まず、日本におけるテレワークの現状から、テレワークによってどのような情報漏えいリスクが見込まれるのかを解説します。
【総合受付窓口】
大塚商会 インサイドビジネスセンター
0120-579-215 (平日 9:00~17:30)
事例に学ぶテレワークの情報漏えいリスクと対策
個人情報をはじめとした企業の重要データが漏えいした、という事件をニュースで見た方も多いのではないでしょうか。情報漏えいは、サイバー攻撃など外部要因で発生するものもありますが、社員のヒューマンエラーによって発生するケースもあります。
また、近年では新型コロナウイルス感染症の影響や働き方改革などの影響で、テレワークを推進している企業も増えつつあります。オフィスではセキュリティ対策が保たれていたとしても、テレワークの環境下では強固なセキュリティ対策の環境を構築できていないケースもあるでしょう。そのような環境では、社員一人ひとりの意識をより高めなければなりません。
この記事では、実際にテレワークの環境下で情報漏えいが発生した際の事例や、それに応じたセキュリティ対策の方法、有用なソリューションを詳しく解説します。
テレワークに潜む情報漏えいリスク
テレワークの現状
2020年に発生した新型コロナウイルス感染症のまん延により、日本におけるテレワークの推進は一気に加速しました。
総務省発表の令和4年8月末に調査した「通信利用動向調査」の結果によると、テレワークを導入している企業の割合は引き続き5割を超えています。
中小企業のテレワーク実施率は大企業に比べて低い傾向にありますが、東京商工会議所による「中小企業のテレワーク実施状況に関する調査」では、2022年5月の実施状況は2022年2月の前回調査時よりも8.1ポイント減少し29.7%という結果になりました。テレワーク継続の目的が、「働き方改革の推進」や「人材の採用・確保」と答えた企業が前回調査時よりも増加しました。新型コロナウイルスのまん延をきっかけに継続してテレワークを実施する企業は増えつつあり、今後もテレワークの需要は高まることが予想されます。
テレワークで考えられる情報漏えいのリスク
オフィス勤務であれば、企業は一括してセキュリティ対策を講じられますが、テレワークの場合は各社員によって環境が異なります。そのため、セキュリティ対策の内容は個人に委ねられることになってしまいます。
テレワークによる情報漏えいが発生する要因としては、脆弱性のあるパブリックWi-Fiなどの利用、PCやタブレットなどデバイスの紛失といった物理的な理由のほか、クラウドサービスの利用などが挙げられます。
いずれにせよ、就業環境が統一されていないテレワークでの勤務体系だからこそ発生する事案と言えます。ここ数年では、テレワークへの需要が高まっている現状を狙ったサイバー攻撃なども増えていることから、より一層の警戒が必要です。
情報漏えいの具体的な理由
テレワークによる就業が原因の情報漏えいには、さまざまな理由があります。
まずは、コンピューターウイルスの感染や不正アクセス、デバイスの盗難などの外的要因です。ウイルスや不正プログラムなどのマルウェアは、無差別に攻撃するタイプと、ある程度標的を絞って攻撃するタイプとに分けられます。ターゲットを絞った犯行の場合、マルウェアが添付されたメールを相手に直接送信するといった手法が一般的です。
一方、ネットワーク環境への不正アクセスや使用する機器の脆弱性なども情報漏えいにつながります。自宅でテレワークの環境を構築するケースが多いため、それぞれが適切なセキュリティ対策を施していなければ内部から情報漏えいが発生する危険性があります。
なお、IPA(独立行政法人情報処理推進機構)がまとめた「情報セキュリティ10大脅威2023」によると、5位に「テレワーク等のニューノーマルな働き方を狙った攻撃」がランクインしており、テレワークの環境下でのセキュリティ対策は企業にとって重要な位置づけとなっています。
テレワークによる情報漏えいの事例
では、テレワークに起因した情報漏えいの事例を実際に見ていきましょう。
VPN機器の脆弱性を狙った不正アクセス
2020年8月に、脆弱性の見られるVPN機器を利用している企業をターゲットに、IDやパスワードが世界中から流出する事件が発生しました。日本においても40社以上の企業において不正アクセスが確認され、大きな損害が発生しました。
これは、脆弱性が公表されているにもかかわらず、放置したままVPN機器の運用を続けていたことが要因とされています。
アクセス権限の不十分な設定
2020年12月には、電子決済サービスを提供する企業で、加盟店に関する情報をまとめたデータベースに不正アクセスが発生する事件が起こりました。この結果、加盟店の名称から住所、代表者指名など延べ2,000万件以上の情報が流出したとされています。原因は、サーバーのメンテナンスを実施した際にアクセス権限を外部からもアクセス可能な状態で保存してしまっていたことと報告されています。
マルウェアの感染
2020年5月に、ある企業の従業員がフリーメールに添付されているファイルを開き、閲覧していたデバイスがマルウェアに感染する事態が発生しました。該当のデバイスはマルウェア検知ソフトウェアを導入していたものの、比較的新しく流通したマルウェアであったために検知されませんでした。結果的に、1万件以上の個人情報が流出する被害を出しました。
もしテレワークで情報漏えいしてしまったら
もし万が一テレワークの就業中に情報漏えいを発生させてしまったら、どのような措置がとられるのでしょうか。
2022年4月から改正された「個人情報保護法」が施行され、新たに「事業者の責務」という要件が追加されました。この要件には「個人データが漏えいした場合の報告義務」と「不適正な個人情報利用の禁止」という二つの責務が追加されています。
そもそも個人情報保護法とは、「個人の権利利益を保護することを目的として、行政機関における個人情報の取扱いに関する基本的事項が定められているもの」としており、それぞれ開示請求、訂正請求、利用停止請求を行使できます。
2015年の法改正で、3年ごとに見直しが図られるようになり、今回の2022年改正法では「個人の権利利益の保護」「情報活用の強化」といった内容が反映されたのです。
改正前の個人情報保護法では、情報漏えいが発生した際の個人情報保護委員会への報告は義務ではありませんでした。しかし、改正後は個人情報取扱事業者の委員会への報告および本人への通知が義務となりました。これらは、要配慮個人情報、不正アクセス、財産的被害といった内容の侵害に対して行われるものと規定されています。
また、報告期限についても定められています。おおむね報告が求められる事例が発生した3~5日以内に、「速報」としてその時点で把握できているものを、そして事態を把握した日から30日以内に「確報」として報告が求められる事項の内容をすべて報告する必要があります。そのため、企業では期限以内に滞りなく報告できるようなプロセスや体制づくりをすることが求められるようになります。
なお、改正法では、法人に対する罰金の上限額は1億円とされるなど、ペナルティが強化されているので注意が必要です。
テレワークを推進する上での効果的なセキュリティ対策とソリューション
ここまで情報漏えいが起きた場合について紹介してきましたが、そもそも情報漏えいを引き起こさないようにするために対策を練ることが肝心です。総務省が発表する「テレワークセキュリティガイドライン」では、「ルール」「人」「技術」のバランスがとれた対策の実施が重要であると明記されています。
ルールの整備
初めてテレワークでの就業を導入する企業などは、これまでの働き方と変わって戸惑う社員もいるかもしれません。そのため、セキュリティの面を含めて安全かつ効率よく作業が進められるように、あらかじめ企業として「セキュリティポリシー」を策定することが重要です。
社員教育としてのセキュリティ対策
ルールの策定は重要ですが、そのルールを滞りなく循環させるためには、在籍する社員それぞれがテレワークのリスクを把握しセキュリティ対策を講じるよう社員教育を行うことも重要です。
例えば、カフェなどの公共施設でテレワークを行う際、セキュリティ対策のされていないフリーWi-Fiに接続して情報が外部に漏れてしまったり、のぞき見や盗難などが起こったりする可能性もあります。こうしたリスクを少しでも抑えられるように、各社員に危険性を伝達して理解してもらう必要があります。
技術的なセキュリティ対策
もちろん技術的な防止策を講じることを忘れてはいけません。ただし、セキュリティソフトなどは導入すれば良いというわけではなく、日々新たな手法が生まれる不正アクセスやサイバー攻撃から保護するために、複数のソフトウェアを用いながら定期的にメンテナンスや更新を行う必要があります。
大塚商会では、多角的なセキュリティ対策や効率のよいテレワーク運用のソリューションを提案しています。初期侵入から内部拡散の防止、端末感染、サーバー通信間でのブロックなど情報漏えいにつながるさまざまなリスクを回避できる多様なソリューションを用意しています。
Cyber Cleaner LE(サイバークリーナーエルイー)
不正な通信を検知して、自動で遮断するアプライアンス製品です。インターネットからの攻撃や内部からインターネットへの不正な通信をブロックし、標的型攻撃による情報流出から守ります。
FortiGate(フォーティゲート)
外部からのセキュリティの脅威と内部からの情報漏えいの両方から、社内ネットワークを守ります。1台のきょう体に複数のセキュリティ機能を搭載していながら、コストパフォーマンスに優れているという特徴があります。
Palo Alto(パロアルト)
アプリケーションを識別し、制御を可能にする次世代ファイアウォールです。望ましくないアプリケーション通信をブロックし、許可されたアプリケーションに対しても脅威が潜んでいないかをチェックして、標的型攻撃の脅威から社内ネットワークを守ります。
テレワークやリモートワークにおけるセキュリティ対策のご相談は大塚商会まで
近年、働き方改革の推進や新型コロナウイルス感染症の影響などで、人はオフィスだけでなくさまざまな場所で働けるようになりました。しかし、一人ひとりの環境が異なるからこそ、これまで以上にセキュリティ対策の構築方法は難しく、情報漏えいのリスクに対して真剣に向き合わなくてはなりません。
大塚商会では、テレワークにおけるセキュリティ対策をはじめとした、さまざまなツールの導入をお考えのお客様を積極的にサポートいたします。セキュリティツール導入をお考えのご担当者様は、ぜひ一度お問い合わせください。
ナビゲーションメニュー