テレワークのセキュリティを 今一度見直すべき理由とは?

世界の企業の80%は、テレワークをしている従業員が企業に対するサイバー攻撃の脅威に適切に対処できると考えていることが、ESETが実施した調査で明らかになりました

ESET Corporate blog 11 Mar 2021

世界の企業の80%は、テレワークをしている従業員が企業に対するサイバー攻撃の脅威に適切に対処するために必要な知識とテクノロジーを持っていると考えていることが、ESETが実施した調査で明らかになりました。

ESETは、ファイナンステクノロジー(フィンテック)に関するグローバルな調査を英国、米国、日本、ブラジルの企業の管理職1200名を対象に実施し、セキュリティやフィンテックに対する意識を調査しました。

多くの企業がサイバー脅威への対応について自信を示す一方で、同じ調査の中で、これらの企業の4分の3近く(73%)がサイバーセキュリティインシデントの影響を受ける可能性が高いと考えています。さらに半数は、過去にサイバーセキュリティ侵害を経験したことがあると回答しています。このデータから、企業が従業員の安全性について過大に評価している恐れがある傾向が見えてきます。

新型コロナウイルスの感染拡大を防止するためのロックダウンが始まってから、リモートワーカーを標的としたサイバー犯罪が大幅に増加したことは周知の通りです。新型コロナウイルスはその強い感染力によってパニックを引き起こし、多くの企業がリモートワークへと急速に移行せざるを得なくなりました。このような状況の中で、サイバー犯罪者はさまざまな手法で個人や組織に対する攻撃を多く成功させています。

従業員がオフィスを離れ、さまざまな場所、デバイス、ネットワークに分散して業務を行う中で、セキュリティ体制の不備を露呈している企業も存在します。多くの企業は、従来のオフィスで利用していたファイアウォールを中心とするアプローチから、新しい分散型のモデルへの移行を余儀なくされています。ESETの調査によると、大多数の企業は、従業員が新しい環境におけるリスクにも対処できると考えていますが、企業がそのリスクを過小評価していることを示唆する新たな課題もいくつも発生しています。

リモートワーク固有のリスク

在宅で仕事をする場合、従業員は個人のホームルーターからインターネットに接続しています。これにより、会社のデータが公共ネットワークで発生するあらゆる危険性にさらされる恐れがあります。そのため、企業のイントラネットにアクセスするときには、仮想プライベートネットワーク(VPN)を使用して、暗号化された安全な接続を作成することが重要です。

しかし、通信速度が低速なインターネット、注意が散漫になりやすい自宅という環境、単純な失念などの問題により、どれだけセキュリティに注意している社員でもミスをして、VPNを使用せずに会社のイントラネットに接続してしまうことがあります。これは、個人や会社のデータを盗み見しようとするサイバー犯罪者に付け入る隙を与えることになります。そのため、VPNを使用していない場合、従業員に社内システムへの接続を許可しないようにする必要があります。セキュリティを強化するために、イントラネットにアクセスするためにパスワードの他にワンタイムコード(多要素認証)を入力するよう従業員に求めることも重要な対策です。

在宅で作業するときのもう1つの問題点は、いくつものデバイスを使いたくなることです。私たちは、インターネットと切り離すことができない世界に生きています。人との付き合いやレジャー活動が制限されている中で、パソコンやモバイルデバイスを利用する時間はさらに増えています。個人用のデバイスには企業から支給されるデバイスと同等レベルの保護機能が実装されていないことが多くあります。これらの個人用のデバイスでメールをチェックしたり、ちょっとした作業をすることは、潜在的に危険な行動になります。

同じように、Torrentサイトやアダルトサイトに業務用のデバイスからアクセスしてしまうことも、在宅勤務では起こりがちです。このようなサイトにアクセスすると、業務用のノートパソコンがオンラインの脅威に晒される恐れがあります。これらのデバイスが企業の貴重なデータにつながっている場合は特に危険です。

最後に、パンデミックの状況下で大きな脅威となっているのがフィッシングです。多くの方の健康が脅かされるリスクがある中で、攻撃者はその不安や恐怖に付け入り、説得力のあるフィッシングメールやテキストメッセージを作成しています。従業員は悪意のあるリンクや添付ファイルをクリックし、ソーシャルエンジニアリング攻撃を受ける危険性が高まっています。

従業員と企業の安全を確保するために

リモートワークによってチームや同僚との関わり方も変化しました。各従業員が自分自身と企業を守るために必要なステップをどの程度認識しているかを把握するのは難しいことかもしれません。そのため、サイバーセキュリティ対策についての定期的なトレーニングやガイダンスを実施することが重要です。

全ての従業員がデバイスとファイルを常に安全に利用できるようにする必要があります。このためには、安全でない接続やデバイスの使用、リンクの不用意なクリック、危険なWebサイトへのアクセスなどの行動によって引き起こされる危険性を全員が認識しなければなりません。リモートで安全に作業する方法について、ESETのチーフセキュリティエバンジェリストのTony Anscombeが、WeLiveSecurityで大切なヒントを説明しています。

インターネットには危険が溢れており、脅威を完全に排除することは実際には非常に困難です。サイバーセキュリティについての知識がどれほどあっても、誰でもミスをする可能性があります。そのため、企業のセキュリティを守るためには、信頼性の高い実績のあるセキュリティソフトを利用することがこれまで以上に重要です。ESETの法人向けのソリューションの詳細については、こちらのWebサイトをご覧ください。