テレワークでの情報漏洩を防ぐには? 原因や事例、対策方法を解説
コロナ禍の影響で一気に普及したリモートワークには、従業員のワークライフバランスの充実、オフィス固定費の削減など、様々なメリットがあります。一方、社内のセキュリティ対策が及ばない場所で業務が行われることから、ヒューマンエラーやサイバー攻撃などによる情報漏洩のリスクが潜んでいるのも事実です。
本記事では、テレワークで情報漏洩が起こる原因や事例を紹介し、具体的な対策について解説します。
テレワークで情報漏洩リスクが高くなる理由
テレワークにおいて情報漏洩のリスクが高くなる理由には、不十分なセキュリティ対策による環境的な要因と、情報を取り扱う従業員によるヒューマンエラーがあります。
環境的な要因のひとつは、テレワーク時のセキュリティ対策を従業員個人に依存してしまうという点です。オフィスワークでは、インターネット環境などに企業が一括して高いセキュリティ対策を講じているのに対し、テレワークでは、作業環境のセキュリティ対策が十分だとは限りません。ノートパソコンなどの端末を持ち歩いて、外部のインターネット環境から社内ネットワークにアクセスするテレワークには、常にセキュリティ上のリスクが潜んでいます。
従業員によるヒューマンエラーには、セキュリティ対策をしていない私用端末の業務利用のほか、端末や記録媒体の紛失・盗難による情報漏洩、サイバー攻撃によるマルウェア(悪意ある不正プログラム)感染、オープンスペースで作業することによる情報の窃取などが挙げられます。
実際、テレワークの普及と共に、テレワーク環境を狙ったサイバー攻撃は増加傾向です。警視庁が公表した調査によると、令和4年に起きたランサムウェアの感染において、その感染経路の8割以上は、テレワークなどに利用される機器の脆弱性を利用したものとなっています。
※出典:警視庁「令和4年におけるサイバー空間をめぐる脅威の情勢等について」テレワークの情報漏洩事例
テレワークに起因する情報漏洩には、どのような原因があるのでしょうか。ここでは、テレワーク環境下で実際に起こった情報漏洩の事例を見ていきましょう。
ノートパソコンの紛失
得意先リストをローカルに保存したノートパソコンを、移動中の電車内に鞄ごと置き忘れてしまい、鉄道会社に問い合わせたものの落とし物の届け出はなし。数か月後、得意先が自社にのみ知らせていた電話番号にセールスの電話がかかるようになり、情報漏洩が発覚、謝罪に奔走したという事例があります。
悪質なWebサイトからマルウェア感染
会社貸与のノートパソコンを使用したテレワーク中に、業務に伴う情報収集のため海外のWebサイトを閲覧したところ、そのWebサイトを通じてランサムウェア(データを暗号化して使用できなくした上で、元に戻すことと引き換えに対価を要求する不正プログラム)に感染してしまったケース。画面がロックされて復旧に数日かかり、納期遅れなどの被害が発生しました。
機密情報の持ち出しと窃取
外出先でテレワークをしていた従業員が、画面に顧客の情報を表示したままノートパソコンを放置して席を離れてしまい、情報の表示された画面をスマートフォンで撮影されるなどして、顧客情報を盗まれてしまったケース。匿名掲示板に顧客情報や漏洩の経緯が書き込まれたことで発覚し、顧客との取引が停止となってしまいました。
OSやソフトウェアの脆弱性を狙ったサイバー攻撃
業務に使用する端末のOSやソフトウェアをアップデートしないまま、社外でテレワークを実施。インターネットで情報を検索しながら資料を作成していたところ、ソフトウェアの脆弱性からウイルスに感染してしまいました。起動時に毎回、偽のセキュリティ対策ソフトの広告が何度も表示されるようになり、業務効率が大幅に低下しました。
無線LANの利用による傍受
パスワードが設定されていない公衆の無線LANを利用して、添付ファイル付きの電子メールの送信を行ったところ、その情報が傍受され、公開・拡散されてしまったケース。機密情報が競合他社に漏れてしまいました。
テレワークの情報漏洩を防ぐ対策
テレワークの情報漏洩を防ぐには、どのような対策が有効なのでしょうか。ここでは、大きく5つの対策を紹介します。
モバイルデバイス管理(MDM)によるリモートワイプ
モバイルデバイス管理(MDM)とは、スマートフォンやタブレットなどのモバイルデバイスを一元管理するツールです。リモートワイプは管理機能のひとつで、端末が紛失・盗難に遭った際に、遠隔で端末のデータを完全に消去できます。
ほかに、利用者認証やロック解除操作を複数回間違えると、第三者の不正利用と認識して自動的に内部データを消去するローカルワイプや、データは消去せず遠隔から端末の操作をロックするリモートロックなどの機能もあります。
- あわせて読みたい
Webアクセス制御
Webアクセス制御とは、管理ツールで従業員のWebサイトへのアクセス状況を監視し、セキュリティポリシーに反するアクセスを制限することです。マルウェア感染のおそれがある、特定のURLを含むWebサイトへのアクセスを制限するなど、制限する対象は自社の基準に沿って自由に設定できます。
機密情報へのアクセス・持ち出し制御
機密情報にアクセスできる端末を制限したり、コピーや印刷を制御したりすることで、機密情報の持ち出しを防ぐことができます。具体的には以下のような方法があります。
- アクセス・持ち出し制御の主な方法
-
- パソコンに接続できるデバイスを制限し、許可のないUSBメモリなどの接続ができないようにする
- 重要なファイルに対して、セキュリティポリシー違反となる操作(読み込み、書き込み、コピー、移動、名称変更、削除など)ができないよう制御する
- 不正操作を行った従業員に対して警告を表示する
- あわせて読みたい
OSやソフトウェアのバージョン管理
OSやソフトウェアを最新バージョンに保つことも、情報漏洩対策として有効です。アップデートを無視して端末を使い続けると、脆弱性を突いたサイバー攻撃の標的となりやすく、マルウェアに感染する可能性が高くなります。アップデートを従業員に任せず、システム管理者が管理ツールで一元的に管理することで、適切なアップデートを行い、脆弱性を放置しない運用が可能になります。
無線LANの接続制限
無線LANの接続制限とは、信頼性の低い無線LANへの接続を自動的に制限する方法です。無線LANの接続制限ができる管理ツールを使って、無線LANのアダプター名、接続・切断の状況、SSIDなどのログを収集し、特定のアクセスポイントだけを許可するように制御します。
テレワーク時のルールを定める
基本的な対策として、テレワーク時の共通ルールを設定して、周知しておくことも大切です。ヒューマンエラーの削減につながる従業員教育の基盤として、ルール整備を行いましょう。具体的には、以下のようなルールが考えられます。
- テレワークの共通ルール例
-
- 機密文書は適切に保管し、机の上に放置しない
- 機密文書や機密データを外出先で不用意に取り出さない・パソコン画面に表示させない
- 自宅でも離席する際には、パソコンに画面ロックをかける
- カフェや公共交通機関など、不特定多数の目にさらされる危険がある場所で作業をしない、端末を放置しない
管理ツールの導入でテレワークによる情報漏洩を防ごう
テレワークには多くのメリットがありますが、脆弱なセキュリティ対策のまま実施すると、企業の存続に関わる重大なトラブルを引き起こすリスクがあります。テレワーク環境を狙ったサイバー攻撃は年々増加傾向にあり、情報漏洩事故も多数報告されているため、早急な対策が必要です。
インターコムの「MaLion」シリーズは、ファイルアクセス監視により、各種ファイルに対する読み込み、書き込み、移動、コピー、名称変更、削除といった操作の制御はもちろん、セキュリティポリシーに反する操作を感知した場合には、実行を制限するとともに、不正アクセス者に対する警告を表示します。
特定のWebサイトへのアクセス制限や、各端末に対してのソフトウェアの配付やアップデートを管理者が一元管理することも可能です。
テレワークによる情報漏洩対策をお考えなら、「MaLion」シリーズの導入をぜひご検討ください。