ITプラットフォームへ移動
特集

セキュリティ10大脅威2022年が発表されました(3) 〜テレワーク等のニューノーマルな働き方を狙った攻撃に注意!

  • 2022年6月30日
  • 中小機構 中小企業支援アドバイザー 村上知也
  • セキュリティ
  • テレワーク
セキュリティ10大脅威(3)サムネイル画像

独立行政法人情報処理推進機構(IPA)から発表されたセキュリティの10大脅威の組織編の第4位は、「テレワーク等のニューノーマルな働き方を狙った攻撃」です。
企業は自社内のセキュリティを高めるだけでも大変ですが、テレワークの普及により守備範囲が広がり、セキュリティを高めることがさらに難しくなってきています。
とはいえ、対策を取らねばなりませんので、今回の記事ではテレワークのセキュリティについて考えていきます。

最初に「セキュリティ10大脅威の解説書」と、「テレワークセキュリティガイドライン」へのリンクを紹介しておきます。両方とも分厚い内容となっていますが、詳しく知りたい方はぜひ、ご一読ください。

「情報セキュリティ10大脅威2022」解説書(ボタンをクリックするとPDFが開きます)

総務省が発表している「テレワークセキュリティガイドライン」(ボタンをクリックするとPDFが開きます)

ここからアプリでも、テレワークについての様々な情報を特集ページとしてまとめて紹介しています。

ここからアプリ テレワーク特集ページ

組織・会社に対するセキュリティの脅威の第4位はテレワークのセキュリティ

コロナ禍になって、テレワークの割合が急増しましたが、最近はテレワーク実施率も低減傾向にあると言われます。

東京都の2022年3月のテレワーク実施率調査結果によると、都内企業(従業員30人以上)のテレワーク実施率は62.5%で、2月の前回調査(62.7%)に比べて0.2ポイント減少しています。また、テレワークを実施した社員の割合は、46.1%と、前回(47.2%)に比べて、1.1ポイント減少しています。さらに、テレワークの実施回数は、週3日以上の実施が49.3%と、前回(51.2%)に比べて、1.9ポイント減少しています。

たしかにピーク時よりテレワークの割合は低下していますが、企業毎に必要な割合でテレワークを実施するのが定着してきたのではないでしょうか。

一方で、悩ましいのはセキュリティ対策です。とりあえず、テレワークを導入して運用しているものの、果たして、このままのセキュリティレベルで将来に事故を起こさないのか心配になっている経営者の方は多いでしょう。

そこで、2022年のセキュリティ10大脅威の4位にランクインしているテレワークを狙った攻撃にどのようなものがあるか確認していきます。

テレワークにはどのようなセキュリティの脅威が考えられるか?

大きく分けて、(1)ソフト、(2)管理体制、(3)ハードやネットワークの3つの視点から把握しましょう。

(1)テレワーク用ソフトウェアの脆弱性の悪用

まずは、テレワークに関するソフトウェア自体に脆弱性があり、狙われるケースです。テレワーク用のソフトウェアといえばリモートデスクトップやVPNとともにWeb会議サービスなどが挙げられるでしょう。

VPN等ソフトウェアの脆弱性や設定ミス等を悪用されると、社内システムへ不正にアクセスされたり、PC内の業務情報等を盗まれる可能性があります。

また、Web会議サービスの脆弱な設定を悪用し、ウェブ会議をのぞき見され、情報漏えいするリスクもあります。

Web会議のサービスと言えば、ZoomやTeams、WebExなどが挙げられます。サービス登場以来、これらのサービスはセキュリティ強度を高めて頻繁にアップデートを行っています。我々にできることは、常にソフトウエアを最新版にアップデートすることです。
ぜひこの記事を読まれた方は今すぐソフトを立ち上げて最新版にアップデートしてください。また、アップデートは一度で終わりではなく、継続的に実施する必要があります。

Web会議の直前にアップデートを行うのは不安があるでしょうから、Web会議が終わった時に、最新版の更新があるか確認する習慣をつけるのがいいでしょう。

(2)急なテレワーク移行による管理体制の不備

コロナ禍直後には多くの事業者が、テレワークへの急な移行を求められました。そのため、テレワークの運用ルールの整備やセキュリティ対策のノウハウが不十分なままスタートされた事業者も多かったようです。

現在、多くの企業でテレワークの運用ルールが整理されてきていますが、まだ整理が追いつかず管理体制が不備のままの事業者も散見されます。

これを機にセキュリティポリシーの整備や、事故が起きた場合の連絡窓口や業務フローの確立をしておきましょう。そして定期的な訓練や従業員への教育により管理体制を整えていきましょう。

従業員への教育をイメージした画像

(3)私有端末や自宅のネットワークを利用

3つ目はハードウェア機器などへの攻撃です。これまでは会社の中にあるハードウェアだけを対策しておけばよかったですが、テレワークの導入が進んできたことによって社員の私有端末を業務に利用するケースも増えています。

私有端末では、様々なソフトウェアをインストールしている場合や業務では活用しないウェブサイトやSNSへもアクセスすることがあり得ます。

そのため、端末のウイルス感染や、ソフトウェアの脆弱性を攻撃者に悪用され、業務上の情報やテレワーク用の認証情報等を窃取される恐れがあります。

また、会社支給の端末を利用している場合でも、自宅やシェアオフィスのネットワーク環境に適切なセキュリティ対策が行われていないと組織のセキュリティ対策が適用されず、端末がウイルスに感染する恐れもあります。

IPAが発表しているテレワークを行う際のセキュリティ上の注意事項

次に、IPAが発表しているテレワークを行う際に注意すべきセキュリティ事項から主な項目を以下に掲載します。

  • テレワークを始める前に
    ■テレワークで使用するパソコン等は、できる限り他人と共有して使わないようにしてください。共有で使わざるを得ない場合は、業務用のユーザーアカウントを別途作成してください。
    ■ウェブ会議のサービス等を新たに使い始める際は、事前にそのサービス等の初期設定の内容を確認してください。特にセキュリティ機能は積極的に活用してください。
  • 自宅で行う場合
    ■自宅のルータは、メーカーのサイトを確認のうえ、最新のファームウェアを適用(ソフトウェア更新)してください。
  • 公共の場で行う場合
    ■カフェ等の公共の場所でパソコン等を使用するときはパソコンの画面をのぞかれないように注意してください。
    ■公共の場所でウェブ会議を行う場合は、話し声が他の人に聞こえないように注意してください。
    ■公衆Wi-Fiを利用する場合は、パソコンのファイル共有機能をオフにしてください。
    ■公衆Wi-Fiを利用する場合は、必要に応じて信頼できるVPNサービスを利用してください。
    ■デジタルデータ/ファイルだけではなく、紙の書類等の管理にも注意してください。

テレワークのセキュリティは企業と従業員の結束が不可欠

このようにセキュリティ対策は実施事項が明確なものの、内容は多岐に渡り、全てをもれなく実行するのは難しいものです。

攻撃手段の多様化、守備範囲の広大化などテレワークのセキュリティ確保の難易度は高まっています。そのため、事業者のシステム管理者一人で対応できるものでもありません。

経営者、システム管理者、そしてテレワーク勤務の社員の3者が協力しながらすすめることが求められています。

 

関連おすすめ