テレワークのセキュリティ対策　脆弱性と脅威について考えてみよう（vol.12）

2023年02月10日（金）

AppGuard

テレワークの実施とセキュリティ対策は切っても切れない関係にあります。実際に、情報処理推進機構（IPA）発表の「情報セキュリティ10大脅威 2022」※1でも、組織におけるセキュリティ脅威の第4位に「テレワーク等のニューノーマルな働き方を狙った攻撃」がランクインしています。また、「テレワークの利用が困難である理由に関するアンケート（国別）」でも、実施しない理由の上位には「セキュリティ面に不安がある」という理由がランクインしているのです。※2。

本記事ではテレワークにおけるセキュリティの脆弱性とその対策について紹介していきます！

引用・参照元URL　
※1　https://www.ipa.go.jp/security/vuln/10threats2022.html
※2　総務省（2022）「国内外における最新の情報通信技術の研究開発及びデジタル活用の動向に関する調査研究」『情報通信白書令和4年度版』データ集、第3章第8節。
https://www.soumu.go.jp/johotsusintokei/whitepaper/ja/r04/html/nf308000.html#d0308430

テレワークの実施状況
テレワークにおけるセキュリティの脅威
テレワークのセキュリティ対策
まとめ

テレワークの実施状況

テレワークには、社員が自宅を拠点として業務を行う在宅勤務、ノートPCなどを利用して自由な場所で働くモバイル勤務、サテライトオフィスでの勤務などの働き方があります。

テレワークの実施率については内閣府が定期的に、「新型コロナウイルス感染症の影響下における生活意識・行動の変化に関する調査」として調査・発表しているほか、独自にアンケート等を行っている自治体もあります。内閣府の発表を確認してみると、2022年6月時点で全国のテレワーク実施率は30.6%となっています。※3。また、東京都の2022年12月のテレワーク実施率は52.4％となっています。※4。業種や地域、企業の規模によって大きく差は生まれていますが、依然テレワーク継続を選択している企業は一定数あり、テレワークに合わせたセキュリティ対策もいまだに求められている状況でしょう。

かつては社員がオフィスで、決められたデスクで業務を行うことが一般的でした。セキュリティ対策としても端末の持ち出し規定など、社内での業務を前提としたものが「社内ルール」として重視されていたでしょう。しかし、いわゆる「ニューノーマルな働き方」の広まりによりセキュリティ対策は見直されるべき時期を迎えました。テレワーク等の働き方で生じる特有のセキュリティの脅威には、従来のセキュリティ対策だけでは対応しきれないためです。総務省は2004年以降「テレワークセキュリティガイドライン」などを公開して、対策を講じるように推奨しています。

引用・参照元URL
※3　内閣府（2022）「第5回新型コロナウイルス感染症の影響下における生活意識・行動の変化に関する調査」
https://www5.cao.go.jp/keizai2/wellbeing/covid/pdf/result5_covid.pdf
※4　東京都　東京都（2023）「テレワーク実施率調査結果 12月」
https://www.metro.tokyo.lg.jp/tosei/hodohappyo/press/2023/01/11/02.html）

テレワークにおけるセキュリティの脅威

テレワークに特有のセキュリティの脅威として、社内システムへの接続方式を悪用するというものがあります。テレワークで業務を行う際に、VPN接続やRDPを利用した仮想デスクトップの利用などを行うケースは多いでしょう。これらの脆弱性の利用、管理者情報の窃取や悪用が行われることが、業務や情報資産に対する侵害に繋がるのです。

テレワークから少し話題が逸れますが、VPN接続の悪用に関連する事例をここで紹介します。2022年7月、南房総市教育委員会の校務支援システムに対しVPNの管理者IDを悪用したランサムウェア攻撃が行われました。※5。この攻撃で市内の6小学校、6中学校の全児童の個人情報や教職員のデータが暗号化され、複合化のための身代金要求などが行われたといいます。同教育委員会はシステムの利用を停止することに踏み切り、各学校では通知表の手書き作成など、従来そのシステムを利用して行っていた業務の対応に追われました。

病院のカルテシステムなどに対するランサムウェア攻撃も相次ぎましたが、やはりその攻撃のスタートとしてVPNが悪用されるケースが多いのも現状です。※6。

引用・参照元URL　
※5　日経クロステック「ランサムウェア攻撃で全校務データ消失　SSL-VPN装置の管理者IDが悪用される」2022年11月8日掲載
https://xtech.nikkei.com/atcl/nxt/mag/nc/18/020600011/110100119/
※6　日経クロステック「2023年も続くランサムウェア攻撃の脅威、狙われ続ける病院とVPN装置」2023年1月11日掲載
https://xtech.nikkei.com/atcl/nxt/column/18/02294/00005/

テレワークのセキュリティ対策

テレワークのセキュリティ対策の難しい点は、個人・経営者・システム管理者がそれぞれに対応しなくてはならない範囲があるために、統制をとる必要があることです。テレワーク実施による社員間コミュニケーションの難しさも問題となる中、企業による社員の統制もまたテレワーク独自の問題を抱えているところでしょう。
ここからは社員・企業それぞれが意識しなくてはならないセキュリティ対策を紹介していきます。

社員

社員はなにより、システム管理者からの案内を遵守し、OS・ソフトウェアのアップデートなどを怠らないのが重要です。管理体制にもよりますが、社員認証用のパスワード設定や定期更新なども企業の方針に則って必ず実施しなくてはなりません。これらを遵守せずテレワークを継続すると、OS・ソフトウェアの脆弱性対策が適応されなかったり、認証情報が窃取・不正利用されたりといった危険につながります。

自宅ネットワークを業務に利用する場合、ネットワーク環境の確認も重要です。また、カラオケ店などがテレワークプランとしてモバイル勤務ができる環境を提供している場合もあります。しかし、公共のWi-Fiを利用する場合には同じWi-Fiに接続するユーザーによる情報窃取のリスクもあるため、要注意です。

企業

社員のテレワーク継続と社内システムの安全性の維持のために、企業はテレワークのルールを定めていくことが何より重要となります。問題発生時の連絡フローなどももちろん大切なルールですが、本記事では主に二つのルールに着目したいと思います。それが「テレワーク利用端末の管理」と「ファイル保存ルールの決定」です。

テレワークに利用されている端末を把握し管理することは、セキュリティ対策としても非常に重要です。

2021年の調査になりますが、キヤノンマーケティングジャパンは「情報セキュリティ意識に関する実態調査レポート2021」を公開しています。※7。その調査結果によると、個人所有の端末を業務利用している企業は37.6%に及び、さらにそのうち36.8%が端末の申請が不要、もしくは届け出をせずに個人の端末を業務利用しているという状況が明らかになっているのです。利用される端末が把握できていないということは、その端末の脆弱性も危険も把握できないということです。そこから機密情報へ不正なアクセスがあったり情報を窃取されたりしても、発覚や原因究明に必要以上に時間がかかってしまうかもしれません。

ファイルの保存ルールの決定はテレワークではなくても統制をとらねばならないものですが、テレワークの実施によりその重要性が高まっているものと言えるでしょう。

社員がExcel等のファイルを作成・保存する場合、その保存先は利用している端末や社内のファイルサーバーなどさまざまだと思います。またクラウドサービスの広がりによってクラウド上にファイルを保存するケースも増えてきているでしょう。しかし、どの保存先でもセキュリティ的な問題が生じる危険があります。

先ほども言及した「情報セキュリティ意識に関する実態調査レポート2021」では、勤務先の許可を得ずに自宅で業務を行った方を対象に、データの持ち出しについての調査も行われています。データの持ち出し方法としては社用端末への保存が50％と最も多く、USBなどのリムーバブルメディアの利用は36.4％、個人所有端末への保存も29.4％にのぼりました。従来は、社用端末の持ち出しを原則禁止とし、リムーバブルメディアの利用禁止、個人所有端末へのデータ保存禁止などで対処することも可能だったでしょう。しかし、テレワークの場合は社用端末の保管場所は基本的に社員の自宅となり、定期的な出社やモバイル勤務など業務する場所に合わせて持ち歩くケースも多くあります。

さらに、個人所有端末を業務利用する企業が4割近くに及ぶという状況もあり、リムーバブルメディア利用も含めた細かいルール策定が必要になります。昨年尼崎市職員が飲み会帰りに住民情報などの入ったUSBを紛失したというニュースが連日話題となりましたが、この問題はどの企業にとっても他人事ではないのです。

ファイルサーバーやクラウド上でのファイル保存を行う場合は、公開範囲や閲覧権限を定めておくことが重要です。理由は、たとえ自社内でも全社員がすべての情報資産にアクセスできる状態にしてしまうと、不用意な情報の拡散・窃取に繋がってしまうからです。特定の部署や一定以上の役職者など、ファイル共有のルールを設定しておきましょう。また、社員の異動や離職の際には権限の変更・削除も重要となります。

参照・引用元URL
※7　https://eset-info.canon-its.jp/malware_info/special/detail/210708.html

まとめ

テレワークの実施とセキュリティ対策は切っても切れない関係にあります。本記事の冒頭でもそう述べました。もちろんテレワークの導入時にルール策定やセキュリティ対策の見直しを行っている企業も多いと思いますが、継続していく中で新たな課題が生まれたりルールがあいまいになってしまったりする可能性も大いにあります。セキュリティ対策もまた、継続して取り組まなくてはならない重要事項なのです。企業・社員それぞれがセキュリティに対する意識を高め、情報資産を守りながらスムーズな業務を行っていきましょう。

「ランサムウェア対策」と「emotet（エモテット）対策」について学習できる資料があります。弊社ではランサムウェア対策やEmotet（エモテット）対策を学びたい方に参考になる資料「ランサムウェア対策ソリューション　AppGuard基本ガイドブック」をご用意しています。本資料は企業のセキュリティ強化に向けて必見の資料です。ぜひダウンロードいただき、ご覧ください。