withコロナ時代に求められる企業の情報セキュリティ対策

 コロナ禍の終息はまだほど遠く、長期的な視点で新しい生活様式に対応していかなければなりません。しかし、この未曽有の混乱につけ込んだサイバー攻撃が世界各地で急増しています。
新型コロナウイルス感染症が世界で急拡大した2020年は、特に金融機関を狙ったサイバー攻撃がコロナウイルスの蔓延以前の2倍以上に急増しています。また、コロナ禍によるサイバー攻撃の脅威にさらされているのは、金融機関だけではなく、自動車メーカーのホンダがマルウェア感染により、海外の9工場の生産停止に追い込まれたのも、テレワークが増加したことが原因とされています。コロナ禍によって急遽テレワークに切り替えた企業については、サーバー管理が脆弱なケースがあるとされています。

 この記事では、テレワーク導入がもたらすサイバー攻撃のリスクを考え、withコロナ時代に必要なニューノーマルな情報セキュリティ対策を解説します。

テレワーク導入がもたらすセキュリティの脆弱性

 テレワークの導入に伴い、サイバー攻撃の侵入経路は明らかに増えています。以前は会社内で完結していた問題が、個人宅やその他社外へ勤務場所が拡大しているためです。

サイバー攻撃の侵入経路予測
サイバー攻撃の侵入経路予測

 また、急いでテレワークを導入した企業は、充分にセキュリティ体制を整えることが出来ず、知らず知らずに情報がサイバー攻撃の脅威にさらされている可能性もあるでしょう。
 なお、テレワーク移行による弊害としてコミュニケーション不足が発生し、従業員に適切なセキュリティ教育をほどこすことが出来ないという問題も発生しています。

テレワーク導入における一般的な注意事項

テレワークを始める前に

・テレワークで使用するパソコン等は、できる限り他人と共有して使わない。共有で使わざるを得ない場合は、業務用のユーザーアカウントを別途作成する。
・ウェブ会議のサービス等を新たに使い始める際は、事前にそのサービス等の初期設定の内容を確認し、特にセキュリティ機能は積極的に活用する。
・セキュリティ監視ソフトウェアを使用するデバイスへ導入する。

自宅で行う場合

・自宅のルータは、メーカーのサイトを確認のうえ、最新のファームウェアを適用(ソフトウェア更新)する。

公共の場で行う場合

・カフェ等の公共の場所でパソコン等を使用するときはパソコンの画面をのぞかれないように注意する。
・公共の場所でウェブ会議を行う場合は、話し声が他の人に聞こえないように注意する。
・公衆Wi-Fiを利用する場合は、必要に応じて信頼できるVPNサービスを利用する。

参照:独立行政法人情報処理推進機構セキュリティセンター『テレワークを行う際のセキュリティ上の注意事項』

クラウド型セキュリティ監視ソフトウェア「SQ1Shield」

SQ1Shield は、SecqureOne社が提供するクラウドベース・オンプレミスベースのセキュリティ・プライバシープラットフォームです。プラットフォームが提供する分析結果と脅威情報(Threat Intelligence)から得られた知見を元に必要な対策を提案します。
SQ1Shieldは、セキュリティに関連する情報を社内ネットワークおよびクラウド上のさまざまなエンドポイントから収集します。24時間365日すべてのネットワークとエンドポイントを監視し、御社の様々なコンプライアンスニーズに沿ったセキュリティシステムとプライバシー保護を強化し続けます。
また、各種コンプライアンス要件に沿ってセキュリティ体制・プライバシー保護を維持できるよう分析と修正を継続的に行います。

こういったセキュリティ監視ソフトウェアを導入して、潜在的リスクを可視化することにより、テレワーク環境下でも常にデバイスを一元管理しておくことが重要です。

企業が行うべきセキュリティ対策

 情報セキュリティ対策は、事業を安全に維持していくための安全装置として必要不可欠です。経営者は情報セキュリティ対策を、重要な経営リスク回避の責務として遂行していかなくてはなりません。インシデント(情報セキュリティ事故)は起るか起こらないかの問題ではなく、「いつ起こるか」だけの問題です。重要な情報を保持していないからと、情報セキュリティ対策を怠ると、サイバー攻撃の「踏み台サーバ」になり、知らない間に自社が加害者になることをあり得ます。必ず解決しなくてはならない経営課題の一つとしてもれなく情報セキュリティ対策を実行しましょう。

 まずは、情報セキュリティに関する基本方針や行動指針を定めるために「情報システム部⾨、または、担当者」を設置しましょう。ここで注意するべきポイントは情報セキュリティ対策を情報システム部門のみに押し付けないことです。社内の各部門にその部門の業務に関する専門知識を持ったセキュリティ担当責任者を置き、セキュリティ部門以外の従業員の当事者意識の低下を防ぎましょう。

① セキュリティガイドラインの策定

重要なのは、情報セキュリティに関する基本方針や行動指針を定めるとともに、自社で情報セキュリティの内容を明文化した「セキュリティガイドライン」を作成することです。セキュリティガイドラインは、基本方針ならびに対策基準、実施手順の3つによって構成されます。既に存在する場合は、テレワーク導入に関連した新たな項目を追記する必要があるでしょう。

② 物理的セキュリティ対策

■データ暗号化
テレワークの実践にあたっては「持ち出しリスク」への対策が不可欠です。社外で作業をする場合は、パソコンやスマートフォン、携帯電話を紛失したり、盗難に遭ったりする可能性も否定できません。 デバイス認証を複雑化し、セキュリティを強化していたとしても、こうした事態に遭遇した場合、情報漏えいのリスクは高まります。
技術的なセキュリティ対策に効果的な方法の1つは、ハードディスク内のデータの暗号化です。

■ウィルス対策ソフトの導入
ウイルスや不正アクセスなど、悪意あるソフトウェア(マルウェア)の手口は、日々多様化しており、こうした脅威に備えるためには、パソコンやサーバーなど、情報を直接取り扱う機器のセキュリティを継続的に監視する必要があります。また、ウイルスも常に進化し続けているため、ウイルス対策ソフトの導入後も、ソフトのアップデートを定期的に行うことが重要です。

■安全な回線の使用
ウイルス感染や不正アクセスを防ぐためには、より安全な回線を選択しテレワークをする従業員が安心してネットワークにアクセスできる環境を会社や個人で意識的に準備することが求められます。必ず定められたプライベート・ネットワークに接続して暗号化通信を行うルールやシステムを導入しましょう。また、ウイルス感染や盗聴の危険性がある公衆Wi-Fiは利用せず、会社がある程度指定した通信サービスの利用を義務付ける必要があるでしょう。

以上、実際のセキュリティ対策は高度な専⾨知識を必要とするため、外部の専門業者とも連携して情報セキュリティ対策を行っていくことも検討してみてはいかがでしょうか。