テレワークの情報漏えいの事例から学ぶ原因と対策

テレワークが急速に普及する一方で、情報漏えい事故も多発しています。テレワークの情報漏えいの事例を具体的に知ることで、昨今のセキュリティ対策で注意すべきポイントがみえてきます。

近年のテレワークにおける情報漏えいの主な原因や、具体事例、情報漏えい対策のポイントについて紹介します。

新型コロナウイルス対策としてテレワークを導入した企業が増え、同時に情報漏えい事故も増えています。

東京商工リサーチが行った「上場企業の個人情報漏えい・紛失事故」調査（2020年）によると、上場企業とその子会社のなかで、2020年に個人情報の漏えいや紛失事故を公表した企業は88社に上り、事故件数は103件。2,515万47人分の個人情報が漏えいし、調査を開始した2012年以降で最多の被害を記録しました。また、全上場企業（約3,800社）のなかで個人情報の漏えい・紛失事故を起こした上場企業は全体の1割以上となり、累計1億1,404万人分にも及ぶ個人情報が漏えい・紛失した可能性があるという結果になっています。

セキュリティベンダーであるトレンドマイクロの調査によると、2019年4月～2020年3月の間に、約8割の国内法人組織で何かしらのセキュリティインシデントが発生しています。そして、調査対象企業の43.8%が、自組織におけるセキュリティインシデントから被害を受けたという結果が明らかになりました。システムやサービスの停止による損失額、インシデント対応費用や原因の調査費用、改善策の導入、損害賠償といった事後対応を含めると、平均的な被害額は年間で約1億4800万円にもなります。

半数近くの事例では被害総額は1000万円以下でしたが、1億円を超える被害額になったケースが15.7%と多く、なかには10億円を超える被害額になった企業も4.6%ありました。同社の分析では「特定のセキュリティインシデントが被害額を牽引しているのではなく、情報漏えい、データの改ざん、データの暗号化など複数のインシデントが発生することで金額が膨れ上がる傾向」があるとしており、被害額を抑えるためには総合的なセキュリティ対策のレベルを高めることが求められます。

それでは、テレワークにおける情報漏えいについて、主な原因を確認してみましょう。

東京商工リサーチの調査によると端末の「ウイルス感染・不正アクセス」による情報漏えいは49.5％と大きな割合を占めています。また、「ウイルス感染・不正アクセス」による情報漏えいでは、1つの事故あたりの漏えい・紛失件数が平均で57万8,714件と非常に多い結果となっています。

ウイルスの感染経路としては、コンピュータの基本OSや、インターネット関連プログラムの脆弱性を狙ってウイルスが侵入する「ネットワーク感染型」や、Webサイト上のリンクなどからコンピュータウイルスをダウンロードさせる「Web閲覧感染型」などがあります。Web閲覧感染型の場合、正規のWebサイトが不正侵入を受けて書き換えられている場合もあるため、「怪しいWebサイトにアクセスしなければ感染を防げる」とは言い切れないのです。

警察庁の公開資料「令和２年におけるサイバー空間をめぐる脅威の情勢等」によると、警察と先端科学技術を保有する事業者とで構成する「サイバーインテリジェンス情報共有ネットワーク」で把握された標的型メール攻撃は4,119件となっています。

経済産業省の管轄するIPA（情報処理推進機構）では、毎年「情報セキュリティ10大脅威」を発表していますが、標的型攻撃は2020年に1位、2021年に2位と専門家たちも大きな脅威として警戒しています。

標的型攻撃は攻撃対象を絞りこみ、マルウェア（悪意あるソフトウェア）を混入させたファイルを添付した電子メールや、不正なURLへの誘導を試みる攻撃です。顧客や取引先、内部の従業員になりすまし、「見積依頼」などメールの件名・文章やファイル名などを工夫することもあるため、一見しただけでは気づかないほど巧妙な場合もあります。標的型攻撃によって端末内の機密情報が抜き取られることもあれば、基幹システムやインターネットバンキングのログイン情報が流出し、不正アクセスを招くこともあります。

上記の東京商工リサーチの調査では、端末の「紛失・誤廃棄」、「盗難」は情報漏えい・紛失事故の15.7%を占めています。

持ち出したUSBメモリを紛失したり、カフェでノートパソコンを出したまま離席して盗難されたりすることもあるため、紛失や盗難には十分な注意が必要です。

オフィス外で業務用端末や記憶デバイスを管理・使用するテレワーク環境では、オフィスと比較して情報漏えいリスクが高まります。

内部者による不正は、特に深刻な被害をもたらす可能性があるため注意が必要です。トレンドマイクロの調査では、法人組織のセキュリティインシデントのうち10.2%を「内部不正」が占めています。テレワークにおける内部不正では、個人端末や許可されていないクラウドサービスへの機密情報のコピーや、外部への機密情報の提供などがあげられます

テレワーク環境においては、どのような情報漏えい事故が生じているのか事例を見てみましょう。

2020年8月、米国Pulse Secure（パルスセキュア）社のVPN機器における脆弱性から、日立化成や住友林業など複数の企業が不正アクセスを受けたとし、JPCERT/CCからも注意喚起がありました。この脆弱性では、社内ネットワークへの接続に必要な認証情報が窃取される可能性があり、不正アクセスの原因になったと見られています。

テレワークにおいてVPNは通信の安全を確保するための一般的な手段であっただけに、この事例は大きな衝撃を与えました。JPCERT/CCでは、ベンダーの提供するアップデートを利用することはもちろん、こういった事態に備えてワンタイムパスワードなどの二要素認証を導入するなど認証レベルの強化が望ましいとしています。

テレワークは持ち運びが容易なノートパソコンやスマートフォンなどの端末を使い、自宅や外部のさまざまな施設で行われています。オフィスであればネットワークでのセキュリティ対策が整っていますが、一般的な環境ではこうした対策が難しく、ウイルス・ワームなどの感染や、端末および記録媒体の紛失・盗難、通信内容の盗聴といった「脅威」にさらされやすくなります。

テレワークにおける情報漏えい事故を防ぐために、企業や個人はどのような対策を行うべきなのでしょうか。押さえておくべきポイントについて解説します。

テレワーク環境ではオフィスと比較して端末の紛失や盗難が生じやすく、情報漏えいにつながる可能性が高くなります。そのため、端末を適切に扱うための取り扱いルールについても確認してみましょう。

総務省のテレワークセキュリティガイドラインでは、端末の取り扱いに関するルールとして以下が推奨されています。

• 台帳などを用意して従業員に貸し出すテレワーク用端末の所在や利用者情報を管理する。
• オフィスから情報資産を持ち出すときは、原本を安全な場所に保存・管理しておく。
• 機密性の高い電子データは、できるだけ管理する必要がないように業務の方法を工夫する。やむを得ず管理が必要な場合、必ず暗号化して保存する。また、USBなどの記録媒体で管理する場合、盗難に十分留意する。

セキュリティソフトは端末のウイルス感染や不正アクセスからの情報漏えいを防ぐために効果的ですが、導入するだけでなく適切な運用が必要です。テレワークセキュリティガイドラインでは、セキュリティソフトに関して以下が推奨されています。

• 貸与しているテレワーク用の端末にはウイルス対策ソフトをインストールし、常に最新の定義ファイルが適用された状態にする。
• テレワークで従業員に私用端末を利用させる場合、その端末に必要なセキュリティ対策が施されていることを確認させたうえで認める。
• テレワークで作業開始する前に、端末にウイルス対策ソフトがインストールされていることと、最新の定義ファイルが適用されていることを確認する。

また、セキュリティソフトだけでなく、OSや使用している業務アプリケーションについても常に最新の状態に更新することが大切です。

不正アクセスや内部不正を防ぐためにも、適切なアクセス権の管理は欠かせません。テレワークセキュリティガイドラインでは、アクセス制御に関して次の対応を推奨しています。

• テレワークで社外の環境から社内システムへアクセスする際の利用者認証について、明確に技術的基準を定め、適正に管理・運用する。
• 情報のレベル分けに応じて、電子データに対するアクセス制御、暗号化の要否や印刷可否などの設定を行う。
• テレワークで使用するパスワードは、使い回しを避ける。また、パスワードは他人に推測されにくく、一定以上の長さのものを用いる。

端末やデータファイルの持ち出しが行われてしまった場合でも、最終的に読み取りがされなければ機密情報は守られます。そのため、いざという場合に備えてデータの暗号化を行うことも情報漏えい対策として有効です。テレワークセキュリティガイドラインでは、データの暗号化に関しては次の対策を推奨しています。

• 機密性が求められるデータを送信する際は必ず暗号化する。
• データの暗号化には、USBメモリやドライブ全体の暗号化と、ファイル単位の暗号化があり、情報の機密性の高さや利用方法に応じて使い分ける。両方の併用でよりセキュリティを高められる。

テレワークにおけるセキュリティ対策として、端末にデータを残さないことが非常に有効です。端末がウイルス感染した場合や、紛失・盗難といった場合でも情報漏洩を防ぐことができます。

業務が終わるたびに手作業でデータを消す方法もありますが、テレワークに適した方式を採用することで、セキュリティと作業効率を同時に高めることも可能です。

以下のような種類があります。

• リモートデスクトップ方式

オフィスにある端末のデスクトップ画面をテレワーク端末で閲覧し、遠隔操作する方法。オフィスと変わらない環境で自然に利用でき、作業データはオフィスの端末に保存される。一方、インターネット回線の速度が十分でないと、操作性が低下するという欠点もある。

• 仮想デスクトップ方式

テレワーク端末からオフィスのサーバ上にある仮想デスクトップにアクセスし作業する方法。作業データはサーバーに保存されテレワーク端末に保存しない。また、オフィスの端末が不要なため管理コストを削減できる。一方 リモートデスクトップ方式と同様にインターネット環境に依存する。

• セキュアブラウザ方式

セキュリティ機能に特化したブラウザからクラウド型の業務ツールにアクセスし、作業を行う方法。ファイルのダウンロードや印刷などを制限し、テレワーク端末に業務データを保存しないようにすることが可能。

• アプリケーションラッピング方式

テレワークで使用する端末に「コンテナ」と呼ばれる仮想的な環境を設け、コンテ内で作業をする方法で、データが端末に残らない。また、インターネットの速度の影響も受けにくいという利点もある。

企業のテレワーク環境も、行うべき情報漏えい対策もさまざまです。そのため、自社でセキュリティポリシーを定めるとともに、その実践のためのガイドラインも作成しておくとよいでしょう。テレワークではオフィスと違い、困ったときや気になったときに気軽に同僚に質問することが難しいこともあります。こうしたときに確認できる資料があると便利です。

上記の情報漏えい対策を盛り込み、自社のテレワークに即したセキュリティ対策のガイドラインを作成しましょう。ガイドラインは、運用しながら適宜更新していくようにしてください。

テレワークが普及するなか、企業においてもさまざまな情報漏えい事件が生じています。さまざまな事例を参考に、自社の情報セキュリティ体制を見直して情報漏えいを防ぎましょう。

moconavi（モコナビ）は端末にデータを残さずにテレワークができるため、情報漏えい対策に効果的なツールです。企業や従業員で行うべき情報漏えい対策のサポートにぜひお役立てください。