Category: 実践編
2022.11.19
目次
セキュリティ事故発生の現状や、発生率の多い項目などを調査事例とともに解説します
働き方の多様化によりリモートワークが普及し、自宅やカフェ等、オフィス以外の場所で自由に仕事ができるようになりました。しかしその一方で、手薄になったセキュリティを狙ったサイバー攻撃や不正アクセスといったセキュリティ事故も増えています。
こうしたセキュリティ事故を防ぐためには、リスクを十分に把握し、セキュリティ対策を見直すことが重要です。本記事では、リモートワークでのセキュリティ事故の事例や、具体的な対策について解説していきます。
1.リモートワークでのセキュリティ対策の重要性
リモートワークにおいても、セキュリティ対策の重要性はオフィスで働く場合とまったく変わりません。新型コロナウイルス感染拡大の影響を受けて多くの企業がリモートワークを開始した 2020 年は、セキュリティインシデントの件数が 2019 年(リモートワーク普及前)と比べて 2 倍以上に増加しています。
<JPCERT/CC インシデント報告対応レポート 2021 年 1 月 1 日 ~ 2021 年 3 月 31 日>
万が一セキュリティ事故を起こしてしまった場合、以下のような問題が発生する危険性があります。
民事上の損害賠償
リモートワークでセキュリティ事故(個人情報漏洩等)を起こした場合、顧客から民事上の損害賠償を請求されるおそれがあります。数億円〜数十億円単位の賠償が請求されることもあるため注意が必要です。詳細は、以下の法律事務所のサイトに判例とともに紹介されています。
リモートワークを行う従業員は、オフィスで働いている時と同様のリスクがあることを念頭に置いておかなければなりません。
事業への影響
刑事罰や民事罰だけではなく、事業の運営にも大きな影響を及ぼす危険性があります。実際に起こりうる 2 つの例を以下で紹介します。
サイト、サービスの閉鎖
SaaS 系のサービスで事故があった場合、影響範囲を調べるために、数日間もしくは数週間事業を停止しなければならないケースがあります。
工場の生産停止
製造業の管理者がリモートワークで工場の管理をしていた際に、該当システムでセキュリティ事故が発生した場合、復旧するまで生産がストップしてしまい、売り上げがなくなることがあります。
2.リモートワークで起こりやすいセキュリティ事故の事例
ここでは、リモートワークを実施する上で具体的にどのようなセキュリティリスクがあるのか、実際に起こったセキュリティ事故の事例を交えて解説します。
マルウェア感染
最も多いセキュリティ事故が、マルウェアへの感染です。メール内もしくは外部媒体( USB メモリ等)にマルウェアが仕掛けられており、それを開くことで感染してしまいます。
東京商工リサーチが 2020 年に実施した調査によると、セキュリティ事故の約半数がマルウェアへの感染という結果が出ています。
<「上場企業の個人情報漏えい・紛失事故」調査( 2020 年)>
最近のマルウェア感染は巧妙化しており「スピアフィッシング」という攻撃手法が増えてきています。スピアフィッシングとは、ある特定の人物に狙いを定めてメールのやり取りを監視し、あたかも知り合いや上司、信頼できる会社などが送っているかのように添付ファイルを送信してマルウェアに感染させる手法です。
実際、リモートワーク中のメールアドレスに「クレジットカード請求額のご連絡」という件名で、クレジットカード会社になりすましたメールを受け取り、カード番号や氏名等が流出したケースがあります。
公共Wi-Fiからの不正アクセス
リモートワークは、自宅やオフィス以外に、公共施設やカフェなどの Wi-Fi を使用して行うことも可能です。しかし、そのような公共の Wi-Fi は暗号化されていないケースが多く、通信しているデータに不正アクセスされてしまうケースがあります。
メールの誤送信
メールの誤送信も、リモートワークで起こりやすいセキュリティ事故です。日々多くのメールを送信していると、送付するべきでない相手に誤ってメールを送付してしまい、情報漏洩につながるおそれがあります。
端末の盗難、紛失
端末の盗難や紛失にも注意が必要です。オフィスで働いている場合、使用している端末( PC やタブレット)を移動させる機会は多くありません。しかし、リモートワークでは端末を持ち出して移動させる機会が増えるため、移動中に端末を紛失してしまう危険性が高いといえます。
3.リモートワークにおけるセキュリティ対策
これまで紹介したリモートワークセキュリティ事故を防ぐポイントについて、「ガイドライン整備」と「ガイドラインの教育」の 2 つを踏まえて解説します。
ガイドライン整備
総務省は、上記で示したようなリモートワークでのセキュリティ事故を防ぐために『テレワークセキュリティガイドライン』を整備しています。
このガイドラインによると、テレワークを実施する企業は、以下 7 つのセキュリティに関するポリシーを制定する必要があるとしています。
1.ガバナンスポリシー
情報のセキュリティに関するルールを、どの部門が作成、管理するのかを明文化します。また、万が一セキュリティ事故が起こった場合の対処や組織を決めておく必要があります。
2.資産管理ポリシー
資産( PC 等の物理デバイス)の管理ポリシーを明文化します。また、ソフトウェアのダウンロード等に関するルールも策定しておく必要があります。
3.OSやソフトウェアの脆弱性(パッチ管理)管理ポリシー
OS や使用するソフトウェアに対して脆弱性が見つかった場合、どの担当者もしくは部門がアップデートの責任を取るのかを決めておく必要があります。
4.管理者権限の管理ポリシー
通常のユーザーよりも、多くのシステム上の操作が可能な管理者権限を、どの部門や担当者に付与するのか、管理方法のポリシーを定めておく必要があります。通常、必要最低限の IP アドレス等を定めます。
5.データ管理ポリシー
業務上必要なデータをどのように保管するのか(例:クラウド上での保管、 USB メモリ等の物理デバイスでの保管等)、ポリシーを策定します。通常、物理デバイスでの管理は、必要性が認められた場合のみに限定する必要があります。
6.マルウェア対策ポリシー
業務上使用するデバイスに、どのようなマルウェア対策を実施するかを検討し、明文化します。通常のセキュリティソフトや、 EDR ( Endpoint Detection and Response )を使用することも有効とされています。 EDR を使用すると、通常のセキュリティソフトでは検知できない未知のマルウェアを含めた不審な挙動の検知や即応が可能です。
7.通信方法、パスワードポリシー:
業務を実施する際の通信経路についても決めておくことが重要です。具体的には、暗号化された通信方法( VPN 、 TLS 等)を利用するようにポリシーを策定します。
ガイドラインの教育
上記に策定したセキュリティポリシーに関して、業務に関わる全担当者に対して教育を実施する必要があります。多くの場合、策定したポリシーの教育をオンラインで行い、受講が完了してからでなければ業務に携われないケースが多いです。
4.まとめ
リモートワークを実施する企業においては、ガイドラインの整備が非常に重要です。 ガイドラインを整備した後は、セキュリティ事故の危険性と合わせて、ガイドラインの周知を徹底しましょう。
Contactお問い合わせ
お見積もり・ご相談など、お気軽にお問い合わせください。