「このアプリに、そんな危険が!?」新型テレワークリスクに注意!
働き方改革や新型コロナウイルス感染拡大を受け、新たな働き方として一気に浸透したテレワーク。場所や環境にとらわれず働ける便利さや柔軟性と引き換えに、セキュリティリスクも増大しています。また、手薄になったセキュリティを狙うサイバー攻撃や不正アクセス、人的ミスによる情報トラブルも相次いでおり、企業は早急な対策を迫られています。本記事では具体的なトラブル事例と対応策について解説します。
あなたの会社では大丈夫? テレワークでのセキュリティ事故事例
まずは実際にやってしまいがちなNG行動とそのリスクについて見ていきましょう。
社用パソコンに私用のアプリをインストール
日常の遊びから仕事や勉強にまで便利に活用できる多彩なアプリ。気軽にダウンロードしてしまいがちですが、特にテレワーク環境上では注意が必要です。サイバー攻撃者が作成した不正アプリをうっかりインストールすることで、個人情報の流出や暗号化による身代金要求、ポップアップ詐欺による乗っ取りといった被害にあう危険性があります。
社内のネットワークを通さずにSNSにアクセス
気分転換についつい見てしまいがちなSNS。社内ネットワークを通さずに悪意あるウェブサイトへアクセスしたりファイルなどをダウンロードしたりすることでウイルスに感染する危険性が高まります。さらに、無自覚のまま再度社内ネットワークに接続することでウイルスを社内に持ち込み、感染を拡大してしまう恐れがあります。
公共Wi-Fiからオンライン会議に参加
場所を選ばずインターネットにアクセスできる公共Wi-Fiは今や広く浸透していますが、テレワークで使用する場合には注意が必要です。暗号化されていないフリーの公共Wi-Fiなどでは通信の盗聴やのぞき見の危険性があり、ウイルス感染やパスワード盗用などにもつながりかねません。また、公共の場所でのテレワークでは周囲の人に会話を聞かれてしまう可能性があり、情報漏えいの起点となってしまう恐れがあります。
OSやウイルス対策ソフトウェアの更新を怠る
テレワークでは特に個人任せとなってしまうこともあるOSやウイルス対策ソフトウェアの更新ですが、「時間を取られるから」「面倒だから」といった理由で怠ることは、ウイルス感染によるデータの損失や業務停止の危険性があります。
モバイル端末を会社や自宅から持ち出す
テレワークを行うにあたり、会社から貸与されるノートパソコンやスマホ。公共スペースに持ち出すことで、盗難や紛失のリスク、情報漏えいの恐れがあります。「パスワードで保護されているから安心」と思われがちですが、端末を解体してHDDに直接アクセスすることも可能なため、危険性は変わりません。
オンライン会議の接続先URLを使いまわす
オンライン会議にゲストを招待するURLは一部のアプリで使いまわしが可能です。非常に便利な機能ですが、そこに社外ゲストをうっかり招待してしまうことで、不正アクセスの原因となったり、チャットなどの履歴がすべて筒抜けになったりする危険性があります。
チャットツールの通知をスマホで確認
パソコンから離れている時も、スマホから通知を確認できるチャットツール。メンバーや内容をしっかり確認しないままスマホで返信していませんか。スマホへの通知はシンプル化されているため、「個人からのチャットだと思って返信したら、グループチャットに返信していた」といったトラブルにつながってしまう危険性があります。
共有ソフトで送ったファイルをバックアップしない
容量の大きなファイルを送ることができるファイル共有サービスは広く活用されていますが、送信後安心して、手元のファイルをすぐに削除してしまっていませんか。相手がダウンロード期限内に入手しなければ、ファイルそのものを紛失してしまう危険性があります。
上記はほんの一例ですが、テレワークの浸透により急速にセキュリティ事故につながるリスクが高まっているのが現状です。こうしたリスクを回避するにはどうすればいいのでしょうか。次項でその対策について検討していきます。
テレワークセキュリティのガイドラインを整備し、社員への周知を
テレワークによるセキュリティ事故の「芽」は、非常に身近なところに潜んでいます。未然に防ぐためには、セキュリティガイドラインの整備と社内周知が有効です。例えば、以下のようなルールを決め、社内に周知させてみてはいかがでしょうか。
テレワーク基本ルール
テレワークは原則として自宅内で行います。社用デバイス(パソコン、スマホ、タブレット)の私的利用や私用デバイスの業務利用はともに禁止とします。営業先など自宅外でデバイスを使用することは最小限にとどめ、公衆Wi-Fiの使用は許可しません(必要に応じて小型Wi-Fiルーターを支給)。
デバイス管理ルール
情シス担当者はテレワークに使用するデバイスの管理台帳を作成し、利用状況(シリアルナンバー、OS情報、利用者等)を管理・把握します。必要に応じて管理ツールを導入し、デバイスの利用状況を常に最新の状態で把握できるようにしておきます。盗難時のリモート消去サービスに加入しておくことも有用です。
アプリ・ソフトウェア使用ルール
原則として、既にインストールされているアプリ・ソフトウェア以外の使用は認めません。許可されていないものを利用する際は事前申請を必須とし(申請確認時にはセキュリティに関する第三者認証を取得しているか、安定した稼働実績があるか等の要件をチェック)、許可されたアプリ・ソフトウェアのインストールも、公式ダウンロードURLからのみとします。
クラウドサービス(SaaS)利用ルール
原則としてパソコンでの使用のみとします。オンライン会議のURLは必ず毎回新規に発行することとし、使いまわしをしないルールとします。ファイル共有サービス利用時には必ず元ファイルのバックアップを必須とします。情シス担当者は管理者権限を適切に設定することで、不正アクセスによる改変やファイル紛失などのトラブルを未然に防止します。
脆弱性ルール
テレワーク端末のOSやウイルス対策ソフトウェアの定期的なアップデートを行い、常に最新の状態に保ちます。メーカーサポートが終了した端末やソフトウェアの使用は認めません。情シス担当者はVPN機器やリモートデスクトップアプリケーションなどの必要なソフトウェアについて、定期的なアップデートやパッチ適用を行います。また、テレワーク勤務者が在宅勤務時に使用する無線LANルーターなどの機器のファームウェアを最新版に保つように周知します。
なお、2021年5月、総務省により企業がテレワークを実施する際のセキュリティ対策の指針や考え方、具体的な対策例を示したガイドラインである「テレワークセキュリティガイドライン第5版」が公開されています。こちらも参照し、自社にあったルールを策定することは、セキュリティインシデントやトラブルのリスク解消の一助となります。
テレワークセキュリティガイドライン第5版(総務省のWebサイト<PDF>が開きます)
まとめ
こうしたガイドラインを策定し社内周知させることは、企業の情報資産を情報セキュリティ上の脅威から守るだけでなく、取引先や顧客からの信頼性の向上といった二次的なメリットを得ることもできます。これを機に、ぜひ取り組んでみてはいかがでしょうか。
著者紹介 : 森本 裕子
1980年生まれ。大学卒業後、広告代理店勤務を経て独立。ディレクター・ライターとして、IT、テクノロジーをはじめとしたビジネス領域において幅広く制作活動を展開している。
