ビジネス課題への解決策(アイディア)と、新たな発想(+α)が見つかるIT情報メディア

Menu
  1. TOP
  2. システム運用
  3. テレワークのセキュリティ対策4選 ~あなたのVPNが狙われる~

テレワークのセキュリティ対策4選 ~あなたのVPNが狙われる~

  • LINEで送る
  • このエントリーをはてなブックマークに追加

2020年は新型コロナウイルス対策のため、テレワークを導入する企業が増えた年でした。そして、テレワークを狙う攻撃が多発した年でもあります。例えば、テレワーク中の無防備なパソコンを狙う標的型攻撃や、悪質なWebサイトの改ざん、VPNの脆弱性を突く不正アクセスなど、2020年はさまざまな脅威が発生しました。実際に、独立行政法人情報処理推進機構の調べでは、2020年の情報セキュリティ事故のうち、「テレワーク等のニューノーマルな働き方を狙った攻撃」が組織部門の3位にランクインしています。[注1]安全なテレワークのため、過去のセキュリティ事故の事例を参考にしつつ、あらためてセキュリティ対策を考え直す必要があります。この記事では、テレワークのセキュリティリスクやセキュリティ対策について、わかりやすく解説していきます。

カプコンや三菱重工の情報漏えい事件の背景

2020年に起きたセキュリティ事故のうち、特に規模が大きかったものが、カプコンと三菱重工の情報漏えい事件です。カプコンの事例では、グループシステムにランサムウェア(身代金型ウイルス)の攻撃を受け、累計16,415人分の取引先の個人情報が流出しました。三菱重工でも、社内ネットワークを通じ、従業員の個人情報(氏名やメールアドレス)が流出しています。
特に注目すべきなのは、三菱重工の情報漏えいが発生した経緯です。

  1. テレワーク中の社員が、社用PCでSNS(ソーシャルネットワーキングサービス)を利用し、ウイルスをふくむファイルをダウンロード
  2. ウイルスに感染した社用PCで、社内ネットワークにアクセス
  3. ウイルスが社内ネットワークで感染拡大し、不正アクセスを受ける

すぐに不正アクセスを検知し、通信ログの解析・精査を行ったため、重要な機密情報の漏えいには至りませんでした。しかし、このようなテレワークを狙った攻撃が増えており、セキュリティ対策の見直しが求められています。

テレワークを狙った攻撃の手口3つ

テレワーク中のセキュリティを考え直すには、まず攻撃の手口を知ることが大切です。テレワークを狙う攻撃の代表的な手口を3つ紹介します。

VPNの脆弱性を突く不正アクセス

テレワーク環境を構築する際、多くの企業がセキュリティ対策のため、直接インターネットにつなぐのではなく、VPN(SSL-VPN)を利用します。しかし、VPNの脆弱性を突いた攻撃が増えている点に注意が必要です。その一因として、新型コロナウイルス対策のため、急遽テレワーク環境を整えた企業が多く、OSの更新やメーカーの修正パッチの適用といったセキュリティ対策が不十分である点が挙げられます。実際に、2020年8月にVPNの脆弱性を利用した不正アクセスが発生し、国内の大手企業38社が被害を受けました。

メールなどでウイルスを送りつける標的型攻撃

テレワーク中の社員のPCを狙い、ウイルスを含むメールを送りつける「標的型攻撃」が増えています。PCがウイルスに感染したことに社員が気づかず、そのまま社用ネットワークにつないでしまい、さらに被害が拡大するケースも少なくありません。また、標的型攻撃のターゲットは、自社だけとはかぎりません。ウイルスに感染したPCが別の標的型攻撃の「踏み台」となるケースも多く、自社だけでなく取引先に迷惑をかける恐れもあります。不審なメールのURLや添付ファイルは、絶対に開かない・開かせないことが大切です。

悪質なWebサイトの改ざん

社員が私用PCを用いてテレワークを行う場合に多いのが、「悪質なWebサイトの改ざんに気づかず、マルウェアの感染や個人情報の漏えいにつながる」ケースです。Webサイトの改ざんの具体例として、有名企業のコーポレートサイトの脆弱性を突いてサイト自体を改ざんする手口や、偽のWebサイトを作りの本物のように見せかけたサポートページを表示させる手口があります。被害に遭わないためには、「セキュリティポリシーを策定し、業務用のPCの私的利用を禁ずる」「セキュリティ教育を行い、不正サイトへの注意喚起を行う」といった方法があります。

安全なテレワークのための4つのセキュリティ対策

安全にテレワークを実施するには、何重にもセキュリティ対策を行うことが大切です。ここでは、テレワーク環境下のセキュリティ対策を4つ紹介します。

ウイルス対策ソフトを導入する

セキュリティ対策の基本は、エンドポイント(社員のPC)のセキュリティを高めることです。三菱重工の事例でも、テレワーク中に社員のPCがウイルスに感染したことが起点となって、社用ネットワークに広がり個人情報が漏洩しました。テレワークに使うPCにはウイルス対策ソフトの導入を義務付けることで、ウイルスやマルウェアからエンドポイントを守ることができます。

多要素認証を導入する

テレワーク対応のためにVPNを導入し、社員の自宅から安全に社用ネットワークに接続できるようにしている企業は少なくありません。しかし、VPNの脆弱性を突いたセキュリティ事故が発生しています。OSの更新やメーカーのセキュリティパッチの適用といった対策のほか、効果的なのが「多要素認証の導入」です。多要素認証とは、ID/パスワード(知識要素)とスマホのSMS認証(所有要素)、指紋認証(生体要素)など、複数の認証要素を組み合わせる本人確認方法です。VPNの利用時に、多要素認証による本人確認を行うことで、VPNの不正利用を防げます。

アクセス制限を行う

社内ネットワークへの「アクセス制限」を行うことでも、セキュリティを強化できます。アクセス制限の代表例が、社内ネットワークの境界点へのファイアウォールの設置です。ファイアウォールを通じ、認可されたIPアドレス以外のアクセスを制限することで、社内ネットワークへの攻撃を防ぐことができます。また、ファイアウォールとセットで、IDS(不正侵入検知システム)やIPS(不正侵入防御システム)を導入するのも効果的です。テレワーク環境を守るうえで、セキュリティ対策を何重にも行う「多層防御」の考え方が大切です。

ゼロトラストネットワークへの移行も検討を

しかし、社員がいつでもどこでも仕事ができるテレワーク環境では、「ネットワークの境界点が多すぎて、セキュリティ対策が追いつかない」という側面もあります。また、多層防御を行うと、セキュリティコストが雪だるま式に増えてしまう可能性もあります。その場合は、すべてのアクセスを信用せず、認証認可を行う「ゼロトラストネットワーク」への移行もおすすめです。ゼロトラストネットワークへの移行には時間がかかりますが、テレワーク環境のセキュリティをさらに強化することができます。今後もテレワーク環境が続くことを視野に入れ、ゼロトラストネットワークへの移行も検討しましょう。

関連記事:ゼロトラストとは?~すべてを疑う新しいセキュリティコンセプト~

まとめ:テレワークを狙う攻撃の手口を知り、セキュリティ対策を

カプコンや三菱重工の情報漏えい事件をきっかけとして、改めてテレワーク環境下のセキュリティ対策が見直されています。「標的型攻撃」「VPNの脆弱性を突く不正アクセス」「Webサイトの改ざん」など、テレワーク中の社員はさまざまなセキュリティリスクに晒されています。多要素認証やアクセス制限といった多層防御の実現のほか、ゼロトラストネットワークへの移行により、改めてテレワーク中のセキュリティ対策を考え直しましょう。


[注1] 独立行政法人情報処理推進機構:プレス発表 「情報セキュリティ10大脅威 2021」を決定
https://www.ipa.go.jp/about/press/20210127.html

新里 亮太

執筆者情報:

新里 亮太(しんざと りょうた)

株式会社ユニリタ クラウドビジネス事業本部
ITマネジメントイノベーション部 プロモーションフォースグループ リーダ
兼 DXアクセラレーション部

働き方改革基盤「Digital Workforce」のセールス・プロモーション活動で培った経験をもとに、企業の生産性向上・セキュリティ対策について情報発信しています。

登壇実績
・日経産業新聞フォーラム
「デジタルワークプレイスで実現する生産性と従業員満足度の向上」

メールマガジンの登録はこちらから
メルマガ登録 お問い合わせ