コロナ禍で急速に普及したテレワーク、セキュリティ対策の第一歩とは

2020年は「コロナ禍」の一年だったといっていいでしょう。それは今も続いています。
コロナ禍の影響で社会は大きく変わりました。働くという観点では、テレワークが急速に普及しました。

テレワークの普及で、多くの企業が制度やルールを整備しつつありますが、大きな課題はセキュリティです。テレワークで便利になった、生産性が向上したという声がある一方、オフィスという限られた環境で維持されていたセキュリティが崩れ、大きなリスクを抱えている企業が増えているのです。

コロナ禍のサイバー攻撃、悪意ある犯罪が増えている

企業の脅威となるサイバー攻撃ですが、オフィス内ではファイアウォールや暗号化などの対策で一定のセキュリティが保たれています。一方、オフィス外、例えばテレワークをしている自宅などは、オフィスほどのセキュリティ対策が採られていないことがほとんどです。
悪意あるサイバー犯罪者にとって、これはチャンスです。事実、トレンドマイクロ社の調査によると、サイバー攻撃の脅威検知件数が、2019年と比較して2020年は約7.8%も増加しています※1。また、VMware Carbon Blackの調査によると、2020年2月から4月にかけて、金融機関を狙ったサイバー攻撃は238%も増加したそうです※2

コロナ禍で行われるサイバー攻撃は、従来のものとは少し違いがあります。従来、攻撃者は特定企業の情報をピンポイントで狙っていました。しかし、コロナ禍でPCやスマートフォン、タブレット端末を使って自宅などのオフィス外で仕事をする人が増えると、企業のセキュリティの枠外にターゲットが出てきたことになります。ただし、どのPCが狙っている企業のものかはわかりません。そこで、あらゆるデータをしらみつぶしに探索・収集し、そこから侵入の糸口となり得る有効な情報を得ようとするのです。また、無差別の情報をかき集める底引き網のような手法も増加しています。

かき集めた情報の中で特定の企業に頻繁にアクセスしているPCがあれば「その会社の従業員かもしれない」という予測が立ちます。攻撃者はそこを狙って、侵入を試みるのです。侵入できた場合は、どこに侵入できたのか、おとりではないのか、侵入できたアカウントが持っている権限は……と深く掘り下げていきます。そして、そこで得た情報を売買するわけです。さらに、侵入できたアカウントの履歴を分析してより高い権限を持つアカウントを特定し、それを使って深いレベルまで侵入することもあります。攻撃者は長い時間をかけて慎重に侵入範囲を拡大するケースもあります。従って、企業がこれからセキュリティ対策を強化する場合も、すでに侵入されていることを想定しなければ意味がないといえます。

※1 2021.02.11 電波新聞
「コロナ禍でサイバー攻撃の脅威拡大 トレンドマイクロがゼロトラスト対応を提言」
https://dempa-digital.com/article/164770

※2  VMware Carbon Black 「Report Modern Bank Heists 3.0」
https://www.carbonblack.com/resources/modern-bank-heists-2020/

セキュリティと業務の利便性の天秤

テレワークの普及だけでなく、今後は、ワクチン接種が進んでいくことも予想されます。Withコロナ、Afterコロナ、いわゆるニューノーマル時代における働き方の検討が望まれます。これを機会に、DX推進に力を入れる企業も増えるでしょう。

その際、サイバー攻撃への対策として、セキュリティレベルを向上させなければなりません。しかし、セキュリティはレベルを高くすればするほど制限される範囲が広がり、仕事の効率が落ちる傾向があります。仕事上の利便性とセキュリティは常に天秤にかけられているようなものです。

ポイントになるのは、業務の棚卸しとセキュリティレベルの設定です。例えば、財務情報をはじめとする企業の根幹となる情報を扱う場合は、高いセキュリティレベルが求められますが、「万が一漏洩しても被害が少ないデータ」しか扱わないならば、セキュリティレベルを高くしなくてもいい、つまり利便性を優先してもいい場合があります。ニューノーマル時代のセキュリティは、その線引きを明確にするために、業務の棚卸しが必要です。これは企業や業務によって異なります。

社員のプライバシーにも配慮が必要です。テレワークする社員のPCを監視すればいいということではないのです。各家庭の通信環境に口出しすることも難しいでしょう。シンクライアントを使用すればセキュリティレベルは向上しますが、作業中の画面を撮られる可能性は残ります。

意外なサイバー攻撃として、電話を使ったものがあります。ある企業では、同僚を騙った電話によって情報が漏洩した事件が報告されています。電話口で「重要な顧客データが緊急で必要なので、アクセスコードを送ってくれ」と言われ、それに従ってしまったというケースです。 オレオレ詐欺のようなものです。同僚の声が聞き分けられないのかと疑問に思うかもしれませんが、「重大なトラブルだ」と泣きながら電話するケースもあり、冷静さを失って騙されてしまうことが多いようです。

これからのニューノーマル時代、企業はこのようなサイバー攻撃への水際対策が求められるのです。

Afterコロナにおける社内セキュリティの第一歩

今後、Afterコロナの働き方は大きく2つに分かれることが予想されます。まず、導入したテレワークを全面もしくは部分的に維持する企業。もう一つが、テレワークを止め、出勤体制に戻す企業です。在宅ではできない仕事もありますので、業種や職種によって対応は異なってくるでしょう。

導入したテレワークを部分的に維持する場合、例えば、週2日はテレワークで残りは出勤するというようなワークスタイルでは、気をつけなければいけないポイントがあります。オフィスに持ち込まれる、自宅でも使用するPCなどのIT機器は、すでになんらかの脅威に感染している可能性があるということです。出勤時に、感染状況をどのようにチェックして、どのように対処するかを考えなければなりません。出社のたびに持ち込んだ機器に入念なスキャンを行うのでは手間と時間がかかり過ぎます。また、既知のウイルスなどは検知できますが、未知のウイルスは発見が難しい。従業員の意識改革や、会社としての対処方針を決める必要があります。

自宅で使用したPCがオフィスに持ち込まれる点は、出勤体制に戻す企業も同様ですが、こちらの場合は一度全面的なチェックを実施し、経過観察をすれば一定のリスク回避が可能です。

重要なことは、先に述べた「セキュリティと利便性の天秤」のバランスをどう取るかです。あまりに厳しいセキュリティルールを作ると、必ず抜け道を見つける社員が出てきます。これを防ぐためには、ルールを決める際、全面的に禁止するのではなく「こうすればいい」という道筋を示すことです。

セキュリティの細かな技術論は常に変化しています。半年前の情報が古くて使えなくなることは日常茶飯事です。しかし、セキュリティのルール、社内制度の大きな方針はさほど変化しません。その判断にはセキュリティの専門家だけではなく、経営層の意思が重要です。経営層が危機意識を持ち、セキュリティ対策に積極的に関与する必要があります。

テレワークをはじめとする、業務のデジタル化、DXの推進で生産性は向上します。しかし、セキュリティリスクは高まります。ここできちんとした対策を採らないと、いつか重大なセキュリティ事故が起こります。
この点を忘れないことが、セキュリティ対策の第一歩です。

富士ソフト セキュリティソリューションのご紹介

あらゆるセキュリティの脅威からお客さまを守る、富士ソフトのセキュリティソリューション。
社内外の脅威に対して、対策はしたいけれど、どの製品を使えばいいか分からなかったり、構築方法を相談したいときはありませんか?富士ソフトは、手間のかかるリスクの分析と対策を多角的に支援し、お客様のセキュリティ対策に貢献します。



企業はサイバー攻撃をはじめとした様々な脅威にさらされており、提供サービスの停止、 情報流出や漏洩といったインシデントは企業の信頼を失墜させる恐れがあります。セキュリティインシデントの発生時に、迅速且つ適切な対応がとれる組織を構築し、
現在対応ができていない企業や、改善、強化を行いたい企業へ運用支援を提供します。



インターネットの発展に伴い、様々なサイバーセキュリティリスクも厳しさを増しこうした事態に対応するためには、システム担当者にも高い専門性が求められます。
当社は、セキュリティのスペシャリストによる、SOCサービスを提供し、高いセキュリティ対策の実施に貢献いたします。





柴田 秀行柴田 秀行(Hideyuki Shibata)

システム事業本部
セキュリティ対策支援室
室長 / エグゼクティブフェロー

この記事を読んだ人はこちらの記事も読んでいます。