テレワーク導入時におけるインシデント事例とその対策
新型コロナウイルス(COVID-19)の感染拡大や緊急事態宣言の発令に伴い、テレワークを定常的に導入する企業が急増する中、新たなビジネス推進上の課題も出てきました。
それらの課題のうち、大きなテーマの一つがセキュリティ対策です。
総務省が2020年12月〜1月にかけて実施した「テレワークセキュリティに係る実態調査(2次実態調査)(*1)」及びその調査結果概要(*2)によれば、テレワーク実施企業のうち、実に47.6%の組織が「セキュリティの確保」を課題として挙げています。
(総務省「テレワークセキュリティに係る実態調査 調査結果概要」より抜粋)
このような現状を踏まえ、テレワークの実施にあたりセキュリティの確保をどのように実現してくべきか、実際の被害例とどんな対策が考えられたか、ということを見てみたいと思います。
なお、本稿は以下のガイドラインを参考に記載しております。
1.「テレワークセキュリティガイドライン(第5版)」(総務省:2021年5月31日公開)
https://www.soumu.go.jp/main_sosiki/cybersecurity/telework/
https://www.soumu.go.jp/main_content/000752925.pdf
テレワーク導入で必要となるセキュリティ対策を網羅的に解説したガイドラインです。一般的なテレワークの実施方式の解説や、個々のテレワーク方式に特有のセキュリティ考慮事項の解説をしています。
2.「中小企業等担当者向けテレワークセキュリティの手引き(チェックリスト)(第2版)」(総務省)
https://www.soumu.go.jp/main_sosiki/cybersecurity/telework/
https://www.soumu.go.jp/main_content/000753141.pdf
中小企業の担当者がテレワークを導入・利用するにあたり考慮すべきセキュリティリスクと、優先的に実施すべきセキュリティ対策を具体的に示しています。
3.「User’s Guide to Telework and Bring Your Own Device (BYOD) Security(SP800-114 rev.1)」(NIST)
https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-114r1.pdf
アメリカで公開されたテレワークとBYOD(Bring Your Own Device、私物端末の業務利用)セキュリティに関するユーザーガイドです。
テレワークに関連するインシデント例とその対策
「テレワークセキュリティガイドライン(第5版)」では、テレワークの利用にあたり想定されるリスクを13種に分類し、網羅的にその対策を示しています。
また、インシデントの具体例に対してどのように適用が可能かについても、巻末(第6章 テレワークにおけるトラブル事例と対策)で紹介しています。
今回はこれらのインシデント事例から3つを引用し、それぞれの概要(筆者にて一部補足したもの)と、対策の具体例について紹介したいと思います。
(総務省「テレワークセキュリティガイドライン(第5版)」P.55より抜粋)
事例① VPN機器の既知の脆弱性に対する攻撃
2020年8月、海外セキュリティベンダーの提供するVPN機器を利用している企業の内、約900社分の認証情報(IDやパスワードなど)が、ハッカーが集まるフォーラムに掲載されたことが確認されました。
これらの認証情報は、既知の脆弱性を放置したまま運用し続けていたVPN機器が攻撃を受け、認証情報が窃取され流出したものであると想定され、日本国内でも40社近くの企業が保有するVPN機器に対し、不正アクセスが行われていたことがわかりました。
テレワークセキュリティガイドラインを用いた有効な対策
(参考:https://www.soumu.go.jp/main_content/000752925.pdf )
ガイドライン項目 |
誰が? |
何をする? |
C-2 脆弱性管理 (基本対策) |
システム・セキュリティ管理者 |
オフィスネットワークにアクセスする際に必要となるVPN機器やリモートデスクトップアプリケーション等について、最新のアップデートやパッチ適用を定期的に行う。 |
C-2 脆弱性管理 (基本対策) |
システム・セキュリティ管理者 |
テレワークで利用する端末やソフトウェアについて、メーカーサポートが終了しているものを利用しないようにテレワーク勤務者に周知する。 |
テレワークの普及に伴いVPNの利用が広がった結果、VPN機器はより攻撃の対象として狙われやすくなった可能性があります。VPN機器の認証が突破されてしまった場合、VPNを利用するユーザと同じ権限(もしくはそれより上位の権限)を用いられる可能性があり、容易に社内ネットワークの情報資産にアクセスが行えてしまう懸念があります。
既知の脆弱性を利用した攻撃を防ぐため、VPNは常に最新のバージョンへアップデートすることを心がけましょう。
また、その他の対策手段として、VPN機器のログを定期的に監査し、不正アクセスが行われていないか認証ログ等を監査することも有効な手立てです。ただし、悪意のある第三者によって正規のユーザの認証情報が用いられている場合、それ自体が不正かどうかをログから判断することは、容易ではありませんので注意が必要です。
事例② – 公開システムにおけるアクセス権限の設定不備
2020年12月、電子決済サービスを提供する企業において、アクセス権限の設定不備により、加盟店情報を格納したデータベースに対して不正アクセスが発生しました。
この攻撃により、加盟店の名称、住所、代表者名など最大2000万件以上の情報流出の可能性があるなど、深刻な事態となりました。原因はサーバメンテナンス時のアクセス権限の変更によるものとされています。
テレワークセキュリティガイドラインを用いた有効な対策
(参考:https://www.soumu.go.jp/main_content/000752925.pdf )
ガイドライン項目 |
誰が? |
何を実施する? |
I-3 アクセス制御・認可 (基本対策) |
システム・セキュリティ管理者 |
データに対するアクセス制御に際して、オフィスネットワーク上の共有フォルダやクラウドサービスに対するアクセス権限設定、ファイアウォール設定等により、機密情報を閲覧・編集する必要のないテレワーク端末やテレワーク勤務からのアクセスを制御する。 |
I-4 アクアセス制御・認可 (発展対策) |
システム・セキュリティ管理者 |
データに対するアクセス制御に際して、テレワーク勤務者の職務や役割、テレワーク端末の種類やそのセキュリティ対策状況を考慮した動的なアクセス制御を実装する。 |
I-3 アクセス制御・認可 (基本対策) |
テレワーク勤務者 |
複数人でデータを共有可能な場所(オフィスネットワーク上の共有フォルダ、ファイル共有サービス等)に機密情報を保存する場合、情報を閲覧・編集する権限が にあるか確認し、適切な設定を実施(テレワーク勤務者で設定できない場合はシステム・セキュリティ管理者に相談)する。 |
基本的な考え方としては「Need to knowの原則=当該情報を知る必要がある人のみにそれを知る権限を与える」、と「最小権限の原則=付与する権限は、必要最小限のタスクを実行できるものとする」があります。
テレワークの普及により、これまで社内ネットワークからのアクセスのみを許可していた環境に対して、外部ネットワークからもアクセス可能とするなど、システムのアクセス制御や認可に変更を加える必要が出てくることもあるかと思います。
そんな時は、まずNeed to knowの原則・最小権限の原則に基づいて、設定変更を検討・実施してみてはいかがでしょうか。
事例③ – USBメモリの紛失
2020年6月、教育機関において児童や関係者述べ3,000人以上の氏名・住所・電話番号等を含む個人情報を記録したUSBメモリを紛失する事故が発生しました。
テレワークを実施するために、USBメモリを用いて情報を外部に持ち出したことが起因であり、当該教育機関は関係者に対して謝罪を行いました。
テレワークセキュリティガイドラインを用いた有効な対策
(参考:https://www.soumu.go.jp/main_content/000752925.pdf )
ガイドライン項目 |
誰が? |
何を実施する? |
E-4 データ保護(基本対策) |
システム・セキュリティ管理者 |
テレワーク勤務 によるリムーバブルメディア USBメモリ、CD、DVD等 の使用は、業務上の必要性が認められたものに限定し、ルールで規定する。 |
E-4 データ保護 (基本対策) |
システム・セキュリティ管理者 |
テレワーク端末にデータを保存することが想定される場合は、内蔵されるHDDやSSDの記録媒体レベルで暗号化を実施するようにテレワーク勤務者に周知する。また、テレワーク業務で使用するUSBメモリ等も同様に対応する。 |
E-8 データ保護 (発展対策) |
システム・セキュリティ管理者 |
テレワーク端末にデータを保存することが想定される場合は、内蔵されるHDDやSSDの記録媒体レベルでの暗号化を強制し、テレワーク勤務者で設定を変更できないようにする。また、テレワーク業務で使用するUSBメモリ等も同様に対応する。 |
E-9 データ保護 (基本対策) |
システム・セキュリティ管理者 |
テレワーク端末の紛失・盗難に備え、MDM Mobile Device Management ソリューション等を導入し、有事の際の遠隔制御でのデータ・アカウント初期化、ログイン時のパスワード認証の強制、ハードディスクの暗号化等の機能を有効化する。 |
E-10 データ保護 (基本対策) |
システム・セキュリティ管理者 |
テレワーク端末の紛失時に端末の位置情報を検知するためのアプリケーションやサービス等を導入する。 |
E-2 データ保護 (基本対策) |
テレワーク勤務者 |
リムーバブルメディア USBメモリ、CD、DVD等 は、業務上必要であり、ルールで許可されている場合のみ利用する。 |
E-3 データ保護 (基本対策) |
テレワーク勤務者 |
テレワーク端末にデータを保存することが想定される場合は、内蔵されるHDDやSSDの記録媒体レベルで暗号化を実施する。 |
H-6 アカウント・認証管理 (基本対策) |
システム・セキュリティ管理者 |
利用認証に一定回数失敗した場合、テレワーク端末の一定時間ロックや、テレワーク端末上のデータ消去を行うよう設定する。 |
テレワークにおいてのセキュリティリスクは、サイバー攻撃によるものだけではなく、情報資産の物理的な持ち出しとその紛失リスクについても考慮しなければなりません。テレワークセキュリティガイドラインが示す上記の対策は、USBメモリの物理的紛失・盗難のみに限らず、ノートPC・スマートフォン等のモバイルデバイス、物理的な持ち出しが可能な端末への対策になります。
USBメモリの紛失事故は情報漏えい事故の中でも頻繁に見受けられるケースであることから、その使用には十分の配慮が必要です。
「原則的にUSBメモリによる情報持ち出しは行わない」「やむを得ない理由からUSBメモリを使用する場合は、関連部門に申請の上、会社貸与のUSBメモリを使用する」等、会社として規定した上でご利用いただくことを推奨します。また、市販のUSBメモリの中には、暗号化・ウイルス対策・指紋認証・自動データ消去など、セキュリティ機能を有したハイエンド製品もありますので、それらを利用することもご検討ください。
まとめ
本稿では、テレワークに関連する各種のガイドラインから一部のインシデント事例・対策事例を紹介しました。ガイドラインに記載されている点を含め、テレワークのセキュリティ対策のポイントは、主には以下の6つに集約されるものと考えています。
- テレワークに関するセキュリティポリシー、ルールを策定するとともに、それらを遵守するよう従業員に通知し、また必要な教育を実施する
- テレワークにて使用する機器・ソフトウェアの脆弱性管理を行い、最新のセキュリティパッチを適用する
- 使用するネットワーク環境において、通信内容が盗聴されないように保護策を講じる(利用可能とする無線LAN環境の制限や、WPA2/WPA3の使用など)
- テレワークにて使用する端末や書類・印刷物が紛失・盗難や画面の盗み見など、物理的なセキュリティリスクを考慮した対策を講じる
- マルウェア感染や端末の紛失など、インシデント発生時の早期対応体制や連絡フローを整備する
- テレワーク/リモートワークの定常化など、ワークスタイルの変革にあわせ、改めてセキュリティ対策・運用について全般的な見直しを行う
弊社ではテレワークに関連して、貴社のテレワークセキュリティ対策の現状評価と改善を支援する「テレワークセキュリティリスクアセスメント」、テレワーク時に守るべきセキュリティルールをまとめた「テレワークセキュリティガイドライン策定支援」など、企業様の現状課題の解決をご支援するセキュリティコンサルティングサービスを提供しております。ぜひお気軽にご相談くださいませ。
出典など
(*1)総務省 「テレワークセキュリティに係る実態調査(2次実態調査)報告書」
https://www.soumu.go.jp/main_content/000744643.pdf
(*2)総務省 「テレワークセキュリティに係る実態調査 調査結果概要」
https://www.soumu.go.jp/main_content/000744642.pdf
