テレワーク環境では、パソコンなどの端末のセキュリティ対策が手薄になりがちで、標的型攻撃やランサムウェアなどのサイバー攻撃の被害に遭うなど、企業にとってのリスクも高くなる。情報セキュリティ製品・サービスの活用とともに、脅威を理解し情報資産を保護するためのトレーニングなど、「ルール」と「人」「技術」のバランスが取れた対策を、経営者やIT部門が主導することが必要だ。
テレワークでも
セキュリティ対策は万全か
コロナ禍でテレワークの導入が一気に進んだ。以前から働き方改革の一環としてテレワークを進めていた企業は、在宅勤務に必要なIT環境や情報セキュリティ対策の準備ができていたかもしれない。だが、緊急事態宣言を契機に急遽テレワークを導入せざるを得なくなった企業の中には、セキュリティ対策の課題を残したまま、テレワークを実施しているケースも見受けられる。
柔軟な働き方が可能なテレワークは、ニューノーマル時代の新たなワークスタイルとして定着しつつある。しかし、既にテレワークを導入している企業はもちろん、導入を検討中の企業も、安全・安心な業務を行うためにセキュリティ対策を強化する必要がある。
これまで社内で仕事をしていたときには、社内ネットワークとインターネットの境界にファイアウォールやウイルス対策などのセキュリティ設備を置いて、外部からの攻撃を防いできた。しかし、テレワーク環境ではこうした境界がなくなり、メールやWebを悪用した標的型攻撃やランサムウェアなどのサイバー攻撃を受けるリスクが高くなる。
身代金を要求するランサムウェアの手口も巧妙化している。かつては攻撃者がウイルスを添付したメールを送り付け、不特定多数のパソコンやサーバーのデータを暗号化して業務を妨害。データの復号化と引き換えに金銭を要求するタイプが一般的だった。
近年は、あらかじめ対象を特定した標的型攻撃と同様の手口で、企業・組織のネットワークに侵入する形が増えている。重要な情報が保存されているサーバーに狙いをすましてランサムウェアを感染させ、「身代金」を支払わざるを得ない状況に追い込むなど、手口が巧妙化している。
標的型攻撃では、テレワークの端末が踏み台になって社内システムにマルウェアが拡散するといった事態も考えられる。万一、顧客・取引先などの情報が窃取されれば、社会的な信用を失いかねない。具体的に、テレワーク環境下でセキュリティを強化するにはどうしたらいいのだろうか。
