最先端AIセキュリティ「Seceon OTM」(セキオン) > サイバーセキュリティーブログ > メディア > セキュリティ対策 > テレワークにおける6つのセキュリティ脅威

テレワークにおける6つのセキュリティ脅威

セキュリティ対策
リモートワーク働き方テレワーク
  • LINEで送る
  • このエントリーをはてなブックマークに追加
テレワークにおける6つのセキュリティ脅威

株式会社インフォメーション・ディベロプメント
エバンジェリスト 藤原 和紀

総務省からテレワークが推奨されたこともあり、新型コロナの影響で一気に社会でのテレワークの整備と理解が進んだように思います。

外部サイト:総務省 新型コロナウイルス感染症対策としてのテレワークの積極的な活用について

今回はテレワークで気になったことを何点か書かせていただきます。

目次

1テレワークのパターン6種

2テレワーク実施における6つのセキュリティ脅威

テレワークのパターン6種

テレワークの実施にあたって、セキュリティが心配という声をよく耳にしますが、ある程度の仕組みがあればテレワークは危険なものではありません。

総務省のテレワークセキュリティガイドライン(第4版)をベースにお話をします。尚、本資料が2018年の資料ですので、若干古い記述も見られますがご了承ください。
資料によると、テレワークには以下の6つのパターンがあります。



貸与PCを使わずに私用のPCを使ってコストを減らすケースも考えられますが、私用の環境は様々なことから、マルウェアやネットワークの対策に疑問があります。
一見、データがPCに保存されなければ安全なように思いますが、キーロガーやリモートデスクトップを仕掛けられ、会社とのやり取りが記録されている可能性もあります。また、私用ルータの設定に不安が残りますので、私用PCは危険と判断したほうが賢明です。
例えば、会社のPCは仮想上で安全な環境にあるとしても、それを操作する私用PCは外部からコントロールされている可能性もあると考えてください。
この為、マルウェア対策やファイアウォール設定を管理できるPC等を会社が貸与するほうが安上がりになるケースもあります。


テレワーク実施における6つのセキュリティ脅威

テレワークのセキュリティで心配されるパターンは次の通りですが、正しい対策を行っていれば恐れる必要はありません。

1.フィッシング、標的型攻撃
2.不正侵入・不正アクセス・踏み台攻撃
3.ウイルス・ワームの感染

これはいずれのパターンも会社のPCを使用し、会社のシステムに接続する場合は社内と危険性は変わりません。
もし、ウイルス対策ソフトを集中管理できない場合や、メールを外部サーバから直接受信するようなシステムになっている場合は、社内のPCであっても侵入の可能性がありますのでシステムを見直したほう良いかと思います。

4.端末の紛失・盗難
パターン⑥の会社PC持ち帰り方式については紛失・盗難が懸念されます。また、いずれの方式でも会社貸与PCを使えば紛失・盗難が懸念されます。
PCの紛失・盗難を完全に防ぐ方法はありませんが、HDDの暗号化を行うか、PCにデータは保存出来ないような仕組みを作ったうえで持ち出せば、データ自体の流出は防ぐことができます。

5.盗聴、改ざん
ネットワーク上のデータは一般に暗号化が行われていますので、盗聴、改ざんの危険はほぼありません。
しかし、テレワークではのぞき見の危険はあります。一般的に社外でPCを使う場合はのぞき見防止フィルターを付けて頂くという方法もありますが、そもそも電車内や喫茶店など人目があるところでは仕事をしないようにしましょう。また、よく社内メールや社内SNSをスマホで受信している方もいますが、こちらも電車内などでの使用はお勧めしません。

6.データの消失
こちらはいずれのパターンでもPC内にデータを保存しないようにすれば、データ消失についてはテレワークに限った危険とはなりません。

いかがでしょうか。テレワークだからセキュリティリスクが高いと断定的に言えるようなリスクはほぼありません。ただし、そもそも社内あってもセキュリティが担保されていないなどの潜在的リスクは存在します。
また、テレワークだからといって無駄にセキュリティを強化するのも考え物です。テレワークに限らずですが、人は不便と感じたら抜け道を探そうとします。モラルハザードが起きてしまうと制御ができない状況となり、よりリスクが高くなってしまいますのでご注意ください。

尚、テレワークをまだ導入されていない現場では新型コロナ対策で臨時の補助金制度なども発表されていますので、この機会に検討を行ってみてはいかがでしょうか。

詳細については以下をご参照ください。

外部サイト:総務省のテレワークセキュリティガイドライン(第4版)

外部サイト:IT導入補助金2020  1次公募(臨時対応)

捕捉になりますが、運用面で情シス担当は追加で以下の対応が必要と感じています。

・社内ルール、テレワークルール、手順書等をわかりやすくまとめ、教育を実施する。
・問い合わせ窓口をわかりやすく明示する。
・外部接続が増加するため、なりすましの監視・ブロックの仕組みを作る。

情シス担当は手間が増えますが、むしろ余計な問い合わせを減らすためにと考えていただければよいかと思います。

当サイトの内容、テキスト、画像等の転載・転記・使用する場合は問い合わせよりご連絡下さい。
セキュリティに関するお悩みも、問い合わせより受付中です!

 

 

【無料ダウンロード】サイバーセキュリティに関するお役立ち資料

FAQ

機能・特徴について
契約・お支払いについて
業務範囲について

リスクコントロールに関する
お役立ち資料

リスクコントロールに関するお役立ち資料
無料でダウンロードする

サイバーセキュリティについての
相談承ります

製品・サービスに関する資料請求、導入のお⾒積もりについてのご相談、その他のお問い合わせはこちらで承っております。

詳しくはお問い合わせください

無料でトライアル利用ができます

製品版と同じものを無料でお試しいただけます。
基本的な動作や各種設定など、実機を用いてご案内します。
ご検討中の方は、お気軽にお問い合わせください。

無料トライアルお申込
デモ版の図
  • LINEで送る
  • このエントリーをはてなブックマークに追加