新型コロナウイルスの感染拡大により、いまだかつてないスピードで働き方の変化が求められています。企業はテレワークや在宅勤務への急速な対応を余儀なくされたことによって、サイバーセキュリティリスクが増大しています。
今後、新型コロナウイルスと折り合いをつけながら経済活動を継続する「ウィズコロナ」時代や、ウイルスの感染が収束した「アフターコロナ」時代が到来すると言われている中で、企業にとって、どのようなサイバーセキュリティリスクが考えられるのでしょうか。この状況下を受け、本連載の第2回目では当初予定の「IoTのセキュリティ」を変更し、「テレワークとサイバーセキュリティの関係性」について解説します。(前回の記事はこちら)
新型コロナの影響で企業に求められるテレワークへの移行
政府や自治体からの在宅勤務要請を受け、テレワークの引き合いが増加しています。これまでテレワークの実績がなかった企業も実施するようになりました。打ち合わせはZoomなどのオンライン会議ツールを使い、その他の業務も各種オンラインツールを活用することで仕事ができているケースも少なくありません。
一方、セキュリティリスクの観点では幾つか懸念点があります。テレワークの準備期間がなかったことにより、発生し得るサイバーセキュリティリスクについて、見ていきましょう。
テレワーク・在宅勤務への急速な移行により、危険性が増す企業リスク
(1)オフィスに社員が不在のため、サイバー攻撃の発覚が遅れる
テレワークによる最も大きな影響は、オフィスから社員がいなくなることです。まず、企業へのサイバー攻撃には大きく分けて2つの経路があります。1つは、情報セキュリティに関わる社内システムへの攻撃。もう1つは、会社が保有するウェブサイトやEC(電子商取引)サイトへの攻撃です。
従来であれば、システムからのアラートや、担当者がシステムの動作などに違和感を覚えた時点で他の社員に相談できることでも、テレワークではオフィスのように隣り合って仕事をしていないため、すぐに会話することができません。そのため、テレワーク・在宅勤務では、サイバー攻撃に気づくのが遅れる可能性があります。
実際にサイバー攻撃を受けると、企業が保有する顧客情報や従業員の個人情報、開発中の商品といった機密情報が漏えいすることが考えられます。例えば、攻撃者が従業員の個人情報を使ってなりすまし、取引先などへ迷惑行為を行うことも可能でしょう。サイバー攻撃においては、初動の遅れが被害を拡大させるため、早期に発見できる仕組みを準備しておくことが重要です。
オフィスに社員がいないという意味では、サイバー攻撃が増える傾向にある長期休暇中と類似点があります。事実、2020年5月の長期休暇期間は4月の同日期間に比べサイバー攻撃検知数の合計が“約1144万件”と1.5倍以上増加しているという報告があります(※)。過去の別のサイバーセキュリティレポートによると、サイバー攻撃を受けて侵入されてから発覚するまで、数カ月にわたり潜伏しているケースが報告されています。リモートワークになったことで環境や情報へのアクセス変わり、気づきが遅れることも十分想定されます。
※サイバーセキュリティクラウドが提供するウェブサイトへのサイバー攻撃を可視化・遮断するクラウド型ウェブアプリケーションファイアウォール(WAF)「攻撃遮断くん」およびAWS WAF自動運用サービス「WafCharm(ワフチャーム)」で観測した攻撃ログを集約し、分析・算出した調査レポートより
(2)社外端末から社内ネットワークへのアクセスを許可する必要がある
在宅勤務で使うPCなど社外端末から社内ネットワークへのアクセス許可の設定には、十分に注意が必要です。今まではオフィス内からのアクセスのみだったものが、テレワークでは社外端末からのアクセス許可が必要になります。アクセス許可の設定でミスが生じると、社外の人間を含め誰もが社内ネットワークにアクセスできることも考えられます。
また、アクセス制限の不備は、社内の情報リスクを招く危険もあります。例えば、本来なら社員でないと閲覧できない情報が、業務委託の従業員でもアクセスできるようになってしまったり、マネージャークラスでないとアクセス権限がない情報が公開状態となってしまったりするリスクが発生する恐れもあります。設定ミスに伴うリスクは、従業員数が増えれば増えるほど大きくなっていきます。
(3)新入社員へのセキュリティ教育が不十分なままテレワークに移行してしまう
新卒・中途問わず、このタイミングで入社した社員は、スタートからリモートワークという場合があります。社内の情報の扱い方や格納場所を十分に共有されないままに業務を開始しなくてはいけない状況だと言えます。
中途社員であっても、社内ルールは企業によって全く異なるため、情報や端末の扱い方には指導が必要です。例えば、「PC上にデータを保存しないようにしましょう」といったルールも、普段から社内ルールが正しく運用されていないと守られません。社員への教育が不十分な状態でリモートワークへと移行するのは情報漏えいのリスクが高いと言えます。
