以前から多くの企業が働き方改革に取り組み、在宅勤務や時短勤務など従業員が多様な働き方を実現できるように環境整備を進めてきました。また、こうした働き方改革への取り組みと合わせて、新型コロナウイルス感染症の拡大により、オフィスに出勤せずにコワーキングスペースや自宅で仕事をするテレワークの利用が一気に加速しました。それに伴い重要性が高まっているのがセキュリティ対策です。そのポイントを確認しましょう。

テレワークの活用は、「通勤時間が不要になる」、「育児・介護との両立」など生産性の向上やワークライフバランスといった視点でさまざまなメリットがありますが、一方では情報セキュリティにおけるリスクの増大が懸念されています。例えば、テレワークでは普段社内で使っているPCを社外へ持ち出すため、移動中に盗難や紛失などのリスクがあります。また、自宅で使用している個人保有のPCやスマートフォンをそのまま業務利用する場合、セキュリティ対策が万全でないと、重要な業務上の情報が外部に漏洩してしまうことも懸念されます。 情報処理推進機構（IPA）が発表した「情報セキュリティ10大脅威 2021（組織）」によると、「テレワーク等のニューノーマルな働き方を狙った攻撃」が初めて3位にランクインしました。Web会議やVPNなどのテレワーク環境を狙ったサイバー攻撃が増加し、セキュリティのリスクが高まっているといえるでしょう。

それでは実際、企業における個人情報の漏洩や紛失の事故はどのくらい発生しているのでしょうか。東京商工リサーチが実施した「上場企業の個人情報漏洩・紛失事故」調査によれば、2020年に上場企業とその子会社で個人情報の漏洩・紛失事故を公表したのは前年比33.3％増の88社で調査開始以来最多となりました。事故件数は同19.7％増の103件で、統計を取り始めてから2番目の多さで、7年ぶりに100件を突破。漏洩した個人情報も2,515万47件に達しました。 東京商工リサーチによると、企業からの情報漏洩事故が急増した原因は「ウイルス感染・不正アクセス」です。新型コロナウイルス感染症の急拡大もあって、テレワークに利用するPCやネットワークのセキュリティ対策が十分に整備されないまま、急遽テレワークを導入せざるを得なかった企業も多いと推測されます。 例えば、テレワークで利用するPCのOSやソフトウェアが最新の状態にアップデートされておらず脆弱性が残っており、それが原因でマルウェアに感染。そのPCを社内ネットワークに接続することで、社内のほかのPCやサーバーに感染が拡大し、情報漏洩する可能性が考えられます。また、USB接続やBluetooth接続が可能になっていると、私物の外付けハードディスクやスマートフォンを利用した情報漏洩が発生する可能性があります。 テレワーク時には社外からのインターネット利用が必須となりますが、VPN（Virtual Private Network）を経由せずインターネットに接続すると、ファイアウォールやプロキシなどの安全な社内ネットワークを経由しないため、危険なサイトにアクセスしてマルウェアに感染するといったリスクも想定されます。 テレワークでの業務の特長として、Web会議などのクラウドサービスの利用も増えるでしょう。しかし、クラウド利用が原因で情報漏洩が起きてしまうリスクもあります。例えば、クラウドサービスへのアクセス制御に不備があり、攻撃者によって機密情報が盗まれてしまうケースや、適切な利用者のみにアクセスを制限していても、正規の利用者のアカウント情報が窃取され、クラウド上のサーバーから大切な情報が盗まれてしまうリスクも懸念されます。また、会社が許可していないクラウドサービスの利用による情報漏洩などにも注意が必要です。

このように、企業における情報漏洩のリスクの高まりが懸念される今、企業の情報資産を守るためにはどのようなセキュリティ対策が求められているのでしょうか。重要なことは、社内ルールを整備する観点と技術的な観点の2つの視点でセキュリティ対策を実施していくことです。まずは、社内ルール整備の観点から行うべきセキュリティ対策について紹介します。 情報セキュリティ対策を行ううえで、基本となるルールが「情報セキュリティポリシー」です。情報セキュリティポリシーは、全体の根幹となる「基本方針」、基本方針にもとづいて実施すべきことを規定する「対策基準」、対策基準で規定されたことを具体的に実行するための手順を示す「実施内容」の3段階で構成されています。 このうち対策基準と実施内容については、テレワークの実施を考慮したものにする必要があります。例えば、PCの暗号化や持ち出し制御、マルウェア対策が施されているかチェックして許可を得るなど、情報漏洩を防ぐためのルールを設けるとともに、これらのルールに違反した場合の罰則規定を設けることも、抑止効果があります。 社内で扱う情報については、その重要度に応じて「社外秘」「関係者外秘」「公開」などレベル分けを行ったうえで、それぞれの情報資産の取り扱い方法を定めます。テレワークでは、持ち出した情報が外部に漏洩するリスクが高まるため、持ち出す際には暗号化するなどルールを決めることが必要です。 次に、技術的観点から行うべきセキュリティ対策について紹介します。まずはテレワークに使うPCやスマートデバイス、記憶媒体を社外に持ち出す際の盗難・紛失対策です。PCはログインパスワードの設定はもちろんのこと、ハードディスクやデータを暗号化しておくことで、万が一紛失しても端末からの情報漏洩を防ぐことができます。 また、USBメモリーや外付けハードディスクなどのデバイスへのデータコピーを禁止するなど、デバイスの使用そのものを制御する方法もあります。 さらに、IT資産管理を行うツールを導入し、テレワークで利用するPCやスマートデバイスの状態を一元管理することも効果的です。各端末のセキュリティパッチの更新状態を把握し、最新のセキュリティパッチを適用、業務に不要なソフトウェアの起動を禁止しておけば、セキュリティの「穴」となる脆弱性を塞ぐことができます。 IT資産管理ツールの中には、UEM（Unified Endpoint Management：統合エンドポイント管理）の機能を有しているものもあるので、業務で使用するスマートフォンの紛失時にリモートで端末をロック、初期化することで情報漏洩を防ぎます。 最近ではテレワーク環境を狙った標的型メール攻撃も確認されています。不審なメールの添付ファイルを開封したり、本文中のURLをクリックしたりしないようにセキュリティリテラシ―を向上させるのはもちろんのこと、標的型攻撃で使われる未知のマルウェアの対策も行いましょう。マルウェアは日々新種が生み出されているので、パターンマッチング方式の検知だけではなく、AIを利用した検知エンジンを搭載したマルウェア対策やサンドボックスなど、未知のマルウェアにも対応可能な仕組みを備えた多層防御の製品を選ぶようにしましょう。 また、メール本文中のURLをクリックすると、マルウェアに感染させる内容が含まれた悪意のあるWebコンテンツにアクセスさせられるリスクがあるため、悪意のWebコンテンツを無害化して安全な情報のみを表示させるソリューションなどの導入も検討しましょう。 最後に、クラウドのセキュリティ対策です。テレワークでは、会議は基本的にWeb会議を利用することになるでしょう。しかし、Web会議では、第三者の不正アクセスによる会話の盗聴や、画面の盗み見、会議資料などの不正ダウンロードなどのリスクが想定されます。ユーザーIDやパスワードで会議の参加者を管理する機能や、通信の暗号化、共有するファイルのアクセス権設定など、セキュリティ機能が備わっているWeb会議システムを利用しましょう。
その他、ファイル共有サービスやチャットツールなど、テレワーク時のコミュニケーション効率化のためのさまざまなクラウドサービスが存在します。クラウドサービスを活用する際は、信頼できるサービス事業者を選定したうえで、アクセスするユーザーがどのデータに対してどのような操作が行えるか、自社のセキュリティルールに即した利用を徹底しましょう。また、会社で許可されていないクラウドサービス（シャドーIT）が業務で使用されていないかを可視化、利用を制御するソリューションの適用も検討しましょう。 クラウド上の業務システムへのアクセスについては、VPNを通さず直接インターネットから接続できるようにして（インターネットブレイクアウト）、VPN回線の負荷を下げるとともに、快適なクラウドサービス利用が可能な環境を整備することが効果的です。

今後ますます働き方が多様化し、テレワークの拡大が予想されますが、それだけセキュリティリスクも高まるということです。セキュリティ対策を疎かにして、万が一顧客の個人情報の漏洩や取引先へのマルウェア感染拡大などを引き起こしてしまうと、企業として社会的な信用を失うことにもなります。社内ルールの整備と技術的な対策を行って、安全なテレワークを実現しましょう。