目次
(※こちらの記事は2020年5月に公開されたものを、2022年10月に更新しております。)
テレワークは、在宅勤務だけを指す言葉でなく、情報通信技術(ICT)を活用した、場所や時間にとらわれない柔軟な働き方です。外出先や移動中に業務を行うこともテレワークです。
浅間商事では、「まだテレワークがイメージできない」という中小企業のお客様に向け、「導入しやすいテレワークの仕組み3選」として、次のテーマを解説してまいりました。
- 第1回:リモートデスクトップ
- 第2回:インターネットVPN
- 第3回:クラウドサービス
- 番外編:セキュリティ対策
最終回の今回は、テレワークの「セキュリティ対策」について解説いたします。
大切だとは思っているけれど、「うちは大丈夫」、「無くなって困るような情報はない」とセキュリティ対策を先延ばしにしているお客様は少なくありません。本記事を通して、「セキュリティ対策は中小企業にも必要なものだ」と感じていただければ幸いです。
被害に遭ってからでは遅い、「セキュリティ対策」の重要性
セキュリティ対策が不十分だったため、残念ながらサイバー攻撃の被害に遭われたというご相談を、浅間商事にも毎月のようにいただいています。
被害例
- ランサムウェア(身代金ウイルス)に感染し、NASのデータが真っ白になってしまった。成果報酬型データ復旧業者にデータ復旧をお願いするも、復旧できなかったうえに代金も請求された。
- ルーターに外部からの不正な攻撃が大量にあり、その影響かネットがダウン。1日ネットが使用できず仕事にならなかった。
- 自分のメールアドレスで社内外の人に迷惑メールが多数送られている。何がどうなっているかわからない。(メールアカウントの乗っ取り)
- 自社のコーポレートサイトを開いたお客様にウイルスがダウンロードされるようになってしまった。(サーバー乗っ取り)
また、お客様の環境でセキュリティ対策機器のデモを行ったところ、デモ期間のレポートからウイルスや攻撃が検出されたということもありました。
データ復旧ができなかった、お客様に被害を与えてしまい信用を失ったなど、被害に遭ってからでは対応が難しいケースは少なくありません。「セキュリティ対策」は、避けて通れない経営課題の一つでもあるのです。
テレワークにおける「セキュリティリスク」とは
会社内にはすでにセキュリティ対策を講じていても、テレワークにはテレワークならではのセキュリティ・リスクが存在します。テレワークの仕組みを導入するだけでなく、社外で業務を行うリスクを理解して対策を行うことが極めて重要です。
自宅のリスク(在宅勤務)
- 古いルーター、無線ルーターの使用
- 自宅ルーターの管理画面ID・パスワードの管理が不十分
- 私用のUSBメモリの使用、会社で許可を得ていないクラウドサービスの使用
- フィッシング
古いルーターの使用、管理画面のID・パスワードの管理が不十分
古いネットワーク機器は、セキュリティ上の欠陥が存在したままの場合があります。 また、ルーターの管理画面のIDやパスワードを盗まれると、ハッキングにより不正アクセスを招きます。
起こりうること
- データの流出
- 通信内容が盗聴される
- 接続している端末(パソコンやスマートフォン)が乗っ取られる
- その回線を使って犯罪行為が行われる
在宅勤務を行う場合、自宅のルーターについて次の確認を行いましょう。
- ファームウェアの更新
- 管理画面のパスワードを変更・管理(特に初期設定のままの場合は危険です)
ルーターは壊れるまで使う方もいますが、ご利用のルーターのファームウェアの更新があるかないかを定期的に確認し、更新を行って利用することがセキュリティ上望ましいです。
4、5年前のモデルを利用していて、ファームウェアの更新をやっていない、わからない場合、自動で更新する機能を搭載した最新のものに切り替えることをおすすめいたします※。
※参考リンク:一般社団法人デジタルライフ推進協会「ご家庭でWi-Fiルーターをおり安全にお使い頂くために」
無許可のUSBメモリやクラウドサービスの使用
利便性の高いUSBメモリですが、昨今は利用自体を禁止する会社も増えてきています。小型で持ち運びやすいために紛失、盗難のリスクがあり、また、USBメモリを通じてのウイルス感染がおこりうるためです。
データのやり取りや管理にはVPN、クラウドサービスのご利用がおすすめです。しかし、会社が許可していないクラウドサービスの利用には危険があります。
起こりうること
- データの管理が行き届かなくなる
- 紛失・漏洩のリスクが高くなる
- 後追いができない
企業の管理者は利用を許可・禁止するクラウドサービスを明確にし、さらにログを取るといった仕組みの導入も検討しましょう。
フィッシング
日常使用する各種サービスからのメールを装い、偽サイトへ誘導してID・パスワードを入力させる。そしてログイン後、個人情報やカード情報などを入力させ、登録情報の搾取や不正アクセスされてしまうのがフィッシングです。個人の被害が多くありますが、社員がフィッシングにあうことで、企業も標的になっています。
起こりうること
- 不正アクセス
- 登録情報の搾取
- サービスの不正利用
- 他サービスでも不正アクセス被害
フィッシング被害にあわないために、普段から次のことを心がけるよう社員の間で意識共有しましょう。
- よく利用しているサービスは不正メールがあることを知っておく(銀行、ネットショップなど)
- メールのリンクからアクセスしない。正規のURLをお気に入りなどに登録し、毎回ブラウザから開く
- パスワードの使いまわしは避ける。サービスごとにID・パスワードの組み合わせを変える
外出先のリスク(屋外、コワーキングスペース、カフェなどでの業務)
- 公共交通機関やカフェなどの公共フリーWi-Fi
- パソコン画面の「のぞき見」
- 置き忘れ・紛失
公共フリーWi-Fi
暗号化されていないフリーWi-Fiは、第三者が簡単に利用者の通信内容(見ているサイト、履歴、メールの内容など)を取得することができます。
また、本来のアクセスポイントと似た偽のアクセスポイントを設定し、誤ってそちらに接続することで端末の情報を抜き取られることもあります。
起こりうること
- 通信の盗聴・のぞき見(ウイルス感染、パスワードを盗む)
- なりすましアクセスポイントへの接続で端末の情報を抜き取られる
特に業務においては、公共フリーWi-Fiの使用は避けましょう。スマホのテザリングや、モバイルWi-Fiの利用をおすすめします。
パソコン画面の「のぞき見」
公共の場所でパソコン画面が第三者からも見られるようになっていれば、そのまま画面の情報が漏洩することと等しいです。悪意のある人に、業務の情報を漏らされてしまうこともあります。
起こりうること
- 情報漏洩
プライバシーフィルター(のぞき見防止フィルター)などで画面を見えにくくしましょう。
パソコンの置き忘れ・紛失
テレワークのために会社用パソコンを持ち出すと、自宅だけでなく交通機関など公共の場所で持ち歩く機会が増えます。紛失したり、盗難に遭えば、当然のことながらパソコンの中の機密情報が危険にさらされます。
起こりうること
- 情報漏洩
特定非営利活動法人 日本ネットワークセキュリティ協会「2018年 情報セキュリティインシデントに関する調査報告書【速報版】」によると、個人情報漏えいの原因の約4分の1が、「紛失・置忘れ」です。
パソコンは情報・機密の塊であり、「移動時は肌身離さず」が基本です。盗難への警戒はもちろん、置き忘れや失くしてしまうことのないよう気をつけましょう。
なお、持ち歩きが可能なWi-Fiルーターやスマホのテザリング機能も、パスワード管理が重要です。
テレワーク技術別セキュリティリスクと対策
第1回から3回にかけて、次の技術を紹介してまいりました。ここでは、技術ごとのセキュリティリスク、そしてその対策について解説いたします。
「リモートデスクトップ」のセキュリティリスクと対策
「リモートデスクトップ編」記事中の「不正アクセス対策」にて詳細解説しておりますので、ここでは簡単にまとめました。
- 物理的セキュリティ:社内のパソコンが起動したままなので、オフィスの施錠や警備などが重要
- ウイルス対策ソフト:社内パソコンだけでなく、操作する側のパソコンにもセキュリティ対策が必要
- UTM:VPN接続の場合IPが固定されるため、セキュリティ機能の付いたUTMの導入がおすすめ
- ログ管理ソフト:社外のパソコンから社内のパソコンにデータを移動させることが可能なため、不正な操作の監視用にログ管理ソフトを入れることがある
「インターネットVPN」のセキュリティリスクと対策
「インターネットVPN」は通信を安全に行う技術です。運用において次のような点に気を付けましょう。
- 本社・支社間のように、VPNが常時必要な場合は、各拠点にVPNできる機器で構築
- 社員が外出先で社内のサーバーなどにアクセスしたい場合は、モバイルVPNで接続
- 取引先など、社外の人とのやり取りにはクラウドを活用
不必要なデータの操作やアクセスは管理上のリスクも伴います。必要なデータを必要な人のみ、必要な時に利用するという運用がおすすめです。
なお、VPNは安全性に疑問があるサービスも存在します。サービスの選定に不安がある場合は専門家に相談しましょう。
「クラウドサービス」のセキュリティリスクと対策
「クラウドサービス」は、アカウントがあれば、どの端末からも利用できるのが利点です。そのため、ID・パスワードは会社の機密情報への入り口です。また、セキュリティ面はサービス事業者に依存する点もあります。
- ID・パスワードを正しく管理し、不正アクセスを防ぐ
- データの共有やアクセス権の設定のミスによる漏洩に注意する
- 利用する場所、端末を制限する(フリーWi-Fi、ネットカフェのパソコンからは接続しない、個人所有の端末からの利用のルール化など)
- 信頼できるサービスを利用する
- 多要素認証を活用する
ID・パスワードを盗まれれば、そのまま会社のデータに不正アクセスされる可能性があります。クラウドサービスに限ったことではありませんが、パスワードを定期的に変えるなど正しく管理しましょう。
クラウド上の機密情報に誤った共有設定や権限設定を行い、情報漏洩を招くこともあります。
また、サービスの事業者が攻撃を受ければ、情報漏洩の危険性があります。障害によりデータが消失することもあるでしょう。事業者側の都合で突然サービスが終了してしまうケースもありました。会社の機密情報を預けるクラウドサービスは、信頼できる事業者のものを利用しましょう。
中小企業のテレワーク「セキュリティ対策」事例
浅間商事では、次のようなお手伝いをしております。
- 現状の確認、ありたい姿の確認
- 上記により必要となる機器の選定とアドバイス※1
- 設置、導入
- 導入後のフォロー※2 など
例)「ウイルス対策ソフト:ESET」
独自の高度な検出システム、「ヒューリスティック技術」で高い検出力を持ち、他社のウイルス対策ソフトに比べ動作が軽いと言われています。パッケージ版とライセンス版があり、ライセンス版なら全てのライセンスの更新のタイミングが同じ&一括更新のため管理の手間がありません。
例)「セキュリティ機能付きルーター:UTM」
ウイルス対策だけでなく、外部からのネットワーク攻撃を防いだり、危険なサイトへのアクセスを防いだり、内部から攻撃者への通信を防いだりする多層防御機能が備わっています。サイバー攻撃被害のリスクを大幅に低減することができます。
UTMは、営業エリア内(東京・埼玉・栃木県、各都県一部エリア)のお客様に限り、評価機(デモ機)を無料で貸出するサービスを行っております。
セキュリティ状況のレポートが出せますので、自社の状況を可視化できます。(どのようなサイトを見ているか、どのようなアプリを使っているか、スパムがどれくらい来ているかなど)。知らないうちに受けている攻撃などを確認していただくことができます。テスト利用されてみたいお客様はお気軽にお問い合わせください※3。
※1:セキュリティ対策は機器だけではなく、お客様の意識も重要です。浅間商事では、セキュリティーニュースレターなどの定期的な情報提供でお客様の運用をフォローしております。
※2:月額・年額制のITサポートや保守つきのあさまパックをご利用のお客様には、導入後のトラブル発生時にリモートサポートや、直接うかがっての対応をいたします。
※3:1週間程度の貸し出しになります。
- 【事例】コンサルティング業界:5人
リモートVPNを導入すると同時に、コンサルティング業界でお客様情報を多く扱うため、セキュリティも強化したいと要望を受ける。UTMの無料デモを行ったところ、複数回の攻撃を受けていることも発見された。
→「UTM導入」+「リモートVPNオプション」=月額15,000円
※価格は2020年時点のものです。
まとめ
セキュリティ対策が不十分だったため、サイバー被害に遭われたというご相談を浅間商事にも毎月のようにいただいています。
また、会社内はすでに対策を講じていても、テレワークにはテレワークのリスクがあります。自宅(在宅勤務)のリスク、外出先(屋外やカフェなど)のリスクを理解し、それぞれのセキュリティ対策が必要になります。
これまでテレワークの技術として紹介してきた「リモートデスクトップ」、「インターネットVPN」、「クラウドサービス」のリスクと対策も解説いたしました。
テレワークは導入しておしまいではなく、セキュリティ対策と合わせて構築することが大切です。 浅間商事では、お客様の状況やご予算に応じたご提案をしております。テレワーク導入やセキュリティ対策でお悩みでしたら、お気軽にご相談ください。
- お電話でのお問合せ:0120-830-414(受付時間 平日9:00~17:00)
- メールでのお問い合わせ:お問い合わせフォーム
