テレワークと情報漏洩リスクの高まり
テレワーク環境を狙ったサイバー攻撃や情報流出・漏洩に関する事件・事故が最近また増加傾向にあります、今回はサイバー攻撃、ランサムウェア・マルウェア感染、内部不正や過失による情報漏えいリスクとその対策のあり方をご紹介します。
リスクの観点
情報漏えいの要因を「状況別」「ユーザー行動」「usb等接続デバイス」「ネットワーク」「ID/パスワード」のリスク観点から見てみます。
利用している状況
テレワークでは自宅での長時間作業に疲れることがあります。カフェ、サテライトオフィスでは、移動中や移動先におけるセキュリティリスクが生じます。それは盗難・紛失による情報漏えい。持参したPCが他人の手に渡った場合、不正ログインやHDD/SSDを抜き取られる盗難リスク。対策はパスワードによるロックとHDD/SSDの暗号化があります。パスワードは自動ロックが必須、多要素認証システムの導入も望ましいと言えます。
覗き見もリスク要因。入力中のログインID・パスワード、メール、文書など機密情報を後ろや横から盗み見られます。対策は周囲警戒、のぞき見防止フィルターの装着が考えられます。
ユーザーのとっている行動
自宅での注意不足と家族の好奇心による情報漏えいリスクもあります。機密情報を表示したPCを開きっぱなしで家族に情報を見られSNSや知人経由で漏れたケース。誰かに自慢したい新製品情報などを家族から漏えいしたケース。タイマーをかけてパスワードロックや自動ロックの設定が必須です。
業務に関する印刷物をシュレッダーにかけずに捨て、ごみ置き場で中身が散乱して漏えいしたケース。コンビニで印刷、コピー機に現物を置き忘れて漏えいといったこともよくある話です。対策は漏えい対策ソフトや資産管理ソフトに実装された印刷禁止機能。印刷なしの仕事に慣れない人もおられますが、代わりにサブスクリーンを用意するなど、リスク低減に取り組むべき。たとえどんなにセキュリティを高めても難しいのがスマートフォンカメラ等を用いた撮影による漏えい、技術的に禁止が困難なことから対策が難しいものもあります。
持ち出し用デバイスの利用
USBメモリやポータブルHDD/SSD、SDカードなど持ち出し用携帯デバイスからの盗難・紛失による情報漏えいリスク。持ち出して私物PCにデータを移し替えて仕事をするケースもあります。私物PCはセキュリティが脆弱なことが多く暴露型(身代金要求型)ランサムウェアなどのマルウェアに狙われやすいのです。
対策は持ち出しデバイスではなく、メールやクラウドストレージ、コミュニケーションツールなどオンラインツールを用いること。しかし禁止ルールがあっても徹底するのは困難。社内ルールを定め、漏えい防止ソフトや資産管理ソフトのデバイス制御機能によりデバイス利用自体を禁止してしまう。こうしたソフトはBluetooth接続もWi-Fi接続も制御できるため活用がおすすめです。
社内外ネットワークの利用
LANやインターネット等のネットワーク利用時の情報漏えいリスク。共有フォルダ利用にはUSBメモリデバイスを用いず、有線LAN・Wi-Fi・USBケーブルといったLANを経由して社有PCと私物PC間でデータをやりとりができます。対策はLAN接続は許可するがデータやりとりは許可しない(VPNサーバなどの限られたIPアドレスへのリモートアクセス通信は許可)といった細かいコントロール。共有フォルダ禁止や監視も可能なオプションです。
テレワークではVPN負荷を下げるため、リモート端末から直接インターネット接続(インターネットブレークアウト)できる企業も多いのですが、リスク要因となります。というのも従業員のプライベートのメールやSNS、クラウドストレージにデータをアップロードして他のPCからダウンロードすれば情報漏えいとなるから。個人契約のメールやSNSはパスワードやセキュリティ設定が甘く、乗っ取られやすいもの。また私物PCから会社が契約しているクラウド接続もリスク。クラウドから私物PCへ業務データがダウンロードされてしまいます。
ID/パスワードの脆弱性
サイバー犯罪者は、まずターゲットのパスワードを入手しようとします。簡単なパスワードでは、脆弱性攻撃やソーシャルエンジニアリングを行わず、辞書攻撃、ブルートフォース攻撃(総当たり攻撃)などの手法を用いて突破されます。8桁数字の組み合わせパスワードでは一般的PCで数分で破られますが、英字(大文字、小文字)と数字、記号を組み合わせた場合には、すぐに解読されることはありません。まずは従業員等へ下記への周知を念頭に設定させることが重要です。
- パスワードの重要性
- 強固なパスワードと脆弱なパスワード例
- パスワード使い回しの危険性
- パスワードの管理方法
まとめ
クラウド利用が急速に広がり、テレワークでPCやデータの社外持ち出しが普通になりました。社内・社外という境界を前提にしたセキュリティ対策ではもはや対応できず、「ゼロトラストセキュリティ」導入が現実的になりつつあります。
テレワーク環境やクラウド環境のセキュリティは今や「ゼロトラスト」、つまりファイアウォールに守られているわけではなくインターネットにさらされ「何も信用できない環境」。つまりは守るべき境界領域を排除せざる得ない「ゼロトラストセキュリティ」が求められる時代に突入したのです。