Select Language : English 日本語

NTTコミュニケーションズ

法人のお客さま: English / 日本語
個人のお客さま: English / 日本語

NTT Ltd.

グローバルサイト English

お客さまの課題解決のヒントをお届けするデジタルマガジンICT Business Online

メルマガ登録

大規模イベントや非常事態を機にテレワークが普及 2020年以降サイバー攻撃への対策が急務に

印刷

2020年に開催される大規模イベントによる交通混雑や、感染症の流行により、テレワークが注目されています。26.3%の企業が導入済みもしくは今後導入予定という調査結果(2019年)が出ています。テレワークにより、会社支給のノートパソコンや個人所有のスマホなどを仕事に利用するケースが増えてくると、サイバー攻撃を仕掛ける側にとってはチャンスとなりえます。そこで今後増加すると思われるサイバー攻撃への対策について解説します。

テレワーク導入が増えるさまざまな理由とは?

総務省平成 30 年通信利用動向調査の結果によると、テレワークを導入している企業の割合は平成30年度19.1%となっており、近年その伸び率は高くなっています。

総務省平成 30 年通信利用動向調査

画像:総務省平成 30 年通信利用動向調査

画像:総務省平成 30 年通信利用動向調査

参考:総務省平成 30 年通信利用動向調査

テレワークの主な導入目的については、「定型的業務の効率性(生産性)の向上」の割合が56.1%と最も高いですが、その他の理由も見逃せません。例えば以下のような課題が挙げられます。

  • 2020年夏の大規模イベントなどによる訪日客急増に伴う通勤時間の交通混雑対策
  • 感染症ウイルス対策
  • 人手不足の深刻化により、育児や介護などで出社できない従業員に継続して働いてもらう、または地方在住者を遠隔で雇用
  • 地震や台風とそれに伴う洪水などの自然災害などで、出社できなくなるリスクへの対策

テレワークは、ワークライフバランスの実現や人口減少時代における労働力人口の確保などへも寄与する働き方改革実現の切り札です。テレワークの普及促進に資するさまざまな取り組みを官民連携で進められており、BCPの策定時にテレワークを計画に含める会社もいま急激に増加しています。いざというときに誰も出社できなくなり、事業停止に陥らないよう平時から生産性向上を目的としたテレワークを、長期視点で考え実現しましょう。

テレワークのセキュリティリスクと被害例

テレワークの導入時に検討すべきポイントはまず「セキュリティ対策」です。テレワークにより業務遂行ができたとしても、端末やネットワークの脆弱性から情報漏えいが発生するようでは本末転倒です。

2019年に大手企業で、従業員が顧客情報を6万件以上も保存されていたノートパソコンを外出先で紛失し、個人情報が漏えいした可能性を公表。また行政機関の職員が不正に個人情報をコピーして持ち出していたなど、重大なインシデント事例が確認されています。

例えば外出先で端末を紛失・盗難されたことで中に入っていたデータを悪用される、無線LANの設定不備や暗号化していない通信により通信内容を第三者に勝手に閲覧される、通信環境が異なるために攻撃者からのメールや悪意あるサイトを遮断できずにマルウェアを入れられる、カフェなどで作業しているときに周りの人に画面を覗き見られるなど、オフィス以外での作業にはさまざまなリスクが伴います。セキュリティの脆弱さは経済的損失や社会的信用の失墜につながりかねない深刻な問題です。

注目のイベントはハッカーにとっても“祭典”

テレワーク以外にもサイバー攻撃のリスクに晒される要因があります。

イベントを開催する国では、サイバー攻撃が日を追うごとに増加し、会期中にピークを迎える傾向にあります。中でも多いのは、偽のチケット販売や中継動画などのフィッシングメールといわれています。これは、格安のチケットや動画などを売り込み、代金を詐取するという手法です。また、動画配信サービス会社などへのサイバー攻撃も多発する傾向にあり、DDoS攻撃を仕掛けてサービスを利用不能に追い込みます。その後、攻撃を止めることと引き換えに金銭が要求されるのです。

さらに、「ハクティビスト」のサイバー攻撃も増加することが予想されます。ハクティビストとは、特定の思想を持った活動家のことで、ハッカー+アクティビストの造語です。ハクティビストのサイバー攻撃は、政府機関や企業などのWebサイトを改ざんして、自分たちの思想などをアピールする内容に書き換えたり、同様の内容のスパムメールを大量送信したりします。

かつてない手法のサイバー攻撃が行われる可能性も

近年開催されてきたイベントのいくつかはサイバー攻撃の対象となってきましたが、2020年以降には大きな変化があると予測されています。その理由の1つが、大規模イベントの開催地が日本であるという点です。

日本はGNI(国民総所得)が世界第3位の経済大国であり、世界的な規模の企業の拠点が数多く存在します。当然、(実際はともあれ)それらに堅牢なセキュリティ対策が行われていると、ハッカーは考えているでしょう。そんな国で大規模なサイバー攻撃を成功させることができれば、サイバー犯罪者は実力を大いにアピールできます。こうした背景から、これまでとは比較にならないほどの質と量の攻撃が行われる恐れがあるのです。

そして、もう1つの理由がIoT(Internet of Things/モノのインターネット)の普及です。2020年は、いままでよりもIoTが普及するペースが早くなるでしょう。テレビ中継・報道、運営など、さまざまな場面でIoTの技術が使われます。それ以外でも社会システムや観衆を含む一般人への普及が考えられることから、それらもターゲットにされる可能性があります。IoTは適用範囲が非常に幅広く、攻撃を受けた場合の被害も甚大になる可能性があるため注意が必要です。

また、大規模イベントの会期中は通勤時間帯の交通混雑が予想され、テレワークを推進する企業が増えると予測されています。セキュリティへの意識が低い在宅勤務者はサイバー犯罪者にとって格好のターゲットです。

テレワークのセキュリティ対策方法

さまざまなセキュリティ上の脅威から自社を守るためには、何をするべきなのでしょうか。テレワークのセキュリティ対策では、「ルール」「技術」「人」の3つの要素をバランスよく強化していくことが大切です。ソフトウェアやネットワークなどの安全性を高めるためにルールや技術の整備をしても、従業員のセキュリティ意識が低いと、怪しいメールの添付ファイルを不用意に開いてしまうなどして簡単に攻撃を受けてしまいます。知識や意識を高めるための啓蒙活動で、リスクを抑えることができます。

情報セキュリティ対策におけるバランスの考え方

画像:情報セキュリティ対策におけるバランスの考え方

参考:総務省 テレワークセキュリティガイドライン(第3版)

その対策例として「ルール」や「技術」では、機密性の高い情報は持ち出せないようにする、各自の端末に保存させずクラウドに遠隔でアクセス権限を切り替えられるようにする、貸与する端末のOSやソフトウェアは最新の状態を保たせる、フィルタリングで従業員の端末から危険なサイトへのアクセスを防ぐなどが考えられます。

ポイントは、IoT機器やリモートデバイスの「棚卸し」

それでは企業は、具体的にどのようなセキュリティ対策から手をつけていけばよいのでしょうか。

現状、サイバー攻撃はメールとWebサイトによる脅威が大きな割合を占めています。特にメール経由は、全体の9割を占め、巧妙化・複雑化しています。「なりすまし」などの手法を活用した攻撃も増えています。そのためメールの文面に乗せられてうっかり添付ファイルを開いてしまう、リンクをクリックしてマルウェアに感染するなどのケースが後を絶ちません。やはり、「請求書」「見積書」「(宅配便の)不在連絡」などを騙るメールが届けば気になってしまうので、こうした被害がなくならないのでしょう。

マルウェアは表向きには問題を起こさず、その裏でシステムの脆弱性を悪用して感染を広げる活動を行うものです。ウイルス対策ソフトによる防御を回避されてしまう可能性が高い攻撃の1つです。

さらに最近ではメールだけではなく、SNSを利用したアタックも増えています。こうした攻撃に対応した最新の製品・サービスを導入した上で、従業員へ適切なセキュリティ教育を施す必要があります。

IoT機器では、ユーザーがインターネット接続を意識せずに使用しているケースが多く、攻撃に気づいていないことがあります。家電への攻撃方法としては、家庭用のブルーレイレコーダーへインターネットから不正アクセスを実施し、マルウェアに感染させ、DDoS攻撃に利用する手法が確認されています。企業においても、部署単位で無許可の無線LANアクセスポイントやリモートアクセス機能を持つ外付ハードディスクを設置していたり、会議室に家庭用ブルーレイレコーダーを設置していたりすることもあるでしょう。これによって外部から不正にアクセスされる危険性が高まります。

昨今では、従業員が個人保有のスマートフォンやタブレット、ノートPCなどのリモートデバイスを職場に持ち込み、業務使用するBYOD (Bring your own device)も拡大しています。それらをオフィス外で使用する時、暗号化が施されていないWi-Fiサービスに接続していないでしょうか。セキュリティの担保されていない無線Wi-Fiを利用することは不正アクセスや情報漏えいにつながります。

こうした攻撃への対策としては、まず社内にあるIoT機器や個人保有のリモートデバイスを洗い出し、設定を確認する、ファームウェアをアップデートする、あるいは社内ネットワークと直接接続しないようにするなど、セキュリティリスクを軽減するための「棚卸し」が第一歩となるでしょう。

関連サービス