2022.04.25.
在宅勤務でセキュリティ事故?情報漏洩しないために気をつけるべきこと
コロナ感染症の拡大に伴い、多くの企業で『在宅勤務』という新たな働き方が社会全体に浸透しました。
その一方で、自宅で業務が行えることから気が抜けてしまい、セキュリティ事故が増えている側面もあります。
今回は、在宅勤務で情報漏洩に繋がるケース、注意しなければならないセキュリティ事故などについてご紹介します。
在宅勤務をしている方や、従業員を抱えている方はぜひこの機会に理解しておきましょう。
1. 情報漏洩のセキュリティ事故件数の推移
まず初めに、コロナ禍以降のセキュリティ事故件数の推移を見ていきます。以下は、在宅勤務が普及し始めた2020年ごろのデータです。
●2020年
1月:1,788件
2月:1,775件
3月:2,947件
4月:3,105件
5月:3,256件
6月:4,055件
7月:4,034件
8月:4,324件
9月:5,473件
6月ごろから報告件数が急増しているのがわかりますね。『報告された件数』なので実情はさらに多いと考えられます。
ちなみに2021年は2,000件台まで減少したものの、年末にかけて5,000件弱まで増加しました。
このデータからわかるように、在宅勤務の広がりが進む一方でセキュリティ事故も増加傾向にあるということがわかります。
引用①:JPCERT/CC インシデント報告対応レポート(2020年1月1日〜2020年3月31日)
https://www.jpcert.or.jp/pr/2020/IR_Report20200414.pdf
引用②:JPCERT/CC インシデント報告対応レポート(2020年4月1日〜2020年6月30日)
https://www.jpcert.or.jp/pr/2020/IR_Report20200714.pdf
引用③:JPCERT/CC インシデント報告対応レポート(2020年7月1日〜2020年9月30日)
https://www.jpcert.or.jp/pr/2020/IR_Report20201015.pdf
セキュリティ事故が増えている中、どのような観点で対策をしていく必要があるのでしょうか。
続いて、セキュリティにおいて大切な「3つの柱」についてご紹介します。
・ルール
・人
・技術
これら3つについて、以下で詳しくご紹介します。
2-1. ルール
企業内において策定する規則や規約のことです。
社有パソコンを自宅以外に持ち出さない、在宅勤務で使用する場合は必ず持出申請書を提出するなど決まり事が大切です。
このルールを疎かにしていると、従業員はみんな自由に持ち出したりしてしまうためセキュリティ事故につながりやすくなってしまいます。
2-2. 人
各人のセキュリティに対する意識のことです。
この部分に関してはどうしても人それぞれの知識レベルやマインドによるものですので、社内研修などを通じて意識を高める対策が必要です。
2-3. 技術
使用しているパソコンのOSやセキュリティソフトなどを指します。
古いOSだと脆弱性があるため、機密データを勝手に取得されたり攻撃を受けたりします。
セキュリティソフトを導入したり、できるだけ最新バージョンのソフトウェアを使用することで対策することができます。
次に、在宅勤務で起きる恐れのあるセキュリティ事故についてご紹介します。
3-1. ウイルス感染
Aさんは会社から貸与されたパソコンを使用して、ふだんは顧客とメールのやりとりをしています。
ある日、Aさんは通販サイトの配送状況を確認するため、プライベートのメールアドレスにもログインしました。
そこに見慣れないメールアドレスから届いたメールを開き、添付されていたファイルを開封します。
その結果、社有パソコンはウイルス感染してしまい使用できなくなってしまいました。
※取引している顧客へもウイルスが感染し、被害が広まるケースもあります。
3-2. 不正アクセス
Bさんは会社から貸与されたパソコンを使い、いつもカフェで作業しています。
そのカフェにはフリーWi-Fiがあるため、通信量や光熱費を節約するため利用しています。
ある日、自分のクレジットカード明細に身に覚えのない決済履歴がありました。
クレジットカード会社に連絡・調査してもらったところ、自分が使用しない時間帯にクレジットカードが不正利用されていました。
フリーWi-Fiを経由した不正アクセスが行われており、クレジットカード情報が漏洩していたことが判明しました。
※クレジットカード情報以外にも、社有情報などの機密情報も盗聴される恐れがあります。また、ストーカー目的で位置情報を監視するという事例も実際にあります。
3-3. 盗難
Cさんは、とあるカフェで仕事をしていました。
ある時、Cさんはお手洗いに行くため席を立ちました。パソコンは席に置いたまま離れています。
数分後、席に戻ると自分のパソコンがありません。社有のパソコン本体を何者かに盗まれてしまいました。
その後勤務先へ報告し、対応に追われました。
情報漏洩の確認は取れていないため、Cさんは現在も不安のなか業務を行っています。
※物理的にデータや端末が盗まれるため、どこにあるのか・どのように悪用されたのか調査が難航するケースが多いです。もし仮にデータを閲覧することが出来た場合、個人だけでなく会社全体、取引企業にまで影響が及ぶ恐れがあります。
4. 情報漏洩しないための対策
悪意を持った者は、さまざまなアプローチで会社の重要情報を狙ってきます。
先述で紹介した事例は、どのようにしたら防ぐことができるのかご紹介していきます。
4-1. ウイルス感染に対する対策
・見覚えのない怪しいメールを開かない・ファイルを開かない
まず第一の対策としてこれに限ります。メールアドレスや添付ファイル名、拡張子などを注意して確認しましょう。
・ウイルス対策ソフトの導入
万が一ウイルスが端末内に侵入した場合、プログラムの中身を調査して検知・削除することで感染を防ぐことができます。
それを可能にするのがウイルス対策ソフトです。
・パソコンやスマホのOSを最新バージョンにする
WindowsやmacOSは定期的にOSのバージョンを更新しています。
その更新内容の中には「セキュリティパッチ」と呼ばれる追加プログラムが含まれています。
これが定期的に更新・追加されていくため、最新のウイルスにも対応することが可能です。
※最新のOSにすることで、普段使用するソフトウェアが動作しない(サポート外になる)場合があるのでアップデートの際は事前に確認することをお忘れなく。
4-2. 不正アクセスに対する対策
・フリーWi-Fiへの接続を避ける
不特定多数の端末が接続可能となるフリーWi-Fiは、通信が暗号化されていないものやパスワードが公開されているものなど脆弱性の高いスポットが多いです。
危険性のあるフリーWi-Fiには接続しないようにしましょう。
端末によってはフリーWi-Fiへの自動接続が有効になっている場合があるので、設定の確認も一度しておいた方が良いです。
・支障のないファイルのみ取り扱う
一般的に、通信内容が盗聴されて情報漏洩するケースが多いです。
ですので、社内の機密情報など重要なデータのやりとりはしないようにしましょう。
・社有パソコンを私的に利用しない
社有パソコンで私的な利用をすることは、利用の幅が必然的に広まるため、不正アクセスを受けやすい状況だと言えます。
上記のことを守っていても、ウイルス感染や不正アクセスを受ける可能性も全くないわけではありません。
そのとき社有パソコンを使用していた場合、機密情報が漏洩する恐れもあります。
社有パソコンは業務のみで使用しましょう。
4-3. 盗難に対する対策
・社内のセキュリティ研修を定期的に行う
離席する際はパソコンを肌身離さず持ち歩く、自宅以外での作業を禁止するなど、会社側としてルールを設けておきましょう。
そしてそのルールを伝え、守らなかった場合どのようなリスク・被害が及ぶのかを説明し緊張感を抱かせます。
各人のリテラシーを高めれば、必然的にセキュリティに対する意識も変わり、盗難による情報漏洩も防ぐことができます。
悪意のある者は、様々な手段を使ってあなたのパソコンや情報を奪いに攻撃してきます。
また、情報漏洩は実際に起きているかどうか確認することが難しく、知らない間に悪用されていた……というケースが多いです。
自身、会社、取引企業など、その被害は広い範囲に及びます。
ぜひ「ルール」「人」「技術」の3つを意識して、在宅勤務時の情報漏洩を防ぐよう対策されてください。
