新型コロナウイルス感染症の流行をきっかけに一気に普及が進んだテレワーク／リモートワーク。今後も出社と組み合わせつつ、活用することを見据える企業は少なくないはずです。しかし、社内から自宅や外出先へ場所が広がることで新たなセキュリティ上のNGパターンが生じるのもまた事実。IPA（情報処理推進機構）の調査（※）によると、「テレワークに関する社内規定・規則・手順等が守られている」ことを確認していない、またはいなかった企業は、2020年末の調査時点で、委託先（IT企業）で33.6％、委託元（ユーザ企業）で54.6％存在します。

本記事で、テレワーク／リモートワークのNGパターンを押さえ、そのリスクと対策・ルールの周知に努めましょう。

※…ニューノーマルにおけるテレワークとITサプライチェーンのセキュリティ実態調査 最終報告（情報処理推進機構）

NGパターン1「SSID・パスワードが初期設定のまま」

「10年前に買った無線LANルーターを初期設定のまま使っていたAさん。パスワードの脆弱性を利用した第三者が、社内ネットワークに不正にアクセスすることを許してしまった」

『無線LAN利用者に対するアンケート調査集計資料』（総務省）によると、自宅無線LANの管理用パスワードを初期値から変更している人は全体の約1割（10.1％）とのこと。暗号化パスワードを変更している人の割合も14.1％に過ぎず、アクセスポイント名を示すSSIDも同様の状況と考えられます。無線LANルーターに初期値として設定されているSSIDやパスワードは調べればすぐに分かる場合もあり、不正なアクセスによるハッキングの温床となりかねません。テレワークの実施にあたっては「WPA2」「WPA3」などの暗号化方式を利用しているかや、SSID・パスワードを変更しているかなど、無線LAN周りの設定を確認し、ガイドラインで指示することが求められます。

NGパターン2「ルール・ガバナンスなしの勝手BYOD」

「使い勝手がよいからとリモートワークで個人所有のPCを使っていたBさん。セキュリティ設定を怠っていたことからマルウエアに感染し、被害は企業全体に広がった」

個人所有の端末を業務に用いる「BYOD（Bring Your Own Device）」はルールやガバナンスを守って導入すれば、個人・企業の双方にメリットをもたらしてくれますが、報告なしの「勝手BYOD（シャドーIT）」はセキュリティ上のリスクとなります。テレワーク／リモートワークでは人の目が届きにくくなることで勝手BYODへの心理的ハードルが下がり、個人端末が利用される確率は高まります。私有デバイスの利用許可申請や秘密保持契約をリモートワーク開始のプロセスとして盛り込み、リスクを伝えるとともにルールの順守を求めましょう。

NGパターン3「OSやソフトウエアがアップデートされていない」

「OSやソフトウエアのアップデートの必要性を感じず、古いバージョンのままでPCをリモートワークに用いていたCさん。脆弱性を突かれ、マルウエア感染の被害に遭ってしまった」

『2019年度情報セキュリティに対する意識調査』（IPA）によると、「Windows Update等によるセキュリティパッチの更新を実施している」PC利用者の割合は全体の50.8％に過ぎません。企業内に設置されたPCであればシステム担当者がアップデート状況を一括して管理できますが、リモートワークを行う場合などは、アップデートやパッチ適用を適切に実施するためのルール設定やツールの導入が不可欠です。

NGパターン4「不正な公衆無線LANに接続する」

「外出先のカフェで無料のWifiを使い、プレゼン資料を編集していたDさん。悪意ある攻撃者から通信に介入され、機密情報を盗聴されてしまっていた」

いつでもどこでも業務に携われるのがリモートワークのメリットですが、その分不正なネットワークに接続してしまうリスクも高まります。前述の『無線LAN利用者に対するアンケート調査集計資料』（総務省）によると、公衆無線LANサービス接続時に、無線区間の暗号化の有無を常に確認している人の割合は全体の10.2％しか存在しません。また、外出先の無線LAN利用でSSIDを常に確認している人も31.3％と半分以下。暗号化のされていない通信による盗聴や、偽アクセスポイントによる不正アクセスの被害を防ぐためには、モバイルWifiやVPNなどの対策を導入した上で、従業員教育も徹底することが不可欠です。

NGパターン5「デバイスから目を離す・紛失する」

「業務用のスマートフォンとPCが入ったカバンを電車の網棚に置いたEさん。その日は酔っていたこともあり、そのままカバンごと紛失してしまった」

サイバー攻撃の被害の多くは、人間の油断やミスにつけこむソーシャルエンジニアリングによって引き起こされています。リモートワーク中にノートPCやスマートフォン、USBメモリなど機密データが含まれるデバイスを置き忘れて盗まれてしまうという事例は毎年見られます。また、トイレや電話などのため離席する際、PCを席に置いたままにしてしまっている人を皆さんも一度は見たことがあるのではないでしょうか。このような事態を防ぐために社員教育を徹底するとともに、万が一置き忘れや紛失が発生した場合に備えてPC・スマートフォン内にデータを残さない、あるいは遠隔でロックや消去ができる仕組みを導入しておきましょう。

世間一般の情報セキュリティ意識に合わせてガイダンス・ルールの整備を

テレワーク／リモートワークで避けるべきNGパターンとその対策についてご紹介してまいりました。いずれも基本的な事項であり情報セキュリティ担当者にとっては常識ですが、世間の多くの方の意識はまだまだそのレベルに達してはいません。コロナ禍を経てリモートワークでの働き方が増えてきた今だからこそ、ガイダンスやルールを万全に整えましょう。