コロナウイルスの影響によりテレワーク(在宅勤務)の導入が急速に広まりました。しかし、多くの中小企業では、十分なセキュリティ対策がなされないままテレワークに踏み切っているようです。
テレワークをしている社員のPC環境のセキュリティ対策が甘く、機密情報が漏洩してしまう事例が増えています。セキュリティが強固なオフィスとは別の場所で就労することになるため、情報漏えいリスクは当然高まります。
テレワークは様々な情報漏洩リスクに晒されている
東京商工リサーチの調査によると、2020年に上場企業およびその子会社で発生した情報漏洩事故は103件あると言います。これは調査を開始した2012年以降で過去最多の数字だそうです。その中で1億円以上の被害額となった割合は15.4%もあり、セキュリティインシデントは企業経営を大きく揺るがすリスクとなっています。 テレワークが普及した今、社員1人の端末から企業全体を巻き込む情報漏洩が発生する可能性も多いにあるのです。それではテレワーク環境下でどのような情報漏洩リスクにさらされているのか見ていきましょう。
■テレワークによる情報漏洩リスク①端末のウイルス感染や不正アクセスPC
ウイルス感染や不正アクセスが原因となる情報漏洩は、最も多くの割合を占めています。とある企業では、テレワークに移行し社員は業務端末を使用していましたが、社員の端末がメール経由で不正なサイトにアクセスしマルウェアに感染。その後、社内のネットワークに再び接続し、他の端末にウイルス被害が拡大するという事案が発生しました。 発生原因として、テレワーク環境下で社員の端末のOSや、セキュリティソフトが最新のバージョンに管理することができておりませんでした。
■テレワークによる情報漏洩リスク②標的型攻撃
標的型攻撃とは、機密情報を盗み取るために特定の個人や企業を狙った攻撃です。巧妙なのは、業務関連のメール(見積り依頼など)を装ったウイルス付きメールを担当者に送付することで一見しただけでは気づくことができない点にあります。標的型攻撃は情報処理推進機構が発表する情報セキュリティ10大脅威で2020年1位、2021年2位と警戒が強まっています。
■テレワークによる情報漏洩リスク③端末の紛失・盗難
情報漏洩というとウイルス感染や不正アクセスに目が行きがちですが、意外と多いのが端末の紛失・盗難によるもので全体の15.7を占めると言われています。テレワークに移行し、カフェで仕事をしている社員もいるかもしれません。離席した際にパソコンを盗難されてしまうということは珍しい話ではないのです。
テレワークを実施する際は、端末のセキュリティ対策はもちろんのことテレワーク環境の指定(自宅のみとするなど)や、外部での業務を認める場合に端末の管理やフリーWIFIへの接続を禁止するなどレギュレーションを設ける必要があります。
増加するテレワークによる情報漏洩を防ぐためには
テレワークによる情報漏洩を防ぐためには、セキュリティを保つための社内ルールを設け、社員への教育を徹底する必要があります。
■個人PCの使用は避ける
テレワークでは使い慣れた個人のパソコンを使って業務を行いたいと考える人もいるかもしれませんが、個人PCを業務に用いるのは危険です。通常、勤務先から支給されたPCにはマルウェア対策や情報漏えい対策がとられています。
一方、セキュリティに不備のある個人PCを業務に利用した場合、ウイルスなどのマルウェア感染やフィッシングサイトでの情報入力などがきっかけで情報漏えいを引き起こす可能性があります。
これまでセキュリティリスクを排除するために業務用PCの持ち出しや業務の持ち帰りを禁止している企業が多く、テレワーク移行時にもこの規則が適用され社員が個人端末を使用しているというケースもあるといいます。テレワークに慣れない社員を巧みにフィッシングサイトに誘導して、内部ネットワークへのアクセス認証情報を盗み取る事案も発生しているため、プライベートでも使用する端末の業務利用は避けなければいけません。
■PCの取り扱いルールを徹底する
テレワーク環境では、PCの紛失や盗難が生じやすく、直接的な情報漏えいにつながる可能性が高くなります。そのため、PCを適切に扱うためのルールづくりが必須と言えるでしょう。
総務省のテレワークセキュリティガイドラインでは、以下のようなルール設定が推奨されています。
・従業員に貸し出すテレワーク用端末の所在や利用者情報を台帳管理する
・オフィスから情報資産を持ち出すときは、原本を安全な場所に保存・管理する
・機密性の高いデータをやむを得ず管理が必要な場合は必ず暗号化して保存する
・USBなどの記録媒体で機密データを管理する場合、盗難に十分留意する
■フリーWi-Fiは使用しない
自宅外でのテレワーク時は、フリーWi-Fiを利用するケースもあるでしょう。
ただし、Wi-Fiスポットの中にはユーザーの利便性を優先するためにあえてパスワード認証なしにつなげるようにしているものや、
設定不備によって同一ネットワーク上の端末が互いに通信できる状態になっているものが存在します。
悪意のある第三者に通信内容を盗み見られる可能性があることを十分に留意しましょう。
■不審なメールは絶対に開かない
前述の通り、社員のPCがウイルス感染してしまい、出勤時にそのPCを社内ネットワークに接続することで社内システムの情報が外部に漏洩するケースが増えています。
その多くが、テレワーク環境下のセキュリティ対策が不十分であったことが原因となっています。こうしたウイルス感染を防ぐためには、
VPN機器へ接続しない限りインターネットに接続できない仕組みを導入することが必要です。
また、見覚えのない不審なメールは絶対に開かないように普段から社員への意識づけをすることが重要です。
■セキュリティパッチ
VPN機器への不正アクセスによってログイン情報が外部に漏洩する事例が目立ちます。テレワークに対するセキュリティの甘さから、
容易に不正アクセスすることが可能となっているケースです。
ベンダーのセキュリティパッチの装備を徹底し、IDとパスワードが漏洩した場合でも不正にアクセスできない環境づくりが必要です。
セキュリティパッチとは、OSやアプリケーションの脆弱性を解消するための追加プログラムです。脆弱性が発見されるとベンダー各社から配布されます。
■外部アクセスのコントロール
不正アクセスや内部不正を防ぐためには、アクセス権限の管理は欠かせません。
テレワークで社内システムへアクセスする際の利用者認証については、技術的基準を定めた上で適正に管理・運用されなければなりません。
また、情報レベルに応じて、電子データに対するアクセス制御、暗号化の要否、印刷可否の設定を行うべきでしょう。
また、テレワークで使用するパスワードは、使い回しを避け、パスワードは他人に推測されにくく一定以上の長さのものを用いることを徹底するべきです
■PCにデータを残さない
テレワークにおけるセキュリティ対策の1つとして「PCにデータを残さない」ことが非常に有効です。
なぜなら、PCがウイルス感染した場合や、紛失・盗難といった場合でも情報漏洩を防ぐことができるからです。
たとえば、クラウド型の業務ツールにアクセスすることで、ファイルのダウンロードや印刷などを制限し、テレワークPCに業務データを保存しないようにすることが可能となります。
テレワークにおける情報漏洩対策はIT担当者不在でも低コストで実行できる
中小企業庁が2013年に調査した中小企業白書「IT人材の充足度」によれば、中小企業の33.8%が「やや不足している」、
30.2%が「とても不足している」と回答しています。
おおむね確保されていると回答した企業は全体の20%に留まり、80%の企業がIT人材の不足を感じている状態です。しかし、IT担当者が不在の中小零細企業でも簡単にセキュリティ対策は実施することができます。
まずはこれから、最低限の情報漏洩対策はできていますか`。
IPAが提唱する中小企業の情報セキュリティ対策ガイドラインには企業規模によらず必ず実行すべき重要な対策として以下の5つを挙げています。
OSやソフトウエアを最新の状態に保つ
ウイルス対策ソフトを導入する
パスワードを強化する
共有設定を見直す
脅威や攻撃の手口を知る
一つ一つは決して難しいものではありません。しかし、テレワーク環境となると話は別です。業務端末にウイルス対策ソフトを入れているだけでは、OSやソフトウェアを最新の状態に保っているのか会社が把握することはできません。担当者が本人に確認を取っていたら膨大な管理コストがかかってしまいます。そこでおすすめするのがクラウド型セキュリティサービスです。
その魅力は、「コスト」と「管理のしやすさ」です。
担当者が管理画面をチェックすれば、社員のOSやソフトウェアの状態も確認できますし、何かしらの異常を検知した場合はアラートが飛びます。
社員の端末の共有設定に制限をかけることも可能です。
担当者にかかる負担を最小限に、社内の端末を一元管理が月額5,000円でできるサービス、それが「EXO セキュリティ」です。
「ITに疎い人」でも簡単に導入・運用できる「EXO セキュリティ」
弊社が提供する『EXO セキュリティ』は、ITに不慣れな方でも簡単に操作ができる設計となっています。
すべての画面は専門用語を使わずに「直観的な表現」で知りたい情報を簡単に探せるように構成されているた
め、管理者やユーザーに負荷がかかることがありません。「EXO セキュリティ」の具体的な特徴は以下の通りです。
■ソフト配布機能
EXO Securityのインストールは、ユーザーに自動的にメール送信されるため、導入・更新作業も楽々です。システム担当者・IT人材の立会等はいっさい不要です。
■セキュリティ脅威通知
また、インストール後の社員PCを一元管理され、万が一マルウェア(ウイルス等)が発見された場合は、管理者に自動通知されるためウイルス感染の見落としを防ぐことができます。こちらが管理用ダッシュボードです。アンチマルウェア、ランサムウェア、ウェブ保護などの履歴が一見して明らかになります。不正サイトにアクセスしたPCも分かるため、社員へのセキュリティ指導に活かすこともできます。
■感覚的に使用できる管理画面のため知識は不要IT
管理画面は「セキュリティに詳しくない担当者」でも使えることを前提にした設計となっているため、戸惑うことなく導入が可能です。
下記の画像は「EXO セキュリティ」の管理画面ですがPC脆弱性チェックから脆弱なデバイスを洗い出すことができます。OS、ソフトウェアのアップデートが脆弱と判定が出るためセキュリティチェックを簡単かつ正確に管理することが可能になります。
■導入しやすい費用設定
EXO Securityの最大の特徴は、何といっても導入しやすい費用設定。
5,000円/月で50ユーザーの「アンチマルウェア(リアルタイム検出・スケジュールスキャン)」「ラムサムウェアフォルダ保護」
「WEB保護」「ユーザー管理機能」「PCセキュリティチャック」が可能です。大手セキュリティソフトと費用比較をご覧ください。
T社と比較した場合、年間228,000円のコストを削減することが可能です。
5,000円/月で50ユーザーは、圧倒的なコストメリットがあります。しかも、管理者ページにユーザーを登録後、社内PCに一斉送信するだけで簡単に導入が可能です。
今なら無料のトライアルも可能です!テレワーク下における情報漏洩対策に不安がある企業様は是非お試しください。
機能紹介
https://exosp.net/what-you-can-do
トライアル導線
https://exosp.net/apply