新型コロナウイルスの感染拡大で働き方改革が見直され、テレワークが急速に浸透しました。その一方、企業で十分なセキュリティ対策や教育がされていないことを背景に、セキュリティ被害が年々増加傾向になっています。今、パソコンをレンタルする企業も増えてきていますが、企業の機密情報や個人情報を守るために、どのようなセキュリティ対策が必要でしょう。もう一度、パソコンを安心安全に運用する方法について考えてみませんか。
セキュリティ被害の例として、近年、企業から盗んだデータを人質に身代金を要求する「ランサムウェア(身代金要求型ウイルス)」の被害が世界的に広がっています。
サイバーセキュリティテクノロジー企業の米クラウドストライクが独自に調査した「2020年度版グローバルセキュリティ意識調査結果」(※1)によると、ランサムウェアの被害にあった日本企業は、2019年の42%から増加し、2020年は52%となっています。うち、32%が身代金の支払いに応じ、身代金の平均額は約1億2300万円となりました。
ランサムウェアのほかにも、情報流出やフィッシングサイト、不正侵入といったインシデントも年々増えています。
経済産業省商務情報政策局サイバーセキュリティ課によると、新型コロナウイルスの感染が拡大した2020年3月以降、JPCERTコーディネーションセンター (JPCERT/CC、※2)へのインシデント相談報告件数は増加傾向でした。一例に、2019年10月には2000件弱でしたが、2020年10月には約4000件と倍増しています。
このように、世界的にセキュリティ被害が増加している背景の一つに、新型コロナウイルス感染拡大によるテレワークの推進が考えられます。緊急性を伴う感染防止策として、万全な準備ができないままテレワークを導入した企業も多いのではないでしょうか。
その結果、セキュリティ教育が十分に行われていなかったり、社外でパソコンを使用する際の共通のルールが十分に定まっていなかったりし、セキュリティ面でいくつかの問題が生じていると推測できます。
「企業や組織にとって、情報セキュリティに対するリスクマネジメントは重要な経営課題である」と総務省は呼びかけています。
企業やブランドの信頼やイメージを失わないためにも、企業の機密情報や顧客情報といった情報資産を、ウイルス感染やシステムの不正アクセスなどの脅威から守らなくてはいけません。
具体的なセキュリティトラブルとその対策の例を挙げていきましょう。
ウイルス感染を防ぐためには、ウイルス対策ソフトやソフトウェアの更新、危険なウェブサイトのフィルタリングが必要です。
ウイルス対策ソフトは、パソコンをレンタルする場合、デフォルトでインストールされているケースは少なく、オプションで提供される場合が多いです。企業では社外秘の機密情報を取り扱う場合もあるかと思いますので、ウイルス対策ソフトは利用するべきでしょう。
市販のウイルス対策ソフトのウイルスバスターやノートンインターネットセキュリティはライセンスが1年単位であることが一般的なため、例えば数か月のレンタルの場合、ライセンスの期間や購入費用に無駄が出てしまうこともあります。
最近は1カ月単位で利用できる月額制のウイルス対策ソフトも増えてきているほか、レンタルできるウイルス対策ソフトもあるため、利用期間や用途、費用にあったものが選びやすくなっています。
パシフィックネットではマイクロソフトオフィスおよび一部のウイルス対策ソフトを有償で取り扱っています。それ以外のウイルス対策ソフトを使用されたいお客様には自前のソフトをご利用いただくか、別途ご購入いただいています。
万が一、レンタルパソコンがウイルスに感染してしまった際は有償で駆除も行っていますが、感染防止のためウイルス対策ソフトの利用を推奨しています。
不正侵入にはパスワード管理やソフトウェアの更新などが効果的です。あるいは、ファイアウォールを導入するのも良いでしょう。
ファイアウォールは外部のネットワークからの攻撃や、不正なアクセスから自らのネットワークやコンピューターを防御するためのソフトウェアやハードウェアを指します。火災被害を最小限に抑える防火壁に例えて、ファイアウォールというようになりました。
ファイアウォールには大きく2種類あります。一つは個人利用が目的のパーソナルファイアウォールで、もう一つは企業や家庭で使われるファイアウォールです。
パーソナルファイアウォールはパソコンに導入するソフトウェアです。パソコンへの不正な侵入を防いだり、ウイルスの侵入を阻止したりすることができるほか、自分のパソコンを外部から見えなくします。
一方、企業などのネットワークに使用するファイアウォールは、インターネットと社内のLANとの間に設置し、不正なアクセスから社内のネットワーク全体を守ります。具体的には、外部からの不正なパケットを遮断したり、許可されたパケットだけを通過させたりする機能を持ちます。
パケットとはネットワークを通して送信される、データを分割する際に使われる単位のことです。
ただし、ファイアウォールは一般的にIPアドレスや、外部とのデータの入出力であるポート、コンピューター同士で通信する際の手順や規格であるプロトコルの段階でパケットを排除するため、Dos攻撃やワーム侵入などを防ぐことができません。つまり、ファイアウォールだけではセキュリティ対策が不十分なのです。
そこで、ファイアウォールを補完する形で導入されるのがIPS(Intrusion Prevention System、不正侵入防止システム)やIDS(Intrusion Detection System、不正侵入探知システム)です。
IPS(不正侵入防止システム)はサーバーやネットワークを監視し、不正なアクセスや異常な通信があれば管理者に通知、さらにブロックします。通信内のパケットの中身もチェックできるため、ファイアウォールが許可した通信が安全かどうかも認識します。
IDS(不正侵入探知システム)は不正侵入を検出して管理者に通知します。通信の異常を検知する点ではIPS(不正侵入防止システム)と同じシステムですが、不正行為の検出後に防御措置を取らないのが決定的な違いとなります。
加えて、WAF(Web Application Firewall、Webアプリケーションファイアウォール)というセキュリティシステムもあります。GmailやスカイプなどのWebアプリケーションのぜい弱性を克服し、安全性を高めるものです。Webアプリケーションへの攻撃はIPS(不正侵入防止システム)やIDS(不正侵入探知システム)では防ぐことができません。
Webアプリケーションの活用が企業で一般化している今、WAF(Webアプリケーションファイアウォール)の導入も必須になっているといえます。
これまで紹介したファイアウォールとIPS(不正侵入防止システム)、IDS(不正侵入探知システム)、WAF(Webアプリケーションファイアウォール)は同じセキュリティシステムでも不正な侵入をネットワークから守る範囲や機能が異なります。それぞれの強みを理解し、また、種類も様々にありますので、それらの特性を理解し、複数を組み合わせることで、より効果的なセキュリティ対策を講じていく必要があります。
また、ファイアウォールやIPS(不正侵入防止システム)を一つにまとめたUTM(Unified Threat Management、統合脅威管理)もあります。複数のセキュリティ製品を導入する際にかかるコストや手間を軽減でき、IT管理者がいない中小企業などを中心に需要があります。
JNSA(日本ネットワークセキュリティ協会)が2018年に発表した「2017年情報セキュリティインシデントに関する調査報告書」によると、情報漏えいの原因の上位3位は1位が誤操作(25.1%)、続く2位が紛失・置忘れ(21.8%)、そして3位に不正アクセス(17.4%)となりました。
不正アクセスは先ほども紹介したようなウイルス対策ソフトやファイアウォールを導入してセキュリティ対策を打つことができます。一方、誤操作や紛失・置忘れといった人為的な原因で起きる情報漏えいは、事前に対策を検討・実施し、リスク管理していくことが求められます。
人為的な要因の例として、メールの送り間違いがあります。宛て先の誤りに気付かず、そのまま関係ない人に仕事上の重要な情報が送られてしまう場合があります。これには個人の意識的な改善策のほか、複数名の社員で宛て先を確認するといった社内ルールを徹底するなどして、情報漏えいを防いでいきましょう。
ほかに、スマートフォンやタブレットなどのモバイル端末を紛失してしまったという時にはMDM(Mobile Device Management、モバイルデバイス管理)が活躍するでしょう。MDM(モバイルデバイス管理)は企業などで利用されるモバイル端末のシステム設定などを一元的に監視し、統合的に管理する手法や、それを実装するソフトウェアです。
MDM(モバイルデバイス管理)には様々な機能が備わっており、紛失や盗難にあったモバイル端末を遠隔地からロックできたり、モバイル端末上でパスワード入力を一定回数間違えるとデータが消去されたりします。
火災や地震などで情報機器にトラブルが生じる可能性もあります。こまめにバックアップしたり、無停電電源装置を設置したりして、あらかじめ災害に備えていくことが肝要です。
パソコンを入れ替える際や、レンタル業者から借りたパソコンを返却後、他の企業が使う際に情報が漏えいしないかという心配もありますよね。パソコンのHDDやSSDなどの記憶媒体から機密情報や個人情報を適正にデータ消去することも、企業にとって、情報漏えい防止やコンプライアンスを重視するうえで大事です。
データ消去は大きく2つあり、自社内で専用ソフトや機器を用いて行う方法と、データ消去の専門業者に依頼する方法があります。
自社内で行う方法の一つにデータ消去専門のソフトウェアがあります。データ消去専門ソフトウェアはその手軽さで人気ですが、データの書き込み方法や媒体のアーキテクチャによっては、データ消去が確実に行われないものもあります。
また、記憶媒体の初期化や、データをごみ箱に捨て、ごみ箱を空にするだけではデータをすべて削除することにはなりません。その理由については パソコンのデータ消去は削除だけでは不完全?完全消去するのに必要な方法とはをご覧ください。
一方、データ消去の専門業者に依頼する場合は、データの機密度や処理後の機器の使い方に合わせ、データ消去方法を「ソフトウェア消去」「物理破壊」「磁気消去」から選べられます。 さらに、専門業者に依頼すればデータ消去作業証明書が発行されます。データ消去の詳細はパソコンのデータ消去を専門業者に依頼するべき理由は?選ぶ際の注意点も解説をご覧ください。
ここまで、パソコンのセキュリティ対策の重要性や、パソコンを入れ替える際のデータ消去についてまとめてきました。
最後に、パシフィックネットではテレワーク時のセキュリティ対策として、Microsoftのデスクトップ仮想化サービス「Azure Virtual Desktop(AVD)」の導入支援サービスを提供しています。
また、パシフィックネットのデータ消去作業は、アメリカ国立標準技術研究所によるガイドライン(SP800-88 Revision 1)に準拠し、復元が完全に不可能であると認定された方法で実施しています。また、お客様の情報セキュリティポリシーや機器の処分方法を踏まえ、物理破壊や上書き消去など適切なデータ消去方法を提案します。
※1 2020年8月から9月にかけて実施、米国や英国、日本など12か国地域の主要業界に従事するIT関連部門の意思決定者とITセキュリティ担当者2200人を対象
※2 技術的な立場におけるコンピューターセキュリティインシデントに対応するための専門チームCSIRT(Computer Security Incident Response Team、シーサート)で、JPCERT/CCは日本で最初の公的機関