【安心・安全なテレワークのためのセキュリティ対策】

【安心・安全なテレワークのためのセキュリティ対策】
以前から多くの企業が働き方改革に取り組み、在宅勤務や時短勤務など従業員が多様な働き方を実現できるように環境整備を進めてきました。また、こうした働き方改革への取り組みと合わせて、新型コロナウイルス感染症の拡大により、オフィスに出勤せずにコワーキングスペースや自宅で仕事をするテレワークの利用が一気に加速しました。それに伴い重要性が高まっているのがセキュリティ対策です。

情報漏洩が起きる要因

テレワークで利用するPCのOSやソフトウェアが最新の状態にアップデートされておらず脆弱性が残っており、それが原因でマルウェアに感染。そのPCを社内ネットワークに接続することで、社内のほかのPCやサーバーに感染が拡大し、情報漏洩する可能性が考えられます。また、USB接続やBluetooth接続が可能になっていると、私物の外付けハードディスクやスマートフォンを利用した情報漏洩が発生する可能性があります。
テレワーク時には社外からのインターネット利用が必須となりますが、VPN（Virtual Private Network）を経由せずインターネットに接続すると、ファイアウォールやプロキシなどの安全な社内ネットワークを経由しないため、危険なサイトにアクセスしてマルウェアに感染するといったリスクも想定されます。
テレワークでの業務の特長として、Web会議などのクラウドサービスの利用も増えるでしょう。しかし、クラウド利用が原因で情報漏洩が起きてしまうリスクもあります。例えば、クラウドサービスへのアクセス制御に不備があり、攻撃者によって機密情報が盗まれてしまうケースや、適切な利用者のみにアクセスを制限していても、正規の利用者のアカウント情報が窃取され、クラウド上のサーバーから大切な情報が盗まれてしまうリスクも懸念されます。また、会社が許可していないクラウドサービスの利用による情報漏洩などにも注意が必要です。

ウィズコロナの時代で必要となるセキュリティ対策

情報セキュリティ対策を行ううえで、基本となるルールが「情報セキュリティポリシー」です。情報セキュリティポリシーは、全体の根幹となる「基本方針」、基本方針にもとづいて実施すべきことを規定する「対策基準」、対策基準で規定されたことを具体的に実行するための手順を示す「実施内容」の3段階で構成されています。
このうち対策基準と実施内容については、テレワークの実施を考慮したものにする必要があります。例えば、PCの暗号化や持ち出し制御、マルウェア対策が施されているかチェックして許可を得るなど、情報漏洩を防ぐためのルールを設けるとともに、これらのルールに違反した場合の罰則規定を設けることも、抑止効果があります。
社内で扱う情報については、その重要度に応じて「社外秘」「関係者外秘」「公開」などレベル分けを行ったうえで、それぞれの情報資産の取り扱い方法を定めます。テレワークでは、持ち出した情報が外部に漏洩するリスクが高まるため、持ち出す際には暗号化するなどルールを決めることが必要です。テレワークに使うPCやスマートデバイス、記憶媒体を社外に持ち出す際の盗難・紛失対策です。PCはログインパスワードの設定はもちろんのこと、ハードディスクやデータを暗号化しておくことで、万が一紛失しても端末からの情報漏洩を防ぐことができます。
また、USBメモリーや外付けハードディスクなどのデバイスへのデータコピーを禁止するなど、デバイスの使用そのものを制御する方法もあります。

まとめ

最近ではテレワーク環境を狙った標的型メール攻撃も確認されています。不審なメールの添付ファイルを開封したり、本文中のURLをクリックしたりしないようにセキュリティリテラシ―を向上させるのはもちろんのこと、標的型攻撃で使われる未知のマルウェアの対策も行いましょう。マルウェアは日々新種が生み出されているので、パターンマッチング方式の検知だけではなく、AIを利用した検知エンジンを搭載したマルウェア対策やサンドボックスなど、未知のマルウェアにも対応可能な仕組みを備えた多層防御の製品を選ぶようにしましょう。