新型コロナウイルス感染対策や働き方改革によるワークライフバランスの実現を目指し、テレワークを導入する企業が増加しています。テレワークは新しい働き方であることに加え、オフィス以外の場所で業務を行うため、これまで想定していなかったセキュリティリスクも少なくありません。そこで、テレワーク時のセキュリティ被害にはどういったものがあるのか、その事例を見ていきながら、リスクを避けるための対策についてお伝えします。
近年、テレワークを導入する企業は増加の傾向にありましたが、新型コロナウイルス感染防止を目的とした動きにより、2020年4月以降、急激に導入が進んでいます。
東京都新型コロナウイルス感染症対策本部が2021年2月5日に発表した、「テレワーク導入率調査結果」を見てみましょう。同調査によると、2020年3月の時点で24%だった導入率は、4月には約2.6倍の62.7%にまで増加しました。その後、緊急事態宣言が解除され、同年12月には51.4%まで減少したものの、2回目の緊急事態宣言が発令されたあとの2021年1月後半に63.5%まで増加しています。
しかし、新型コロナウイルス感染防止対策という急務のため、しっかりと準備ができていない状態でテレワークを導入した企業も多いようです。そのため、セキュリティ面でいくつかの問題が生じていることが考えられます。具体的には次のとおりです。
急遽、テレワークの導入を行ったため、多くの企業で社員に対するセキュリティ教育が実施されていない可能性があります。そのため、「カフェや外出先で顧客情報を閲覧する」「ノートパソコン、スマートフォンの置き忘れ・盗難被害」「公衆Wi-Fiの利用」「自宅のパソコンがウイルス対策をしていない」といったリスクが発生しています。
本来、テレワークを導入する際には、テレワークのルール策定が欠かせません。しかし、今回は準備期間がほぼなかったため、明確なルール策定ができないままにテレワークを導入した企業がほとんどと考えられます。また、ある程度ルールを決めていても、「クラウド上で扱うファイルの開封パスワードを決めているが、平文(パスワードを付けない普通の文書)のメールで送っている」「どのファイル開封も同じパスワードにしている」など、ユーザーが基本的なルールに従っていないケースもあります。
ほかにも、「会社支給のパソコン以外に、スマートフォンやタブレットも使用可能にしている」「テレワークをしていない社員が何も対策をしていない状態でも、自宅に会社のパソコンを持ち帰ることを禁止していない」などが、明確なルール策定ができていないことから起こるセキュリティリスクです。
オフィスと自宅の通信環境整備が十分でないことも、セキュリティ面において大きな問題です。特に、会社と自宅をネットワークで結ぶVDIやVPNの設定が適切に行われていない場合は、自宅で満足に業務ができないうえ、情報漏えいリスクも増大します。また、自宅で扱うパソコンや通信機器へウイルス対策ソフトを導入していない場合は、大きなリスクがあります。
実際に、テレワークを導入した企業や団体ではさまざまなセキュリティ被害が発生しています。ここではそのなかでも主な事例を3つ紹介します。
2020年4月、大阪の府立高校の事例です。ある教諭がテレワークで生徒の調査書を作成するため、360名分の個人情報を私物のUSBメモリに保存し上着のポケットに入れました。その後、校務のため外出し、帰校後にUSBメモリを紛失していることが判明したのです。校内を捜索したものの、発見できず警察署に遺失届を提出しました。
府立学校では原則として、「USBメモリに個人情報を保存しない」「個人情報を持ち出さない」といったルールがあったにもかかわらず、これを破ってしまったことが、紛失につながっています。
2020年4月、ある大手企業での事例です。在宅勤務中に社用パソコンを使い、外部ネットワークへ直接接続しSNSを利用した際、ウイルスを含むファイルをダウンロードしてしまいました。その後、ウイルスに感染したと気づかないまま、そのパソコンから社内ネットワークにアクセスしたため、ウイルスが社内に感染拡大しました。その結果、不正アクセスを受け従業員の個人情報などが漏えいしました。
2020年4月、国内の企業38社がVPNのぜい弱性を突かれた攻撃を受け、一部の企業でダークウェブ上にVPNのユーザーID、パスワードの流出が発生しました。被害を受けた38社のうちの1社では、同年8月に書面で、情報流出につながった原因を次のように発表しています。(以下要約)
「2020年4月にテレワークが一気に増えたことで、現VPNだけでは対処しきれなくなり、負荷分散のため旧VPN装置を稼働させた。しかし、旧VPN装置にセキュリティのぜい弱性があり、同年6月にユーザーID、パスワードが抜き取られた」
2020年8月にSky株式会社が実施した「テレワークに関する意識調査」によると、テレワーク中の機密情報漏えいに関して、回答者の88.8%が「意識できていた」という結果が出ています。新型コロナウイルスの感染対策やワークライフバランスの実現を目指すといっても、これだけセキュリティにばかり意識がいっては、業務に集中できなくなってしまう可能性も高まります。そこで、テレワーク時に安心して業務に集中するために行うべきセキュリティ対策を紹介します。
パソコンや外部記憶媒体に入れたデータの持ち出しや、外出先でのデバイス利用に関するルールの策定を行います。ただし、これから初めてテレワークを導入する企業にとっては、どういったルールを策定すればよいかわからない点も多いでしょう。
そうした際には、総務省が提供している「中小企業等担当者向けテレワークセキュリティの手引き(チェックリスト)」を参考にするのがおすすめです。これを基に基本的なルールを策定し、細かい部分に関しては企業ごとに様子を見ながら修正していくとよいでしょう。
どれほど厳密なルール策定をしても、社員が理解、把握していなければ意味がありません。セキュリティリスクを避けるには、テレワークをする社員だけではなく、オフィスで業務を行う社員に対してもセキュリティ教育を徹底する必要があります。
ルールを記載した冊子を配布して終わりにするのではなく、定期的に勉強会を開催し、ルールを理解しているか、誤用がないかどうかの確認を徹底しましょう。
オフィスだけではなく、在宅用のパソコン、スマートフォン、タブレットなどへのアンチウイルスソフトの導入、VPN、VDIの管理を徹底します。また、パソコンやインストールしたアプリケーションは常に最新の状態に更新し、ぜい弱性をつかれないようにすることも重要です。
テレワーク時のセキュリティリスクとして、社用パソコンや外部記憶媒体から個人情報が流出してしまうケースが少なくありません。対策として、セキュリティ教育やアンチウイルスソフトの導入ももちろん必要ですが、デバイス本体にデータを保存しないことでも、セキュリティは格段に向上します。
パシフィックネットでは、テレワーク時のセキュリティ対策として、デスクトップのデータだけを仮想化する全く新しいシンクライアントシステム Microsoft のデスクトップ仮想化サービス「 Azure Virtual Desktop(AVD)」の導入支援サービスを提供しています。これらのシステムは、持ち出しパソコンのセキュリティ対策に大きな効果を発揮します。テレワーク導入でセキュリティ対策にお悩みの際は、ぜひ、ご検討ください。