2024.09.04

中小企業におけるセキュリティ脅威への対策強化〜テレワーク時代の新しい働き方に潜むリスクと対策を学ぶ〜

独立行政法人情報処理推進機構（IPA）が毎年発行している「情報セキュリティ10大脅威2024」から、中小企業の経営者やシステム担当者が注目すべき点を掘り下げていきます。

今回は９位に挙げられている「テレワーク等のニューノーマルな働き方を狙った攻撃」を深掘りします。
これは特にコロナ禍でテレワークのニーズが高まってきた2020年頃から発生し続けており、この脅威がどのように業務に影響を与えるのか、対策はどうすべきなのかを解説いたします。

１．ニューノーマルな働き方とセキュリティ脅威の増加

COVID-19（新型コロナウイルス感染症）の影響により、2020年頃から急速に普及したテレワーク。この新しい働き方は、組織の業務継続性を確保するために、自宅等からVPN経由で社内システムにアクセスしたり、Web会議サービスを利用した商談などのコミュニケーションを定着させてきました。
それに伴い、個人宅のネットワークの利用や個人所有のPCやスマートフォン（BYOD：Bring Your Own Device）を利用せざるを得ない状況が頻発し、新たなセキュリティリスクを生む結果となりました。

２．主な攻撃例

以下に代表的なテレワーク等のニューノーマルな働き方を狙った攻撃例を紹介します。

（１）脆弱性を悪用した攻撃

VPNやWeb会議サービス等のテレワーク用に導入している製品の脆弱性や設定ミスが悪用されているケースが増えています。社内システムへの不正アクセスや、PC内の業務情報や機密情報の窃取、Web会議ののぞき見等が発生する恐れがあります。

（２）脆弱なテレワーク環境への攻撃

急いでテレワークを導入したため、規則の整備やセキュリティ対策が不十分のまま運用されている環境が多く存在します。その結果、攻撃者はこれらの脆弱なテレワーク環境を狙って、攻撃を行います。
例えば、接続用機器の外部からのアクセス権限を必要以上に拡張してしまったり、古い接続機器を再利用したことで、最新のバージョンアップの適応ができず、脆弱性対応がなされないままになっている環境を攻撃されるわけです。

（３）個人所有端末や自宅のネットワークを利用した攻撃

適切なセキュリティ対策が施されていない個人所有端末や、会社支給の端末を利用している場合でも自宅のネットワークを利用することにより、ウイルス感染やデータ漏えいのリスクが高まります。

では、テレワーク環境の脆弱性を狙った具体的な事例をご紹介しながら、要因と対策をみていきましょう。

３．テレワーク環境を狙った具体的な攻撃事例

事例：在宅勤務のために用意したリモートアクセス経路より侵入の疑い
セイコーグループでは、ランサムウェアによる被害で顧客や取引先担当者等の個人情報が流出したことを公表した。同社ではコロナ禍において在宅勤務のために用意したリモートアクセス経路より侵入されたものと見ている。データセンターや国内拠点の一部サーバー内部に保存されていたデータを暗号化され、同社含むセイコーウオッチおよびセイコーインスツルが保有する約60,000件の個人情報が外部に流出した。
引用元：IPA　情報セキュリティ10大脅威 2024 解説書より抜粋
参考記事：重要なお知らせ詳細 | 重要なお知らせ | セイコーグループ (seiko.co.jp)

この事例は、テレワーク機器の脆弱性を狙ったランサムウェア攻撃になります。通常の侵入と情報漏えいだけではなく、暗号化による業務停止なども並行して発生しているのが特徴です。ランサムウェア自体は、暗号化や取得するデータが直接アクセスできる環境での実行が必須であり、通常はビジネスメールに見せかけた添付ファイル実行などが発生原因として多いです。しかし、今回の事例の様に、脆弱性を突かれ内部に侵入したうえでランサムウェアを発動させる場合も見受けられます。
このように、テレワーク機器や個人所有の回線・PC等の脆弱性が更なるセキュリティリスクになる事がお判りいただけるかと思います。

４．ニューノーマルな働き方を狙った攻撃への対策

では次にテレワーク等のニューノーマルな働き方を狙った攻撃への対策として、「個人の観点」と「企業の観点」を説明していきます。

（１）個人（テレワーカー）での対応と対処

◇被害の予防（被害に備えた対策含む）

・IPAの「情報セキュリティ10大脅威 2024解説書」の10ページ、表 1.4「情報セキュリティ対策の基本」を実施します。

・組織のテレワークの規則を遵守します（使用する端末、ネットワーク環境、作業場）

◇被害を受けた後の対応

・組織（経営者層）へ適切な報告や連絡や相談を行います。

（２）企業（経営者層）の対応と対処

◇組織としての体制の確立

・インシデント対応体制を整備し対応する

テレワーク環境でのインシデントの発生（ウイルス感染によりPCが使用できない等）を考慮して、テレワーク環境下での連絡方法や対応手順を策定し、社員に周知しておく必要があります。具体的な対応については、IPAの「中小企業の情報セキュリティ対策ガイドライン第3.1版」の46ページからの（5）セキュリティインシデント対応をご覧ください。

・テレワークのセキュリティポリシーを策定する

（３）企業（セキュリティ担当者、システム管理者）の対応と対処

◇被害の予防（被害に備えた対策含む）

・シンクライアント、VDI、VPN、ZTNA/SDP等のセキュリティに強いテレワーク環境を採用する。

※シンクライアント(Thin Client)
クライアント(PC、iPad、スマホ等)には最小限の入出力装置だけを用意して、主な処理はサーバー側で行う仕組み。アプリケーションやデータは、クライアント端末に保存されないため、高いセキュリティが実現できるのが特徴。

※VDI（Virtual Desktop Infrastructure）
PC上のデスクトップ機能をサーバー上に集約し、手元のPCにデスクトップ画面を転送して機能を利用すること。

※ZTNA(Zero-Trust Network Access)
ネットワークの内側・外側の両方に脅威が存在することを前提とし、すべてのユーザとすべてのデバイスに対して厳格な検証を行うITセキュリティモデル。

※SDP（Software Defined Perimeter）
ゼロトラストセキュリティでの新たな「境界（Perimeter）」の考え方で、集中的なアクセス制御を「ソフトウェア」で実現することで、物理的な境界(ファイアウォール等)では防ぎきれない脅威の防御を可能にする仕組み。

・テレワークの規程や運用規則の整備

組織支給端末と私有端末の違いを考慮して、テレワーク開始時の暫定的なセキュリティ対策や例外措置を早期に見直します。

・情報リテラシー、モラルを向上させ、情報セキュリティに関する重要性を認識させます。

・ネットワークレベル認証（NLA）を行います。

・多要素認証の設定を有効にします。

◇被害の早期検知

・サーバーやクライアント、ネットワークに適切なセキュリティ対策を行い、インシデントを素早くキャッチできるようにします。

◇被害を受けた後の対応

・インシデント対応体制を整備し対応します。

ここまでテレワークによる被害の事例や影響、対策方法について考えてきましたが、いかがだったでしょうか。

IPAでは「テレワークを行う際のセキュリティ上の注意事項」のページを公開しています。このページでは、テレワークを行う際のセキュリティ上の注意事項に加え、テレワークから職場に戻る際のセキュリティ上の注意事項も解説しています。また、IPAや他機関のテレワーク関連セキュリティ情報へのリンクも紹介しているので、参考にしていただきたいと思います。

テレワーク等のニューノーマルな働き方は、まだ運用実績が浅いため、その利便性と引き換えにセキュリティトラブルを含め事故が起こりやすいのも確かです。ただし、個人(テレワーカー)や企業組織が的確なセキュリティ対策を行えば、企業の持続可能な発展を支える鍵となると言えます。