テレワークの何が危険なのか?
新型コロナ対策にて急激に増えてきたテレワーク。急遽テレワーク環境を作ったは良いが、セキュリティ 面で不安がある企業は多いようです。今回はテレワークを行うことで何が危険なのか考えてみたいと思います。
これまで社内の作業環境とテレワーク環境の違いについて
これまでの環境とテレワーク環境では何が違うのでしょうか?以下のような点で異なることが考えられます。
- クライアント端末が社外にあること。
- 業務システムとの通信経路が自宅環境やインターネットを経由する様になること。
- 物理的な記憶メディアを使ったデータのやり取りやクラウドを経由したやり取りなど、これまで使わなかったデータのやり取りが増えること。
- テレワークのために新たな運用が必要となり、その為の規約やガイドラインに追加が必要となること。
これらの違いからリスクを考えてみましょう。
これまでの環境からの違いによる危険な箇所
1.クライアント端末が社外にあること。
クライアント端末が社内からテレワーク環境に移動することで以下の様なリスクが考えられます。
(1)クライアントPCを企業が管理しにくい
- 企業貸与のテレワーク端末を使用する場合
- テレワーク端末を貸し出す際にセキュリティ製品の導入、セキュアな設定など実施した後に貸し出すことができますが、利用者がルール通りにテレワーク端末を運用しているか把握するのが難しくなります。
- 利用者所有のクライアント機器をテレワーク端末に使用する(BYODの)場合
- テレワーク端末を企業側が管理することができませんので、ウイルス対策ソフトの運用やOSのアップデータ等のセキュリティ対策が実施できているか確認ができない等、テレワーク端末に脆弱性が潜む可能性を買う人することが難しくなります。
- のぞき見や離席時の管理など
- 企業内で作業する場合は問題ないが、テレワーク環境ではのぞき見や離席時の管理など徹底しなければ、機密情報や認証が漏洩する可能性があります。
- オープンスペースのテレワーク環境の場合、のぞき見だけではなく、離席時にテレワーク端末を放置した際は、盗難の危険性もあります。
- 自宅がテレワーク環境の場合、家族が勝手にテレワーク端末を使い、マルウェアに感染するなどの危険性があります。
(2)テレワークのネットワーク環境が企業の管理下にない
テレワークに使用するクライアント端末(以降、テレワーク端末)をネットワークに繋いで業務を実施する場合、自宅やリモートオフィスなどの企業が管理できないネットワーク環境を通過しなければなりません。これまでもインターネットを経由して業務に利用するケースはよくありますので、通信データが搾取や改ざんされないような対策が講じられていれば問題ありませんが、そのような対策がない場合、経由するルータやファイヤウォール等のネットワーク機器や同一ネットワーク内に攻撃者が侵入した場合は、テレワーク端末や通信データが狙われる可能性があります。
(3)内部犯行の抑止が効かない
自宅で作業するために、他人の目が気にならないために、内部犯行の抑止が効きにくくなる問題があります。大多数の善良な従業員は関係ありませんが、ごく一部の悪意を持った従業員が情報搾取やデータ破壊などの悪意のある行為を監視しにくくなるなど、内部犯行の抑止が効きにくくなります。
(4)定められた規約やルール、ガイドラインに沿って利用者が業務を実施しているかを管理者が管理しにくい
企業内ならば、管理者が従業員の作業の様子を見ることで、規約違反、ルール違反などその場の雰囲気から察することもできたかもしれません。テレワーク環境では、ちょっとした規約違反やルール違反が管理者の目に留まりにくくなり、管理者はこのような状況において管理を行う為の新たな手段を講じる必要があります。
(5)物理セキュリティ
企業内ならば、会社の責任で防犯を実施することができますが、個人の自宅の防犯は持ち主に頼るしかありません。誰もが盗みに入られたいと望んでいるわけではありませんが、人によっては防犯対策に積極的ではない場合があります。例えばエントランスがオートロックのマンションの場合、自宅の玄関の鍵をかけられないケースがあったり、3階以上の上層階のベランダの鍵をかけられないケースなどあり、それが原因で空き巣に入られる事例もあります。
2.業務システムとの通信経路が自宅環境やインターネットを経由する様になること。
(1)テレワークのネットワーク環境が企業の管理下にない
自宅に関しては、「1.-(2)」に示す通りです。自宅、会社外のインターネットに接続する環境では、プロバイダやお店が用意するWiFiのアクセスポイントにアクセスすると思います。その際に、正規のWiFiアクセスポイントに成りすました不正なアクセスポイントに遭遇するかもしれません。利用者は不正なアクセスポイントであることを見抜くのは極めて難しいので、このような環境で通信を行う際は、情報の搾取や改ざんが行われる可能性がある想定で利用しなければなりません。
(2)テレワーク環境から業務システムへ接続するための環境や設定の変更
テレワーク環境を構築する前からインターネットを利用する環境を用意し、セキュリティ面も考慮されている場合は、いざテレワーク環境を使った運用に拡張しても大きな問題はないと考えられますが、急遽テレワーク環境を用意して使えることを優先して運用開始された場合、十分にセキュリティが考慮されず、設定や機器に不備があることに気が付かずに運用される可能性があります。
3.物理的な記憶メディアを使ったデータのやり取りやクラウドを経由したやり取りなど、これまで使わなかったデータのやり取りが増えること。
(1)物理的な記憶メディアのセキュリティ
テレワーク環境と社内システム間の機密情報を電子媒体やクライアントPC等でやりとりを行う場合、持ち運ぶ際に、置き忘れや盗難などによる紛失や漏洩の可能性があります。
(2)クラウドサービスの利用
クラウドサービスを使うこと自体は問題ありませんが、急遽用意された環境をルールを決めることなく運用を行うと外部からの不正アクセスを受けたり、脆弱な運用により認証情報が盗まれる可能性もあります。
4.テレワークのために新たな運用が必要となり、それ用の規約やガイドラインが必要。
これまでの「情報システム管理規定」、「情報システム利用規定」に記載しきれない、テレワーク環境の構築や運用するための要件を決めた「テレワーク環境管理規定」やテレワーク利用者の為の「テレワーク利用規定」等を用意しなければならない。情報セキュリティ教育や周知、情報セキュリティ監査を実施する際はこれら追加された項目を含めて実施しなければならない。
次回は対策について
今回は、テレワークを実施することによるリスクについて検討したが、次回はそれぞれの対策について、検討していきたいと思います。
