは、リモートワークの実施状況について総務省が2020年7月に実施した調査だ。従業員10名以上の企業のうち、22.3%がコロナ対策のためにリモートワークを導入、以前からリモートワークを導入していたという6.6%を合わせると、合計28.9%がリモートワークを導入しているとの結果が出ている。

また、コロナ対策のためにリモートワークを導入したと回答した企業のうち、40.5%が新型コロナ収束後も引き続き、リモートワークを活用すると回答した。従業員規模が大きいほどリモートワークの導入率が高いものの、20人未満の企業でも20.9%と5社に1社はリモートワークを導入している。

■ テレワークセキュリティに関する実態調査|総務省>>詳しくはこちら

 リモートワークにおける企業のセキュリティ体制

IPA(独立行政法人 情報処理推進機構)が2021年1月に発表した「情報セキュリティ10大脅威 2021(組織)」では、1位のランサムウェア、2位の標的型攻撃による機密情報の窃取に続き、新たに「テレワーク等のニューノーマルな働き方を狙った攻撃」が3位にランクインしている。リモートワークのセキュリティ体制における不備を攻撃者が狙っているのだ。

先の総務省の調査によると、リモートワーク導入企業のうち、情報セキュリティに関する専門のチームが存在する企業は11.6%、専任の担当者が存在する企業は10.0%にすぎない。さらに、7割以上の企業では担当者が不在、あるいは他業務と兼務していると回答している。

調査結果から浮かび上がってくるのは、多くの企業においてリモートワークにおけるセキュリティリスクは認識しているものの、なかなか対策が追い付いていないという現実だ。

■ 情報セキュリティ10大脅威 2021|IPA>>詳しくはこちら

 リモートワークにおけるセキュリティリスク

では、リモートワークにおけるセキュリティリスクにはどのようなものがあるだろうか?企業がリモートワークを行う際に、気をつけたいセキュリティリスクのうち、代表的なものを6つ紹介する。

 1)端末の紛失、盗難

ノートパソコンやスマホなどのモバイル端末は、紛失や盗難のリスクがある。顧客の個人情報や機密情報が保存された端末が盗難に遭った場合、情報漏えいのリスクが高まる。また、USBメモリーなどの持ち運びできるストレージが情報漏えいの起点になることもある。

 2)私物端末利用によるマルウェア感染

リモートワークでは会社が貸与する端末ではなく、私物端末が使われることもある。私物端末はセキュリティ対策が十分でないこともあり、マルウェア感染などのリスクが高まる。

 3)公衆Wi-Fi利用による情報漏えい

カフェなどで仕事をする際、無料で使える公衆Wi-Fiもリスクとなり得る。公衆Wi-Fiの中には通信が暗号化されていないものや野良Wi-Fiなど、通信傍受を目的としたものもあり、通信内容が盗み見されるセキュリティリスクがある。

 4)自宅のインターネット回線からの情報漏えい

セキュリティ対策が適切に講じられた企業内ネットワークと異なり、自宅のネットワークは個々の対応でセキュリティレベルが異なる。自宅のネットワーク内に接続されたIoT機器などが不正アクセスを受け、情報漏えいの原因となることも考えられる。

 5)フィッシング、標的型メール

近年、メールやSMSを使ったフィッシング詐欺や標的型メールも増加している。攻撃者が送付するメールは年々巧妙化しており、メール本文内のリンクや添付ファイルを自然な流れで開封させようとする。一度アクションをしてしまうと、裏でマルウェアをダウンロードされてしまうなど、セキュリティリスクが生じる恐れがある。

 6)RDP(リモートデスクトップ)への不正アクセス

RDPはWindows OSに付随するサービスで、外部の端末から組織内ネットワーク上のサーバーにアクセスし、サーバーのリソースを用いて作業を行う仕組みのこと。リモートワークの普及で利用が増えており、その状況を狙った不正アクセスが増加している。

■ 狙われるリモートアクセス:サイバー犯罪者の総当たり攻撃>>詳しくはこちら

 リモートワークにおけるトラブル事例

急速に普及が進むリモートワークの裏で生じているセキュリティ対策の綻びを狙うべく、サイバー攻撃者は躍起になっている。事実、多くのトラブルが発生している。

 1)新型コロナに便乗したフィッシング詐欺

警視庁は2020年5月、新型コロナに便乗した詐欺行為に対し注意喚起を行った。2021年以降でも、給付金の振り込みやPCR検査キットの配布などを装った詐欺行為が多発している。ビジネスシーンにおいても同様に、新型コロナウイルスの感染対策を偽装した「Emotet」の標的型メールが確認されている。リモートワークでは、一人で業務を遂行することも多いため、相談する機会が少なく、不安を抱える人も少なくない。サイバー攻撃者はこうした人の不安や弱みにつけこむのだ。

■ 新型コロナウィルス感染症に便乗した詐欺に注意>>詳しくはこちら
■ 「Emotet」と呼ばれるウイルスへの感染を狙うメールについて>>詳しくはこちら

 2)社外ネットワークでのSNS利用でマルウェア感染

ある大手企業では、リモートワーク中に業務用端末がマルウェアに感染するという事態に陥った。社員の一人が業務用端末から社内ネットワークを経由せずに、SNSを利用したことが原因とされている。同社員がそれに気付かず出社し、感染した端末を社内ネットワークに接続したことで、さらに感染を広げてしまう結果を招くこととなった。

 3)個人情報の入ったUSBメモリーを紛失

ある高校では、教員がリモートワーク用に持ち出した生徒の個人情報が入ったUSBメモリーを紛失。USBメモリーには数百名分の氏名や学習内容などが保存されていたという。同校では個人情報をUSBメモリーに保存することはもちろんのこと、持ち出しも禁止されていた。

 リモートワークにおける基本的なセキュリティ対策

企業にとっても従業員にとっても利便性が高く、新型コロナウイルスの感染対策としても有効なリモートワークだが、リスクと隣り合わせという側面もある。リモートワークを遂行する上で講じるべき、10の基本的なセキュリティ対策を紹介する。

 1)リモートワーク時のルール策定と周知

リモートワークは会社から離れたところで従業員が仕事を行う。目が届きにくくなるため、セキュリティソフトの導入や、許可されていないアプリケーションを利用しない、といった組織内のルールを策定すること。その上で、そのルールの周知徹底を行うようにしたい。

 2)従業員に向けた研修・啓蒙

従業員に向けたセキュリティ研修や啓蒙活動の内容をリモートワークに即した内容にアップデートすべきだろう。情報漏えいなどが起きた際、企業はもちろんのこと、従業員自身も責任を問われる可能性があるということをしっかりと認識してもらう必要がある。一人ひとりがリスクを認識することが、セキュリティ対策の第一歩といえる。

 3)セキュリティソフトの導入

リモートワークで使う端末にセキュリティソフトを導入することはもはや必須と言っていい。ウイルスチェックといった基本的な機能以外にも、さまざまなセキュリティリスクを見据えた機能が用意されている。また、やむを得ず従業員の私物端末を使う「BYOD(Bring Your Own Device)」で業務を行う場合には、セキュリティソフトを導入した端末に限定するなどといった制約を設けるようにしたい。

 4)パスワード管理の徹底

誕生日や名前など推測されやすい安易なパスワードや、同じパスワードの使い回しは不正アクセスのリスクを高めることに直結する。パスワード設定時のルールを策定する、あるいはパスワードマネージャーを利用するようにしたい。パスワードを守ることはセキュリティ対策においての「一丁目一番地」と言ってもいいだろう。

■ セキュリティを高めるために知っておくべきパスワード管理の基本>>詳しくはこちら

 5)多要素認証の導入

IDやパスワード以外に、SMSのワンタイムコードや指紋認証などを用いて複数の認証ステップを経ることを多要素認証という。認証の方法によっては、二段階認証、二要素認証とも言われる。最近では、Webサービスやアプリで多要素認証をサポートしているものも多い。多要素認証を使うことで、より安全性を高められる。

■ どのように設定する?二段階認証の設定の仕方を理解しよう>>詳しくはこちら

 6)OSやアプリを常に最新版へアップデート

使用している端末のOSやアプリを最新版へアップデートすることはセキュリティ対策の基本だ。速やかに最新版へアップデートしておくことが、既知の脆弱性を狙った攻撃からのリスクを低減させることにつながる。Windows 10では頻繁にセキュリティアップデートが行われるが、面倒だと思わずに、業務の一環とみなして対応するようにしたい。

 7)家庭内ネットワーク環境の見直し

家庭内でも普及が進むIoT機器などの中には脆弱性を抱えているものもある。そうした脆弱性を攻撃者はセキュリティホールとして常に探し回っている。また、ルーターなどのネットワーク機器が狙われるケースも相次いでいる。機器によってはパスワードが初期値のまま、ファームウェアがアップデートされておらず、こういった状況はドアに鍵をかけていないようなものだと認識し、速やかに対応しておくべきだろう。

■ 新しい生活様式で加速する!?在宅勤務で注意すべきセキュリティ対策>>詳しくはこちら

 8)VPNの利用

VPN(Virtual Private Network)とは、その名のとおり「仮想の専用線」だ。暗号化などの技術を使い、公衆のインターネット回線を使いながらも通信の安全性を高められる。クラウド型のVPNサービスも提供されており、必要に応じて活用したい。

 9)クラウドサービスの利用

ストレージをはじめとしたクラウドサービスは、一般的に高いセキュリティレベルを保持している。またオンプレミスで専用システムを構築するよりも導入コストも抑制でき、常にセキュリティ対策をベンダー側が行ってくれるため、リモートワーク環境を安全かつ低コストに整備できる。

 10)ハードディスクの暗号化

端末の紛失や盗難に備えてハードディスクの暗号化をしておこう。Windows OSの場合、Pro版やEnterprise版で提供している「BitLocker」は無料で利用できるため、積極的に活用したいところだ。暗号化しておくことで、端末の紛失や盗難時の情報漏えいリスクを低減できる。環境や条件によりBitLockerを利用できない場合、「ESET Endpoint Encryption」を利用するという選択肢もある。

■ ストレージを暗号化する「BitLocker」とは?利用する上での注意点はあるのか?>>詳しくはこちら
■ With/Afterコロナを見据えた中小企業のテレワーク活用とセキュリティとは?>>詳しくはこちら

 まずはリスクを知り、できることからはじめよう

セキュリティ対策を行う上で重要なのは、ルールを定めて徹底させることだ。従業員一人ひとりがセキュリティリスクの危険性や重大性を認識し、自分事と捉えることがスタート地点となる。端末の紛失、パスワードの使い回しによるアカウント侵害など、個人のセキュリティ意識の低さに起因するトラブルも少なくないからだ。

しかし、ツールを有効活用することで、「人間の弱点」をある程度カバーすることもできる。セキュリティソフトやセキュリティレベルの高いクラウドサービスの導入などはその一例だろう。ただし、ツールを用いた対策をどれだけ充実させたとしても、利用する従業員が油断していれば危険な状態に陥る可能性は残る。そうならないためにも、従業員への教育と環境整備を合わせた、継続的なセキュリティ対策を検討してほしい。

※本記事はキヤノンマーケティングジャパンのオウンドメディア「サイバーセキュリティ情報局」から提供を受けております。著作権は同社に帰属します。

セキュリティ最前線


サイバー攻撃の最新動向とセキュリティ対策についてまとめたカテゴリです。

[PR]提供:キヤノンマーケティングジャパン