株式会社セキュアイノベーション

Menu

BLOG

  • セキュリティ対策

公開:2021.07.19 10:00 | 更新: 2021.07.19 07:23

テレワーク導入時におけるセキュリティ課題とその対策とは?

新型コロナウイルス(COVID-19)の感染拡大や緊急事態宣言の発令に伴い、テレワークを定常的に導入する企業が急増する中、新たなビジネス推進上の課題も出てきました。

それらの課題のうちの一つがセキュリティ対策で、総務省が2020年12月〜1月にかけて実施した「テレワークセキュリティに係る実態調査(2次実態調査)(*1)」及びその調査結果概要(*2)によれば、テレワーク実施企業のうち、実に47.6%の組織が「セキュリティの確保」を課題として挙げています。

(総務省「テレワークセキュリティに係る実態調査 調査結果概要」より抜粋)

このような現状を踏まえ、本稿では、テレワークを実施する際、セキュリティの確保をどのように実現しておくべきか、課題を抱えていらっしゃる企業様にとって、その支援材料となる各種のガイドラインと対策の具体例についてご紹介いたします。

テレワーク導入時におけるセキュリティ確保に活用が可能な各種ガイドライン

テレワークに関連するセキュリティガイドラインは複数あるのですが、国内で代表的なものとしては総務省「テレワークセキュリティガイドライン」、米国では、NIST(National Institute of Standards and Technology、米国標準技術研究所)が公開している「User’s Guide to Telework and Bring Your Own Device (BYOD) Security(SP800-114 rev.1)」があります。
参考:テレワークにおけるセキュリティ確保(総務省)

総務省「テレワークセキュリティガイドライン(第5版)

国内において、テレワーク導入で必要となるセキュリティ対策を網羅的に解説したガイドラインとして公開しているものが、総務省のテレワークセキュリティガイドラインです。初版の発行は2004年と古く、その後テレワークを取り巻く環境やセキュリティ動向の変遷にあわせて改定が継続され、2021年5月31日に第5版が公開されました。

第5版では、一般的なテレワークの実施方式の解説や、個々のテレワーク方式に特有のセキュリティ考慮事項の解説がなされています。また、各対策の実施項目に関しては、「経営者」「システム・セキュリティ管理者」「テレワーク勤務者」の3つの立場毎にそれぞれ必要となるものが記載されており、「誰が」「何を」実施すべきかについて明示するなど、比較的使用しやすいガイドラインになっています。

総務省「中小企業等担当者向けテレワークセキュリティの手引き(チェックリスト)(第2版)

「中小企業等担当者向けテレワークセキュリティの手引き」は、その名の通り、主にセキュリティの専任担当がいない中小企業を対象としたドキュメントです。中小企業の担当者がテレワークを導入し、利用を進めるに当たり考慮すべきセキュリティリスクを踏まえ、中小企業等においても実現可能性が高く、優先的に実施すべきセキュリティ対策を具体的に示しています。

特色としては、テレワークで使用する各種の製品・サービスについて、そのセキュリティ設定を強化するための設定解説資料を提供している点です。執筆時点では、主にオンライン会議に使用されるサービスである「Cisco Webex Meetings」「Microsoft Teams」「Zoom」の3つのサービスについて、設定を強化するための手順が資料として公開されています。

これらのドキュメントは、いわばセキュリティ設定強化のためのベストプラクティス集で、今後はOS、オンラインストレージ、ルータ、リモートデスクトップ、セキュリティ製品等にも対応を予定しているようです。各ドキュメントに記載されている設定内容が、確実にセキュアであること、正当であることを総務省が保証するものではないものの、セキュリティ対策水準を一定レベル以上に引き上げるためには役に立つものと考えられます。

NIST 「User’s Guide to Telework and Bring Your Own Device (BYOD) Security(SP800-114 rev.1)

かねてよりテレワークが普及しており、2020年3月時点で2600万人以上のリモートワーク人口がいるとされているアメリカ(*3)では、NIST(National Institute of Standards and Technology、米国標準技術研究所)がテレワークとBYOD(Bring Your Own Device、私物端末の業務利用)セキュリティに関するユーザーガイドを公開しています。

同ユーザーガイドでは、主に「ホームネットワークと使用するその他のネットワークの安全性確保」「BYODによるテレワークPC端末の安全性確保」「BYODによるテレワークモバイルデバイスの安全性確保」「サードパーティ製機器のセキュリティ考慮事項」の4つの観点で、それぞれ推奨となる基本対策を示しています。

テレワークに関連するインシデント例とその対策

前述の3つのガイドラインのうち、総務省が公開したテレワークセキュリティガイドライン(第5版)では、13の対策分類に分け、網羅的にその対策を示しています。また、前述の通り、対策の実施項目については「経営者」「システム・セキュリティ管理者」「テレワーク勤務者」の3つの立場で必要となる対策を記載しています。

(総務省「テレワークセキュリティガイドライン(第5版)」P.55より抜粋)

これらの対策項目は、インシデントの具体例に対してどのように適用が可能かについても、本ガイドラインの巻末(第6章 テレワークにおけるトラブル事例と対策)にて紹介されています。本稿では、これらのインシデント事例から3つの事例を引用し、それぞれのインシデントの概要(筆者にて一部補足したもの)と、テレワークセキュリティガイドラインに基づく対策の具体例について紹介したいと思います。

インシデント事例1 - VPN機器の既知の脆弱性に対する攻撃

2020年8月、海外セキュリティベンダーの提供するVPN機器を利用している企業の内、約900社分のIDやパスワードなどの認証情報が、ハッカーが集まるフォーラムに掲載されたことが確認されました。これらの認証情報は、既知の脆弱性を放置したまま運用し続けていたVPN機器が攻撃を受け、認証情報が窃取され流出したものであると想定され、日本国内でも40社近くの企業が保有するVPN機器に対し、不正アクセスが行われていたことがわかりました。

テレワークセキュリティガイドラインを用いた有効な対策

ガイドライン項目誰が?何を実施する?
C-2 脆弱性管理
(基本対策)
システム・セキュリティ管理者オフィスネットワークにアクセスする際に必要となるVPN機器やリモートデスクトップアプリケーション等について、最新のアップデートやパッチ適用を定期的に行う。
C-2 脆弱性管理
(基本対策)
システム・セキュリティ管理者テレワークで利用する端末やソフトウェアについて、メーカーサポートが終了しているものを利用しないようにテレワーク勤務者に周知する。

上記事例と対策へのコメント

テレワークの普及に伴いVPNの利用が広がった結果、VPN機器はより脅威アクターによる攻撃の対象として狙われやすくなった可能性があります。VPN機器の認証が突破されてしまった場合、VPNを利用するユーザと同じ権限(もしくはそれより上位の権限)を用いられる可能性があることから、容易に社内ネットワークの情報資産にアクセスが行えてしまうことが懸念点です。そのため、既知の脆弱性に対しては早期にパッチを適用し、常に最新のバージョンを利用することを推奨します。

また、その他の対策手段として、VPN機器のログを定期的に監査し、不正アクセスが行われていないか認証ログ等を監査することも有効な手立てになりますが、悪意のある第三者によって正規のユーザの認証情報が用いられている場合、それ自体が不正かどうかをログから判断することは、容易ではありません。

インシデント事例2 – 公開システムにおけるアクセス権限の設定不備

2020年12月、電子決済サービスを提供する企業において、アクセス権限の設定不備により、加盟店情報を格納したデータベースに対して不正アクセスが発生。この攻撃により、加盟店の名称、住所、代表者名など最大2000万件以上の情報流出の可能性があるなど、深刻な事態となりました。原因はサーバメンテナンス時のアクセス権限の変更によるものとされています。

テレワークセキュリティガイドラインを用いた有効な対策

ガイドライン項目誰が?何を実施する?
I-3 アクセス制御・認可
(基本対策)
システム・セキュリティ管理者データに対するアクセス制御に際して、オフィスネットワーク上の共有フォルダやクラウドサービスに対するアクセス権限設定、ファイアウォール設定等により、機密情報を閲覧・編集する必要のないテレワーク端末やテレワーク勤務からのアクセスを制御する。
I-4 アクアセス制御・認可
(発展対策)
システム・セキュリティ管理者データに対するアクセス制御に際して、テレワーク勤務者の職務や役割、テレワーク端末の種類やそのセキュリティ対策状況を考慮した動的なアクセス制御を実装する。
I-3 アクセス制御・認可
(基本対策)
テレワーク勤務者複数人でデータを共有可能な場所(オフィスネットワーク上の共有フォルダ、ファイル共有サービス等)に機密情報を保存する場合、情報を閲覧・編集する権限が にあるか確認し、適切な設定を実施(テレワーク勤務者で設定できない場合はシステム・セキュリティ管理者に相談)する。

上記事例と対策へのコメント

ガイドラインに記載のあるアクセス制御を行うにあたり、基本的な考え方として「Need to knowの原則」と「最小権限の原則」も参考になります。Need to knowの原則は「当該情報を知る必要がある人のみに、それを知る権限を与える」こと、また、最小権限の原則は「付与する権限は、必要最小限のタスクを実行できるものとする」ことです。

テレワークの普及により、これまで社内ネットワークからのアクセスのみを許可していた環境に対して、外部ネットワークからもアクセス可能とするなど、システムのアクセス制御や認可に変更を加えるケースが生じた場合は、まずはNeed to knowの原則・最小権限の原則に基づいて、設定変更を検討・実施いただくことを推奨します。

インシデント事例3 – USBメモリの紛失

2020年6月、教育機関において児童や関係者述べ3,000人以上の氏名・住所・電話番号等を含む個人情報を記録したUSBメモリを紛失する事故が発生。テレワークを実施するために、USBメモリを用いて情報を外部に持ち出したことが起因であり、当該教育機関は関係者に対して謝罪を行いました。

テレワークセキュリティガイドラインを用いた有効な対策

ガイドライン項目誰が?何を実施する?
E-4 データ保護
(基本対策)
システム・セキュリティ管理者テレワーク勤務 によるリムーバブルメディア USBメモリ、CD、DVD等 の使用は、業務上の必要性が認められたものに限定し、ルールで規定する。
E-4 データ保護
(基本対策)
システム・セキュリティ管理者テレワーク端末にデータを保存することが想定される場合は、内蔵されるHDDやSSDの記録媒体レベルで暗号化を実施するようにテレワーク勤務者に周知する。また、テレワーク業務で使用するUSBメモリ等も同様に対応する。
E-8 データ保護
(発展対策)
システム・セキュリティ管理者テレワーク端末にデータを保存することが想定される場合は、内蔵されるHDDやSSDの記録媒体レベルでの暗号化を強制し、テレワーク勤務者で設定を変更できないようにする。また、テレワーク業務で使用するUSBメモリ等も同様に対応する。
E-9 データ保護
(基本対策)
システム・セキュリティ管理者テレワーク端末の紛失・盗難に備え、MDM Mobile Device Management ソリューション等を導入し、有事の際の遠隔制御でのデータ・アカウント初期化、ログイン時のパスワード認証の強制、ハードディスクの暗号化等の機能を有効化する。
E-10 データ保護
(基本対策)
システム・セキュリティ管理者テレワーク端末の紛失時に端末の位置情報を検知するためのアプリケーションやサービス等を導入する。
E-2 データ保護
(基本対策)
テレワーク勤務者リムーバブルメディア USBメモリ、CD、DVD等 は、業務上必要であり、ルールで許可されている場合のみ利用する。
E-3 データ保護
(基本対策)
テレワーク勤務者テレワーク端末にデータを保存することが想定される場合は、内蔵されるHDDやSSDの記録媒体レベルで暗号化を実施する。
H-6 アカウント・認証管理
(基本対策)
システム・セキュリティ管理者利用認証に一定回数失敗した場合、テレワーク端末の一定時間ロックや、テレワーク端末上のデータ消去を行うよう設定する。

上記事例と対策へのコメント

テレワークにおいてのセキュリティリスクは、サイバー攻撃によるものだけではなく、情報資産の物理的な持ち出しとその紛失リスクについても考慮しなければなりません。テレワークセキュリティガイドラインが示す上記の対策は、USBメモリの物理的紛失・盗難のみに限らず、ノートPC・スマートフォン等のモバイルデバイス、物理的な持ち出しが可能な端末への対策になります。

USBメモリの紛失事故は情報漏えい事故の中でも頻繁に見受けられるケースであることから、その使用には十分の配慮が必要です。「原則的にUSBメモリによる情報持ち出しは行わない」「やむを得ない理由からUSBメモリを使用する場合は、関連部門に申請の上、会社貸与のUSBメモリを使用する」等、会社として規定した上でご利用いただくことを推奨します。また、市販のUSBメモリの中には、暗号化・ウイルス対策・指紋認証・自動データ消去など、セキュリティ機能を有したハイエンド製品もありますので、それらを利用することもご検討ください。

まとめ

本稿では、テレワークに関連する各種のガイドラインについて、その概要と一部のインシデント事例・対策事例を紹介しました。ガイドラインに記載されている点を含め、テレワークのセキュリティ対策のポイントは、主には以下の6つに集約されるものと考えています。

  1. テレワークに関するセキュリティポリシー、ルールを策定するとともに、それらを遵守するよう従業員に通知し、また必要な教育を実施する
  2. テレワークにて使用する機器・ソフトウェアの脆弱性管理を行い、最新のセキュリティパッチを適用する
  3. 使用するネットワーク環境において、通信内容が盗聴されないように保護策を講じる(利用可能とする無線LAN環境の制限や、WPA2/WPA3の使用など)
  4. テレワークにて使用する端末や書類・印刷物が紛失・盗難や画面の盗み見など、物理的なセキュリティリスクを考慮した対策を講じる
  5. マルウェア感染や端末の紛失など、インシデント発生時の早期対応体制や連絡フローを整備する
  6. テレワーク/リモートワークの定常化など、ワークスタイルの変革にあわせ、セキュリティ対策全般を見直す

弊社ではテレワークに関連して、貴社のテレワークセキュリティ対策の現状評価と改善をご支援する「テレワークセキュリティリスクアセスメント」、テレワーク時に守るべきセキュリティルールをまとめた「テレワークセキュリティガイドライン策定支援」など、企業様の現状課題の解決をご支援するセキュリティコンサルティングサービスを提供しております。ぜひお気軽にご相談くださいませ。

出典
(*1)総務省 テレワークセキュリティに係る実態調査(2次実態調査)報告書
(*2)総務省 テレワークセキュリティに係る実態調査 調査結果概要
(*3) NIST  Telework Security Overview & TIP Guide