COVID-19の感染者は依然増減を繰り返し、現在は多くの企業が「テレワーク」とオフィスに出勤する「オフィスワーク」を組み合わせた「ハイブリッドワーク」という勤務体系かと思いますが、ハイブリッドワークは勤務体系と同じく、セキュリティ対策でも両方の対策を切り替えて行う必要があり、セキュリティリスクが複雑かつ煩雑になることがあります。
今回はハイブリッドワークのセキュリティ対策について説明します。
ハイブリッドワークのセキュリティリスク
ハイブリッドワークのセキュリティリスクでは、特にオフィスワークからリモートワークに切り替える際に注意すべき点があります。
<紛失、盗難>
データや紙など情報資産を、紙、PC、USBメモリなどの可搬媒体で持ち出す際に、紛失や盗難といったリスクがあります。持ち出す際は移動中だけでなく、自宅に保管する場合も十分な注意が必要です。
<情報漏えい>
リモートワークで最も多いのは在宅勤務だと思いますが、自宅のネットワーク環境が不十分なセキュリティ対策しかできていないと情報漏えいなどのリスクがあります。ルーターなどのネットワーク機器の設定や管理が適切か確認することをお勧めします。
<盗聴>
自宅以外でリモートワークを行う場合、フリーWi-Fiを利用することもあると思いますが、セキュリティ対策が不十分なフリーWi-Fiだと盗聴などのリスクがあります。他にも情報漏えいや認証情報の詐取、盗聴によってマルウェアに感染したり、マルウェア配布の踏み台にされたりするリスクもあります。
フリーWi-Fiを利用する際は信用できる提供者(通信キャリア・ISP事業者 など)か、セキュリティ対策が十分か(提供者のWebサイトで確認)すると良いでしょう。
ハイブリッドワーク登場によって注目されるセキュリティリスク
独立行政法人情報処理推進機構(IPA)が発表した「情報セキュリティ10大脅威 2022」でも、「テレワーク等のニューノーマルな働き方を狙った攻撃」が4位にランクインしており、ここまで紹介したセキュリティリスクの他にも以下のセキュリティリスクもあります。
参照:IPA 情報セキュリティ10大脅威 2022
https://www.ipa.go.jp/security/vuln/10threats2022.html
<標的型攻撃>
詐欺メールをきっかけにした機密情報の窃取や権限奪取、マルウェア感染など様々な被害が報告されています。リモートワークによって怪しいメールが来ても相談する相手が近くにいない、報告先に繋がらないなどで発見が遅れて被害が拡大した事例もあります。
<ネットワークへの攻撃>
リモートワークやオンライン会議の増加によってリモートネットワーク(VPNなど)の構築が集中した時期があり、セキュリティ対策が不十分なまま構築されたネットワークが多く存在しています。
特にVPNルーターの設定不備や脆弱性を狙った攻撃は多くの被害を発生させており、引き続き注意が必要です。
ハイブリッドワークで強固なセキュリティ運用を行う
ハイブリッドワークで気を付けるべき点は特にリモートワークの際にオフィスワークと同等のセキュリティ対策を行えるかが重要です。
以下に特に注意すべき点を紹介します。
<認証の厳格化>
二要素認証、多要素認証を導入する。
<暗号化>
データ転送は暗号化を基本とし、暗号化通信が行えない環境とのデータ転送は禁止する。
また、持ち出しするPCのHDD(SSD)は暗号化する。
<アクセス制御>
アクセス権限は必要最小限とする。
<監視>
ネットワークや端末の異常な挙動(急激なトラフィック増加 など)、ユーザーの操作(大量のデータコピー など)などを監視する。
<教育>
従業員へのセキュリティ教育も重要なセキュリティ対策のうちのひとつです。リモートワーク時のリスクやその対策、禁止事項などの教育を繰り返し行うことでセキュリティレベルの全体の底上げを図ることも効果的なセキュリティ対策です。
これらの対策について具体的にどのように行うべきか、どうしたら良いか分からない、実施はしているが効果が見えないなど、お気軽にお問合せください。
