●BYOD、クラウドサービスが抱えるリスクとは?

東京五輪開催まで、あと5カ月となった。7月24日から8月9日までの大会期間中、首都圏を中心に交通の混雑が予想される。これに伴い、首都圏の企業では通勤が困難になることから、その解決策として、政府はテレワークを推奨している。

テレワークを導入するとなると、システムの準備、労務管理の見直しなどを行う必要が出てくるが、セキュリティ上の不安から、テレワーク導入に踏み切れない企業も多いのではないだろうか。

そこで本稿では、テレワークに対するセキュリティ対策を検討する上で参考になると思われる、総務省が公開している「テレワークセキュリティガイドライン」のポイントを紹介する。

○テレワークにおけるセキュリティの脅威とは?

最新の「テレワークセキュリティガイドライン」は、2018年に公開された第4版である。第4版では、クラウドサービスを利用する場合の対策、無線LANの脆弱性対策などが追加されている。また、具体的な対策については、「実施するべき基本的な対策」(基本的対策事項)と、「実施することが望ましい対策」(推奨対策事項)に分かれており、優先すべき対策がわかりやすくなっている。

ガイドラインでは、テレワークは、インターネットを経由した攻撃を防御する対策がなされたオフィスと異なり、マルウェアなどの感染、端末や記録媒体の紛失・盗難、通信内容の盗聴などの「脅威」にさらされやすいと指摘している。

テレワークにおける脅威と脆弱性について 資料:総務省「テレワークセキュリティガイドライン(第4版)」

こうした脅威に対し、「ルール」「人」「技術」のバランスがとれた対策を実施することがポイントとなるという。

また、テレワ―クを実現する手法は複数あるが、ガイドラインでは手法を6つに分けて、それぞれの手法に対するセキュリティ対策の考え方を示している。端末にデータが保存される場合はその管理が必要となり、また、オフィスの環境を遠隔操作する場合は、インターネット回線に操作性が左右されるなど、手法によって一長一短がある。

テレワークの6種類のパターン 資料:総務省「テレワークセキュリティガイドライン(第4版)」

○BYOD、クラウドサービスのリスクは?

テレワーク導入時の課題の1つが、社外で利用する端末の整備だろう。会社が端末を貸与するか、社員の私用のPCを流用する「BYOD(Bring Your Own Device)」を認めるか。端末のコストだけを考えれば、BYODのほうが安く済む。しかし、私用端末を利用するとなると、追加のセキュリティ対策が必要になるほか、管理が不十分になるおそれがある。

ガイドラインでは、私用端末と相性がよいテレワークの手法として、「リモート デスクトップ方式」「仮想デスクトップ方式」「セキュアブラウザ方式」「ア プリケーションラッピング方式」の4種類を挙げている。これらの方式では、端末にデータが保存されないからだ。コストとリスクを考慮した上で、自社に適した端末を選択することが必須となる。

また当初は、「セキュリティが不安」と言われていたクラウドサービスだが、今では「自社でサーバを抱えるよりも安全」と評価されるようになり、あらゆる規模の企業で導入が進んでいる。テレワークの観点から見た場合、クラウドサービスはどんなインパクトをもたらす可能性が考えられるのだろうか。

ガイドラインでは、「(コスト、運用面に加え)テレワークの観点からも、クラウドサービスへの移行はメリットがある」としている。というのも、オフィス内のサーバをクラウ ドサービスに移行することで、従来、ファイアウォールに外部から内部にアクセスするためのポートを開ける必要があったが、これが不要になるからだ。

ただし、パブリッククラウドはインターネットからのアクセス を前提とするものであるため、外部からの攻撃を受けやすいことに留意しなければならないともアドバイスしている。パスワードを盗まれたら、当然、データも盗まれてしまうことになる。

加えて、無料で使えるクラウドサービス(Webメール、グループウェア、SNS)のアカウントを個人で取得してテレワークに活用するケースも増えているが、ここにも注意が必要だ。ガイドラインでは、注意点として以下を挙げている。

個人アカウントでクラウドサービスを利用することで、私用PCに業務情報が意図せずに同期されてしまったり、無関係の第三者と共有されたりしてしまう危険性を把握しておく

悪意の第三者による乗っ取りやなりすましを防止するため、個人で取得したアカ ウントも厳格なパスワード管理を行う

無償の代償として、書き込まれた内容に応じた広告が表示された り、クラウドサービスの利用状況を統計的に分析した結果をクラウド事業者 がマーケティング情報として販売したりすることがあるが、こうした状況を避けたいのであれば有償サービスの利用を検討する

●マルウェア、端末紛失・盗難への対策のポイントは?

「テレワークセキュリティガイドライン(第4版)」では、セキュリティ対策の大枠を示したうえで、具体的なセキュリティ対策として、マルウェア、端末の紛失・盗難、重要情報の盗聴、不正アクセス、外部サービスの利用に対する対策を紹介している。

○セキュリティ対策の大枠のポイント

セキュリティ対策の大枠において核となるのが「セキュリティポリシー」だ。テレワークの実施にかかわらず、企業として、セキュリティポリシーを定めておく必要がある。

セキュリティポリシーは、全体の根幹となる「基本方針」、基本方針に基づき実施すべきことや守るべきことを規定する「対策基準」、対策基準で規定された事項を具体的に実行するための手順を示す「実施内容」から構成される。これらの内容は経営戦略、企業規模、保有する情報資産、業種・業態などにより異なるため、自社の企業活動に合致したポリシーを策定することが重要となる。

加えて、社内の情報資産を「機密情報」「業務情報」「公開情報」といった形で3つ程度に分類し、「公開情報」以外の情報資産の取り扱い方法を決めておく必要がある。テレワークでは、持ち出された情報が外部に漏洩するリスクが高まることから、「業務情報」と「公開情報」のみを持ち出し可能となることが考えられる。

分類については、情報資産の利用者が識別できるようにしておく。例えば、電子データはフォルダを分けておくほか、ファイル名に【機密】を入れるなどの方法がある。

また、システム側の対策としては、電子データを保存するフォルダにアクセス制限を設定して、機密情報を閲覧・編集する必要のないユーザーや端末からアクセスできないといったことがある。

○マルウェア対策のポイント

基本対策として、ウイルス対策ソフトウェアを導入した上で、テレワークのユーザーは、社外のWebサイトへのアクセスを必要最小限にとどめるとともに、アクセスする前にOSやブラウザ、Flash PlayerやAcrobat Readerといった関連するア プリケーションのアップデートを済ませておくことが必要となる。

また、ウイルス対策ソフトにおいては、常に最新の定義ファイルが適用されているようにすることが挙げられている。加えて、OSや他のソフトウェアについてもアップデートが適用された最新の状態を保つ必要がある。

加えて、不審なメールを受け取った場合は、メールを開かずに隔離することを心がけることも重要となる。

システム側の推奨の対策としては、フィルタリングなどを用いて、テレワークのユーザーが危険なサイトにア クセスしないように設定することが紹介されている。

○端末の紛失・盗難の対策のポイント

会社から貸与されたPCを利用するケースにおいて、テレワークのユーザーに対しては、情報資産の原本を安全な場所に保存しておくことが推奨される。これにより、端末が手元からなくなっても、データは復旧することができる。

また、やむをえず機密性が求められるデータを利用する場合は、暗号化して保存することで端末の不正アクセスやデータの不正利用を防ぐことが可能になる。

さらに、喫茶店や交通機関などの第三者と共有する環境でテレワーク作業を行う場合、端末を他者に利用されないようにするために、パスワードのほか、 指紋や顔認証などによるユーザー認証、操作画面の自動ロックなどの設定を行う必要がある。

●重要情報の盗聴、不正アクセス、外部サービス利用の対策のポイントは?

○重要情報の盗聴の対策のポイント

テレワーク利用者の基本対策としては、安全を確保するため、オフィスと電子データのやりとりを行う場合は、 VPNなど通信経路を暗号化した状態でやりとりできる経路を用いることが必要とされる。

また、自宅で無線LANを利用する場合は、「無線LANルータでWPA2による通信経路の暗号化を行い、外部から推測されにくいパスワードを設定する」「端末に無線LANに関する脆弱性が存在しない状態にする」といったことが基本対策となる。

加えて、外出先などで不特定の利用者を対象とする無線LANのアクセスポイントを利用する場合は、以下のいずれかの条件を満たす方法で利用する。

VPNを経由した利用

URLが"https:"で接続されるようなWebサービスに限定した利用

信頼できるアプリケーションの利用

漏洩しても問題が生じるおそれのない用途に限った利用

無線LAN 利用上のリスク  資料:総務省「テレワークセキュリティガイドライン(第4版)」

○不正アクセスの対策のポイント

システム管理者の基本対策としては、テレワーク利用者からの社内システムにアクセスするための認証について、多要素認証方式を用いたり、電子証明書を併用したりするなどの技術的基準を明確に定め、適正に管理・運用する必要がある。

また、端末にデータを保存しない「リモートデスクトップ方式」や「仮想デスクトップ方式」を利用していても、端末と共にアカウントとパスワードが漏れてしまうと、不正アクセスを許してしまうおそれがある。したがって、端末にパスワー ドなどの認証に関する情報を保存しないようにするといった対策も必要となる。

加えて、社内システムとインターネットの境界線にファイアウォールやルータを設置し、アクセス状況を監視するとともに、不必要なアクセスを遮断する。

○外部サービス利用の対策のポイント

Facebook、Twitter、InstagramなどのSNSは便利である一方、業務に関する内容までやりとりすると、業務内容の漏洩につながるおそれがある。

そのため、システム管理者は基本対策として、SNSの利用に関して、「業務上の守秘義務が課せられている内容を扱わない」「法律や倫理に反する発言や、事実に基づかない発言を行わない」といった内容を定めたルールやガイドラインを整備し、テレワーク利用者に周知しておく必要がある。

また、ファイル共有サービスの利用にあたっては、以下の内容を含むルールを整備することが必要となる。

あらかじめ指定したサービスのみを利用する

ファイルをアップロードする際は、あらかじめファイルを暗号化しておく

相手のダウンロードが完了したら、ファイルを速やかに削除する

以上が、総務省「テレワークセキュリティガイドライン(第4版)」のポイントとなるが、いずれも目新しい内容ではなく、テレワークに限らず、企業においてITを安全に活用する上では必須の対策と言える。

したがって、テレワークを導入する企業は、まずは現在のセキュリティポリシーが実情に即したものであるかを検討することから始めてみてはどうだろうか。