テレワークが浸透し、自宅やカフェなどオフィス以外の場所でパソコンを使用して仕事をする機会が増えました。場所にとらわれずに自由に働けることは便利な一方で、サイバー攻撃の被害に遭う可能性も高まることも意味しています。
▮テレワークにおけるサイバー攻撃のリスク
たとえば、勤務先のシステム等へ外部からアクセスするので、ネットワークを介して機密情報が漏洩する可能性があります。あるいは、自宅のパソコンなどセキュリティ対策の不十分な機器を使用することでウイルスに感染して業務が行えなくなるなど、さまざまな被害が想定されます。
そこで、テレワークで勤務する場合のサイバーセキュリティ上の注意すべき点と主な対策方法を解説していきます。
(1)マルウェア感染
「マルウェア」とは、不正かつ有害な動作を行うソフトウェアや悪質なプログラムの総称です。「コンピュータウイルス」と呼ばれているものもマルウェアの一種。マルウェアによる攻撃は高度化していて手口も多様になっているため、細心の注意を払わなければなりません。一般的なマルウェアに感染した場合、機器本来の動作の妨害や、データの破壊による業務停止、データの外部送信による情報漏えい等につながるだけでなく、自分のパソコンを媒介して取引先など関係者に感染が広まり、自分が攻撃の加害者となる可能性もあります。
ランサムウェアもマルウェアの一種で、感染した端末をロックしたり、端末上のデータを暗号化して使用不能にしたりします。被害に遭った場合、元に戻すことと引き替えに攻撃者から金銭などの身代金を要求されることがあります。しかし、身代金を支払っても復旧されない可能性が高く、また、金銭を支払うことで犯罪者に利益供与を行ったと見なされてしまうこともあるため、要求に応じないようにしましょう。
★関連記事★
以下に、マルウェア感染に関する対策の一例をご紹介します。
〇ウイルス対策ソフトを必ず導入する
マルウェア(ウイルス)の感染防止のために必ず導入しましょう。また、毎日の業務を始める前に、使用するパソコン等のOS、ウイルス対策ソフト、アプリケーションを最新の状態にすることも有効です。
ただ対策ソフトの導入で一定の効果を得ることはできますが、すべてのマルウェアに対して安全とは言えません。そこで近年ではEDRが非常に注目されています。
EDRは、アンチウィルスをすり抜ける事を前提とし、早期発見、被害の封じ込めに重点をおいた製品です。脅威を検知し、企業にとっての致命傷を避ける効果が期待されます。
〇メールに注意する
メールに添付されている不審なWordファイルを安易に開いたり、メール本文や添付ファイルに記載してある不審なURLにアクセスしないようにしましょう。クリックひとつでマルウェア(ウイルス)に感染する恐れがあります。
(2)不正アクセス
「不正アクセス」とは、コンピュータの OS やアプリケーション、ハードウェアに存在する脆弱性を悪用し、第三者が内部に侵入する行為や、他人の ID ・パスワードを不正使用してログインし、利用者に提供されているサービスを受ける行為のことです。不正アクセスを受けると、情報漏えいや、情報漏えいに伴う賠償責任の発生、データ破壊によるシステム利用の不可、さらには、取引先や顧客からの信頼失墜や取引停止につながる恐れがあります。
以下に、不正アクセスを防ぐ方法の一例をご紹介します。
〇予想されやすいパスワードは使わない
パスワードは他人に推測されにくい複雑なものにしましょう。誕生日や電話番号など簡単なものは、他人に不正アクセスされるリスクが高くなります。
〇ファイル共有機能をオフにする
Wi-Fiスポット(公衆無線LAN)等のネットワーク内では他のパソコンからアクセスされる恐れがあるので、ファイル共有機能をオフにしましょう。
(3)脆弱性管理
テレワーク環境で利用しているハードウェアやソフトウェアの脆弱性の管理をしましょう。放置していると、外部からの攻撃が成功する可能性が高まります。脆弱性診断ソフトなどを利用して管理を徹底するのもよいでしょう。テレワーク端末の OS やアプリケーションでは常に最新のセキュリティアップデートを適用し、メーカーサポートが終了した OS やアプリケーションは利用しないようにしましょう。
★アクトの脆弱性診断★
アクトの「脆弱性診断サービス」は、経験豊富なセキュリティ専門技術者が、貴社のIT資産に潜む脆弱性を調査・検出、検査結果と今後の対応策をご報告させていただくサービスです。
(4)Wi-fi
テレワーク環境で利用しているハードウェアやソフトウェアの脆弱性の管理をしましょう。放置していると、外部からの攻撃が成功する可能性が高まります。脆弱性診断ソフトなどを利用して管理を徹底するのもよいでしょう。テレワーク端末の OS やアプリケーションでは常に最新のセキュリティアップデートを適用し、メーカーサポートが終了した OS やアプリケーションは利用しないようにしましょう。
ネットワークを通じて第三者が侵入してきたり、情報が漏洩したりする可能性もあります。自宅のWi-Fiルータを使用するときは、ファームウェアを最新のものにアップデートしましょう。ルータに欠陥があった場合、修正プログラムが配信されている場合がありますので、最新のものに更新しましょう。
また、外出先でWi-Fiスポット(公衆無線LAN)やサテライトオフィスを利用するときの注意が必要です。接続パスワード(キー)が、「ない」または「公開されている」Wi-Fiスポット(公衆無線LAN)では、セキュリティが不十分なため重要な情報のやり取りをしないようにしましょう。さらに、情報を盗み見するために設置された偽のWi-Fiスポットも増えています。見知らぬWi-Fiスポットを利用する場合には注意が必要です。
そのほか、不特定多数が利用するパソコンの使用もなるべく避けた方が良いでしょう。インターネットカフェや空港のラウンジ等にあるパソコンは、キーボードで入力した文字が記録される悪意のあるプログラム(キーロガー)が仕込まれていたり、情報を盗み見される等のリスクがあります。
「キーロガー」とは?
PCやスマートフォンのキーボード操作による入力情報を記録するソフトウェアやハードウェアの総称
▮テレワークのセキュリティ対策の重要性
いかがでしたか? この記事を参考に、ご自身がどれだけセキュリティ対策ができているかをチェックしていただくのもいいかもしれません。シンプルなことですが、電車やカフェなどで業務を行う場合はのぞき見や盗撮に注意し、PCの画面にのぞき見防止フィルターを装着しておくことなども大切です。安心してテレワークを行うために、セキュリティ対策を万全にしておきましょう。
<参考>
警視庁「テレワーク勤務のサイバーセキュリティ対策!」
総務省「テレワークセキュリティガイドライン(第5版)(令和3年5月)」
アクトのサイバーセキュリティ対策支援
アクトでは日頃のIR・SOC業務で多くの知見を持つ当社サイバーセキュリティ事業部のスペシャリストが、企業さまのセキュリティに関する不安を解消するため、全力でサポートさせていただいております。
アクトはEDR・SOCをはじめ、IPA認定『データお守り隊』や総合ID管理ソリューション『JumpCloud』をなど、厳重なサイバーセキュリティ対策を提供しております。
専門のセキュリティチームが監視し、異常が検知された場合は迅速かつ効果的な対応を行っております。
アクトではサイバーセキュリティの専門知識と経験豊富なチームと共に、企業や組織に対して高度なサイバーセキュリティコンサルティングサービスを提供しています。
また、サイバーセキュリティに関する知識普及の一環として、セミナーやトレーニングプログラムも提供しています。