5つの事例から学ぶ、テレワークの情報漏えい対策

5つの事例から学ぶ、テレワークの情報漏えい対策

テレワークなど場所を選ばない働き方が広まってきた今日、遠隔地で業務をする場合「PCやスマホなどの社用デバイスの持ち出しによる情報漏えいのリスク」は避けて通れません。

そこで、今回の記事では、テレワーク時に情報漏えいが起こる原因と対策について解説します。過去に実際に起きた「情報漏えいの事例と対策」もまとめているので、ぜひご一読ください!

テレワーク時の基本的な情報漏えい対策として、何をすべき?

テレワークで情報漏えいが起こる主な原因は「基本的なセキュリティ対策不足」です。

では、その「基本的なセキュリティ対策」とは何を指すのでしょうか?まず、次の3つの要素をご覧ください。

対策の種類 対策の例
ルール ・テレワークでもセキュリティが担保できるルールの策定
・例1:インターネット回線に、公衆Wi-Fiを使わない
・例2:パスワードがわかるメモを、パソコンの近くに置かない
・eラーニングなどを活用した、情報セキュリティ教育の実施
・セキュリティレベルが確認できる、簡単なテストの実施
技術 ・ウイルス対策ソフトの導入
・IT資産管理ツールの導入
・ハードディスク暗号化ソフトの導入

たとえば完璧なルールが整っていたとしても、「ルールを守る人」が少なければ効果は落ちてしまいます。

また、仮にルールを守る人が多かったとしても、以下のようにウイルスに感染してしまい、情報漏えいにつながってしまうケースもあります。

・Windows Updateを忘れてしまい、攻撃を受けてウイルスに感染してしまった
・禁止ソフトウェアと気づかずダウンロードしてしまい、ウイルスに感染してしまった

これらは注意するだけで防ぐことは難しいため、技術的な対策が必要となってきます。

このように、「ルール」「人」「技術」の3つのバランスを保ちながら、対策を練っていく必要があるのです。

ちなみに、テレワーク時のセキュリティ対策の基本については、総務省の「テレワークセキュリティガイドライン」にも詳しく記載されています。

情報が詳細にまとまっているので、一読しておくのがおすすめです。

ただ「そもそも、情報漏えいってそんなに被害がでてるのかな…」と疑問に思っている人もいるのではないでしょうか。

次に、これまでの情報漏えい被害について解説していきます。

これまで情報漏えいでどのぐらいの被害が出ているのか?

東京商工リサーチ(民間信用調査機関として、100年以上の実績のある調査会社)がまとめたデータを見てみましょう。

「上場企業の個人情報漏えい・紛失事故」調査
引用元:「上場企業の個人情報漏えい・紛失事故」調査

上図のデータをまとめると、以下の通りです。

事故が起きた企業数 372社
事故が起きた件数 685件
事故が起きた際に流出した人数 8,889万人

過去8年間で実に9000万人近くの個人情報が流出しており、日本の総人口を考えると、その割合は7割。もちろん重複している可能性は高いものの、非常に多くの個人情報が実際に流出しているといえます。

では具体的にはどのような事例があり、どう対策していくべきなのでしょうか?

ここからは5つの事例に分けて、情報漏えいが起こる原因と対策について解説します。

5つの事例から学ぶ情報漏えいの原因と対策

・事例1:Zoomなどのビデオ通話アプリの脆弱性を突いた攻撃
・事例2:Slackなどのコミュニケーションツールの不正アクセス
・事例3:PC端末の紛失・盗難による個人情報の流出
・事例4:ウイルス感染による不正侵入・踏み台
・事例5:メールの誤送信によるユーザー情報の流出

ここでは、上記5つの事例に分けて情報漏洩の原因と対策を解説します。

事例1:Zoomなどのビデオ通話アプリの脆弱性を突いた攻撃

ダークウェブ上で運営されている犯罪者向けフォーラムの1つをCybelが調査したところ、1アカウント当たり約0.2セント(約0.22円)で約53万個のZoomアカウントを入手できてしまったそうだ。取得した情報には、各アカウントのメールアドレス、パスワード、個人用ミーティングURLとそれらのホストキーが含まれていた。なかには、銀行や教育機関に関係するアカウントも存在した。

出典:50万個超の「Zoom」アカウントがダークウェブで販売中–パスワードの使い回しは危険

テレワークでよく使われるようになったビデオ通話アプリ『Zoom』で起きた、情報漏えいの事例です。情報漏えいの経緯や詳細は不明ですが、約53万個のZoomアカウントが売買されていました。

他にも、Zoomは以下のようなセキュリティ上の問題が見つかっています。

①iOSのZoomアプリから、Zoomのユーザー情報が無断でFacebookに転送されていた
→iOS用のFacebook SDK(ソフトウェアの開発キット)を削除して対応済み

②Zoomのクライアントアプリに脆弱性が見つかり、ログイン情報が流出する危険があった
→既に修正されており、最新版にアップデートすれば問題は解消済み

③エンドツーエンドの暗号化通信になっていなかったため、Zoom社が会話の内容を複号(入手)できる状況にあった
→Zoom無料ユーザーにもエンドツーエンド暗号化が利用できるよう変更し、対応済み

いずれも既にアップデートで改善されており、安全面での問題は少なくなっています。

ただ、アップデートは意外と忘れがちなので、もし社内で使っている場合は端末のアップデート確認が必要です。

事例2:Slackなどのコミュニケーションツールの不正アクセス

不正アクセスを受けたことを公式ブログ記事で明らかにした。ログイン情報やメールアドレスなど、ユーザーのプロフィール情報が流出した可能性があるとしている。

出典:「Slack」にハッキング、ユーザ情報が流出か

コミュニケーションツール『Slack』で、2015年に不正アクセスが起きた事例です。

いくら自社で気を付けていても外部から情報が漏れてしまうケースもある以上、下記のような対策が必要です。

・IDやパスワードの使いまわし禁止と、定期的な変更
→毎月初に社内で全員のパスワードを必須で変更するタイミングを作るなど、定期的な変更

・二段階認証の設定
→ID、パスワード認証のほかに、別の方法(認証アプリ、SMSで取得した認証コードなど)での認証を必要とする。

事例3:PC端末の紛失・盗難による個人情報の流出

ホテルのフロントにおいて、パソコンが入ったバッグごと盗難に遭っております。このパソコンには … 延べ679名分の個人情報が保存されておりました。

出典:個人情報の紛失に関するお詫びとお知らせ

パソコンを入れていたバッグが盗難されたことにより、個人情報が漏えいしてしまった事例です。

基本的なPCの盗難対策としては、盗難を前提にきちんと管理しておいたり、カフェなどでは持ち去り防止用のセキュリティワイヤーを使用したりなどが考えられます。

ただ、盗難されてしまうリスクを、完全に防ぎきることは難しいものです。そこで、盗難にあった場合に、情報が漏えいしないような対策を並行して行うことが重要になります。

たとえば、以下のような対策です。

・ディスク暗号化ソフトを使って、ハードディスクを暗号化しておく
→Windows 10 Pro以上の場合は、ドライブ暗号化機能『BitLocker』で暗号化できる

・盗難されたPCを、リモート操作でロックできるソフトを入れておく
→IT資産管理ツールを使って、リモートロック(停止)やリモートワイプ(削除)できる

事例4:ウイルス感染による不正侵入・踏み台

Aさんのパソコンはインターネットの掲示板でコンピュータウイルスに感染し、真犯人がAさんのパソコンを遠隔操作して、ホームページへの犯行予告の書き込みをしたため、本人の自覚がないまま犯罪に加担させられてしまったのです。
出典:事例10:自分の名前で勝手に書き込みが・・・

PCを乗っ取り、PC所有者が書き込んだかのように見せる「踏み台攻撃」の事例です。

踏み台攻撃の原因は、主にウィルス感染です。そして、この事例と同じように、巧みに不正なリンクに誘導されてしまうケースもあります。

仮に踏み台に使われた場合、企業として恐ろしいのが「信用の失墜」です。真犯人が見つかったとしても、セキュリティレベルへの不安から取引先が減ってしまいかねません。

踏み台の対策としては、以下の3つが有効です。

・OSやソフトウェアを常に最新にアップデートする
・不正サイトへのアクセスを防止できるツールを導入する
・未知のマルウェア・ウイルスに対策できるツールを導入する

上記3つの対策ができるのが、「IT資産管理ツール」です。おすすめのIT資産管理ツールについては、後ほどご紹介します。

事例5:メールの誤送信によるユーザー情報の流出

お店からメールマガジンが届けられましたが、… 電子メールのヘッダに大量のメールアドレスが記載されています。… 実は、ここで記載されている大量のメールアドレスは、メールマガジンの他の登録者のものだったのです。

出典:事例3:顧客のメールアドレスが漏洩

メール送信時の宛先を「TO」や「CC」にしてしまい、登録者のユーザー情報がメール送信者に漏れてしまった事例です。

メールソフトに直接宛先を入れている場合、操作ミスにより情報漏えいしてしまうケースはあります。

メール誤送信の主な対策は、以下の2つです。

・時間をおいて再チェックできる仕組みに変える
→たとえばOutlookだと「接続したら直ちに送信する」の設定を外せば、すぐに送信せず「送信ボックス」に留めておくことが可能です

・メール誤送信を防止できるアドインや、ツールを導入する

すぐにできる対策もあるので、できるところから対策をしましょう。

情報漏えい事例とその対策のまとめ

ここまで5つの事例を紹介してきました。

・事例1:Zoomなどのビデオ通話アプリの脆弱性を突いた攻撃
・対策:利用しているZoomアプリを最新版にアップデートする
・事例2:Slackなどのコミュニケーションツールの不正アクセス
・対策:メールアドレス・パスワードの設定を見直し、二段階認証も設定する
・事例3:PC端末の紛失・盗難による個人情報の流出
・対策1:『BitLocker』などでハードディスクを暗号化する
・対策2:盗難されたPCを、リモート操作でロックできるソフトを入れる
・事例4:ウイルス感染による不正侵入・踏み台
・対策1:OSやソフトウェアを最新にアップデートする
・対策2:不正サイトへのアクセスを防止できるツールを導入する
・対策3:未知のマルウェア・ウイルスに対策できるツールを導入する
・事例5:メールの誤送信によるユーザー情報の流出
・対策1:時間をおいて再チェックできる仕組みに変える
・対策2:メール誤送信を防止できるアドインやツールを導入する

このように、情報漏えいが問題となってしまう事例はとても多いものです。ただ、IT資産管理ツールの導入により、ほとんどの問題を防ぐことができます。

具体的にはどういうことか。IT資産管理ツールについて解説します。

テレワーク時の情報漏えい対策におすすめの「IT資産管理ツール」とは?

IT資産管理ツールとは、IT資産を管理して守るためのシステムで、以下のような「情報漏えいを防ぐ機能」があります。

▼URLフィルタリング:不正サイトへのアクセスを防止できる
URLフィルタリング:不正サイトへのアクセスを防止できる

▼禁止ソフトウェア起動制御:禁止ソフトウェアの起動を防止できる
禁止ソフトウェア起動制御:禁止ソフトウェアの起動を防止できる

▼ふるまい検知:未知の脅威が見つかっても、攻撃をブロックできる
ふるまい検知:未知の脅威が見つかっても、攻撃をブロックできる

また、セキュリティ対策の状態を正しく管理できる、以下のような機能もあります。

・自動脆弱性診断:サイバー攻撃で狙われやすい「PCの脆弱性」を自動で診断できる
・BitLocker管理・制御機能:PCのハードディスクの暗号化状況を確認・制御できる

なかでも、BitLocker(windows10標準搭載の暗号化ツール)の状況を一括管理できる機能は効果的です。盗難にあった場合、リモート操作で停止やデータ削除をして、被害を最小限に防ぐことができます。

なお、これらは全てISM CloudOneという資産管理ツールの機能です。

「機能はたくさんあって便利そうだけど、使いやすいのかな…」「実際に機能を使って、どんなことができるか試してみたい!」と思った方は、通常版を30日間無料でトライアル利用することも可能です。期間内にPCの自動脆弱性診断もできますし、

利用のイメージもしやすくなるので、ぜひ一度ご検討ください。

また、「IT資産管理をするメリット・デメリットについて、もう少し詳しく知ってから導入を判断したい……」という方は、以下の記事をご覧下さい。
IT資産管理とは?クラウド型資産管理ツールがおすすめな理由

まとめ:過去の事例を参考に情報漏洩の対策をしよう

今回は、テレワーク時に情報漏えいが起こる原因・対策について解説しました。最後に、今回の内容をまとめます。

・情報漏えいを防ぐには、「ルール」「人」「技術」のバランスのとれた対策が必要
・2012年~2019年までのデータでは、約8,889万人の情報漏えいが起きている
・情報漏えいを未然に防ぐ対策として、IT資産管理ツールの導入がおすすめ

情報漏えいは、注意しているだけでは防ぎきれないことも多いです。

IT資産管理ツールを導入して、なかなか気づきにくいPCの脆弱性を管理したり、盗難時の対応の準備をしたりと、対策を練ってみてはいかがでしょうか。