新型コロナウイルスの感染拡大により、日本でも一気に広がったテレワーク。
感染状況が落ち着いてきて、テレワークを縮小したところもあるかもしれません。
ただ、地震をはじめとする災害時や、再びパンデミックが起きた場合に備え、BCPの一環としていつでもテレワークに切り替えられるような準備は必要だといえます。
テレワーク導入の際に課題となるのが、情報セキュリティ対策やコミュニケーション不足、勤怠管理などです。
なかでも、情報セキュリティ対策に関しては、年々高度化・巧妙化するサイバー攻撃に加えて、近年増加している従業員や元従業員による内部不正も情報漏えいの要因となっています。
一度情報漏えいが起きれば、顧客など取引先をはじめとする社会的な信頼・信用の失墜ばかりでなく、賠償責任問題に発展する恐れもあります。
本コラムでは、テレワークを実施する際に必要なセキュリティ対策について取り上げます。テレワークにおけるセキュリティ対策の重要性や具体的な対策方法について、改めて考えていきましょう。
SASEリーダーによるセキュリティソリューション「Netskope(ネットスコープ)」のサービスページはこちら
テレワークにおける情報セキュリティ上の課題
テレワークを実施するためには、従業員が業務を行う場所において、それまで業務を行ってきたオフィスと同等のハードウェアやソフトウェアとネットワーク、情報セキュリティ対策を揃える必要があります。
従業員の私物や環境を利用することが原因のセキュリティ上の課題
複数のサテライトオフィスを設けられるような大規模な企業であれば、サテライトオフィスにセキュアなネットワーク環境を整えて、サテライトオフィスに出社してもらうことでテレワークを実現できます。
しかし、新型コロナウイルスの感染拡大への対策として、急ごしらえで準備したところでは支給が間に合わず、従業員の私物環境で間に合わせるケースが見られました。
この場合、
・ハードウェアのスペックが低い
・ソフトウェアのバージョンが低い
・ネットワーク回線の通信速度が遅い
・ファイアウォールのバージョンが低い
など、本来必要なレベルを満たしていないことも少なくありません。
そもそも従業員の自宅には、セキュアに業務に取り組めるような個室がないということもあります。そういった場合、家族などの同居人にPCの画面や書類などを見られてしまう可能性があります。
また、カフェなど他人の目の多い場所で業務を行うことにより、やはりのぞき見などされる恐れがあります。自宅以外でテレワークを行う場合はさらに、ハードウェアの紛失や盗難の可能性も生じます。
企業側のテレワークインフラが脆弱なために起こるセキュリティ上の課題
ネットワークセキュリティについては、従業員の自宅などからVPNを経由して社内ネットワークにアクセスさせるケースも多いでしょう。しかし、VPNはテレワークが想定された仕組みではなく、営業担当者など外出の多い職種や、顧客先に常駐するエンジニアなどが一時的に社内ネットワークへアクセスするためのものです。
このことから、従業員の多くが常時接続に利用するテレワーク実施のためには設備が足りず、通信速度が遅くなったり通信が途切れたりと、スムーズな業務を阻害するケースが見られます。
しかし、VPN装置を増強するだけの費用が捻出できないところも少なくありません。
また、増強しても3~5年おきにリプレースしなくてはならず、金銭コストがかさみます。実際に、VPN機器の脆弱性を突いたサイバー攻撃も報告されており、アップデートは必須です。
ただ、現代の目まぐるしく変化するビジネススピードに対応するには、3~5年という速度では遅いでしょう。
また、多くの職場で、業務にクラウドサービスを利用している現状では、「社内ネットワークを経由してクラウドサービスへアクセスするのはナンセンスなのではないか」という議論も生まれます。業務によっては、そもそも社内ネットワークを利用する必要がないという人さえいるのです。
社内ネットワークの使用を強制しながら、回線速度が遅い、たびたび通信が切れるといった状態であれば、従業員が勝手に私物のデバイスで業務を行ったり、未許可のクラウドサービスを利用するといったシャドーITの発生につながるでしょう。
従業員の気のゆるみから生じるセキュリティリスク
オフィス以外で業務を行うことで上司や同僚などの目がなくなり、従業員の気持ちにもゆるみが生じがちです。
ここから、従業員が手を抜いて効率性や生産性が落ちるといった課題もありますが、セキュリティリスクに関していえば、内部不正が起きやすくなるという重大な課題が挙げられます。
特に、もともと職場に対して不満を抱えていたり、退職を考えていたりする従業員だと、テレワークを機に情報を持ち出して、ダークウェブなどで公開したり販売したりしてしまう恐れがあります。
また、故意ではなく、単純なミスで情報が漏えいしてしまうケースも見られます。緊張感がなくなれば、普段は起きないようなメール送信先の誤りや本来は非公開に設定すべき項目を公開してしまうなどの操作ミスも生じやすくなります。
テレワークにおけるセキュリティリスクは情報漏えいを引き起こす
上記のように、テレワークにおいてさまざまな要因により発生する情報セキュリティ上のリスクですが、これらを「要因」ではなく「結果」から捉え直してみると、情報漏えいリスクやデータの消失・改変、シャドーITなどにつながります。
情報漏えいによる主な被害
情報漏えいが起これば、漏えいした内容が個人情報だった場合、クレジットカード番号を勝手に使われるなど直接的な金銭被害が生じる恐れがあります。これが、時には賠償責任問題へと発展してしまうこともあります。
また、アカウント情報が漏えいすれば、アカウントの乗っ取りの恐れがあります。そこから、金銭的な被害が発生する可能性もあれば、管理者アカウントなどの特権IDが漏えいしてしまった場合は、システムを乗っ取られることもあります。システムの乗っ取りが起きると、データを改ざん・消去されたり、不正なWebサイトへ誘導するような改ざんなどが行われたりします。
一方、漏えいしたのが機密情報であれば、競合他社に対する優位性が失われてしまうでしょう。
その他、どのような情報であっても、情報漏えいを起こしてしまったという事実が、企業の信頼・信用を失墜させてしまいます。
データの消失・改変
上記のように、価値あるデータを社外に流出させることでサイバー犯罪者が利益を得るばかりでなく、重要データなどを消失・改変することで、被害企業が業務を存続できなくなるというケースもあります。
企業活動ができなくなれば、その期間に創出できるはずだった利益がそのまま消えてしまうことになり、大きな損失を被ります。
シャドーITの発生
シャドーITとは、管理者側で把握していないデバイス(スマートフォン、タブレット端末、ノートPCなど)やアプリケーション、ITサービスなどを従業員が勝手に使用しているものです。
シャドーITが存在することで、デバイスがマルウェアに感染して勝手にデータを外部に送信してしまい情報漏えいにつながったり、重要データを暗号化して身代金を要求されたり、消失・改変されたり、DDos攻撃などの他のサイバー攻撃の踏み台にされたりする可能性があります。
また、無料で提供されているクラウドサービスの中には、悪意のあるものも存在します。従業員が無許可でこういったサービスを利用した場合、マルウェア感染や情報漏えいにつながる恐れがあります。
シャドーITについて詳しくは、下記の記事もご覧ください。
【関連記事】
シャドーITが発生する原因と防止するための対策について解説
テレワーク時に行うべきセキュリティ対策
このようなテレワーク時のセキュリティリスクを抑えるために実施したいのが、次のようなセキュリティ対策です。
セキュリティポリシーやテレワーク時のルールを策定する
テレワーク時の従業員の情報セキュリティ意識を高め、無用なミスを避け、内部不正を防止するために、セキュリティポリシーやテレワーク時のルールを策定する必要があるでしょう。
まずは、上位ルールであるセキュリティポリシーを、テレワークに適用するために見直すことから始めます。テレワーク時にセキュリティインシデントが発生した場合の対処法も追加しましょう。
テレワーク時のルールは、就業場所の条件や利用できる端末のスペック、セキュリティソフトの指定など、具体的に行動できるような細かい粒度で設定していきます。
安全なネットワーク利用環境を整備する
テレワークもクラウドサービスも現在ほど普及していなかった時代には、「社内ネットワークは安全である」という前提のもと、社内ネットワークと社外ネットワークの境界に警戒すればネットワークセキュリティは事足りました。しかし、状況の変わった今ではこの考え方では、ネットワークを安全に保つには不十分です。
そこで生まれたのが、すべてのユーザー、すべてのアクセス要求を疑うという考え方に基づいた「ゼロトラストネットワーク」です。ゼロトラストネットワークは、テレワークやクラウドサービスとの親和性が高く、高セキュリティです。
テレワークを整備する機会にネットワークを見直し、ゼロトラスト化することを検討しましょう。
セキュリティツールを導入する
サイバー攻撃の高度化・巧妙化が進む中、完全に防止することは難しいですが、業務に利用するネットワークにできる限りサイバー攻撃者を入り込ませないよう、対策を講じることが重要です。
従来のセキュリティツールとしては、ファイアウォールやウイルス対策ソフトなどが主なものでしたが、ネットワークを取り巻く状況が変化した現在は、これらだけでは不十分です。
端末を保護するEDR(Endpoint Detection and Response)や、主にSaaSを対象としたセキュリティソリューションであるCASB(Cloud Access Security Broker)、クラウドで提供されるSWG(Secure Web Gateway)などと組み合わせることで、高いセキュリティを実現できます。
ただし、これらを個別に導入するのでは、金銭コストも運用管理の手間もかかります。
CASBについて詳しくは、下記の記事もご覧ください。
【関連記事】
CASBとは?CASBの必要性や4つの主な機能を解説
まとめ
オフィスとはハード面でもソフト面でも環境の異なるテレワークでは、情報セキュリティを維持するために、ルール面、技術面、物理面で対策していく必要があります。
技術面では、業務に利用するクラウドサービスにおけるセキュリティ対策が重要になってきます。
そこでおすすめしたいのが、クラウドを中心にオンプレミス環境のアプリケーションもカバーできるSSE(Security Service Edge)である「Netskope」です。
「Netskope」では、社内でどんなクラウドサービスが使われているのかを可視化した上で、社員に利用させて良いかどうかを判断するための点数付け(スコアリング)をし、さらに、利用を認可したクラウドサービスを制御することが可能です。
伊藤忠テクノソリューションズでは「Netskope」の導入支援を行っております。
「Netskope」の詳細については、こちらのページをご覧ください。
