コロナ禍において急速に普及したテレワーク。緊急事態宣言解除を受け、通常勤務に戻す企業もいるが、「ニューノーマル」としてテレワークを継続する企業も一定数は存在している。しかし、セキュリティの専任担当がいない中小企業も少なくないため、テレワークにおけるセキュリティ対策は大きな悩みの種の一つといえるだろう。そこで本記事では、テレワークの導入で特に中小企業が活用するべきセキュリティ対策ツールについて解説する。
浸透するテレワークと高まるセキュリティリスク
新型コロナウイルス感染症拡大の影響により、テレワークを導入する企業が急増。東京都が発表した調査によると、2020年4月時点でテレワークを導入している企業は62.7%となり、3月時点の24.0%から1ヶ月程度で約2.6倍に増加したことがわかっている。
一方、急激な環境の変化に体制やツールの整備が追いつかず、セキュリティ対策が万全とはいえない企業も少なくない。例えば、テレワークの普及とともにWeb会議ツールの利用も増加したが、それらWeb会議ツールを狙ったサイバー攻撃や、フィッシング詐欺も増加傾向にあるとされる。特に中小企業においては、専任のセキュリティ担当が不在であるケースもあり、対策に苦慮している経営者も多いのが実情だろう。
従業員の私用端末利用を許可すべきか
中小企業においては、従業員全員にノートパソコンなどのモバイル端末を貸与していないケースもある。そのような場合、従業員の私用端末でテレワークが遂行される。私用端末の利用を許可することで、企業側の設備投資を抑制することが可能と考えるためだ。このような対応方式をBYOD(Bring Your Own Device)と呼ぶ。しかし、安易なBYODには危険がつきまとうことに注意が必要だ。
私用端末はスペックや仕様も異なり、セキュリティ対策の状況もバラバラだ。セキュリティソフトが未導入だったり、ストレージの暗号化がなされていなかったりということもあり得る。状況が異なる端末に対して一律にセキュリティ対策を講じる場合、コストの高騰や対策そのものが難しい場合もある。私用端末を許可するかどうかは、自社の状況を踏まえて判断するのが妥当だろう。それでは、どのようなセキュリティ対策を講じるべきか。セキュリティ対策に関係するツールを参考に紹介していく。
全体的な保護を行うセキュリティソフトを選ぶポイント
ウイルスなどのマルウェア対策として欠かせないのがセキュリティソフトの導入だ。最近は従来のウイルス対策に対応したものだけでなく、より広い範囲に対応するセキュリティソフトが主流となっている。マルウェア感染を防ぐアンチウイルス機能だけでなく、フィッシング詐欺やWebフィルタリング、ネットワークの保護など数多くの機能が搭載され、多方面から端末を保護してくれる。
セキュリティソフトを選ぶ際は、マルウェアの「検出力」とソフトウェアの「動作の軽さ」を重視する企業やユーザーが多い。ものによっては、セキュリティソフトは常に端末を保護することで他のアプリケーションでの動作が重くなったりすることもある。
統合セキュリティソフトとして定評のある、ESET個人向け製品や企業向け「ESET PROTECTソリューション」は、検出率の高さや業務を妨げない軽快な動作が特徴で、安心かつ円滑に業務を遂行できる。
パスワードを管理するツールで利便性と安全性を共存
ハッカーに狙われやすいリスクの一つが、パスワードに関する脆弱性だ。パスワードの使い回しや、第三者に推測されやすいパスワードなどは、不正アクセスのリスクを高めてしまう。使い回しせず、推測されない複雑なパスワードを利用することが最も効果的だが、それらを個別に管理するのには煩雑で現実的ではない。そのために利用を検討したいのがパスワードマネージャーだ。
パスワードマネージャーは強固なパスワードを自動で設定して記憶するため、利用者が都度記憶しておく必要はない。上述したESETのセキュリティ製品には、パスワードマネージャー機能を搭載しているものもラインナップされている。パスワードマネージャーについて詳しく解説された記事を参考に、自社にとって最善の選択をしてほしい。
暗号化ソフトで端末の紛失、盗難に備える
テレワーク中は自宅からだけでなく、カフェやサテライトオフィスをはじめとした外出先でも業務を行うこともあり得る。ノートパソコンなどを外部に持ち出す際には、紛失や盗難のリスクに備えておく必要があるだろう。紛失した端末に機密情報や個人情報などが保存されていた場合、重大な問題に発展する可能性もあるからだ。
端末の紛失や盗難にはドライブの暗号化が有効だ。暗号化しておくことで、万が一紛失したとしても第三者のデータへのアクセスを防ぎ、情報漏えいのリスクを低減できる。具体的なツールとしてはWindowsの「BitLocker」、Macの「FileVault」などがある。ただし「BitLocker」はWindows 10 Homeエディションでは利用できず、「FileVault」はOS X Lion 以降から利用可能など、OSのバージョンやエディションで使用条件が異なる。そのため、導入を検討する際には各OSの公式ページなどを参照してほしい。
クラウドストレージでファイル誤送信やデータ持ち出し時のリスクを軽減
取引先などに重要なファイルを共有する際、メールに添付して送付すると誤送信のリスクがある。また容量の大きなファイルを移動するためにUSBメモリーを使うケースも少なくないが、移動中に紛失や盗難に遭う可能性も否定できない。このようなファイル共有に関するセキュリティリスクは、一般的にはクラウドストレージを有効活用することで、いくらか解消できる。
ただし注意が必要なのはクラウドストレージの利用を従業員任せにせず、企業側で契約したものを従業員に使わせるべきだ。そうすることで、許可されていないツールが乱立してしまう「シャドーIT」を防ぎ、ファイルのアクセス権限管理などの内部統制も進めやすい。シャドーITについては、以下のレポートでも詳しく解説しているので参考にしてほしい。
VPNサービスの利用でWi-Fi接続時のセキュリティを向上
テレワークにおいては外出先でインターネットに接続することも多い。その際、誰もが容易にアクセス可能な公衆Wi-Fiは利用すべきではない。公衆Wi-Fiの中には誰がサービスを提供しているのか不明な「野良Wi-Fi」など、情報窃取を目的とした悪質なものやセキュリティに問題を抱えたWi-Fiも混在しているからだ。これらの危険なWi-Fiに接続することで、情報の改ざんや盗聴などのリスクが高まる。
屋外でWi-Fiに接続する場合は、VPNサービスを利用することで危険性の回避に一定の効果がある。VPNとはVirtual Private Networkの略で、仮想の専用線を意味する。暗号化された状態で通信ができるため、第三者による盗聴などのリスクを軽減することができる。
VPNには無料をアピールするものがあるが、このような「無料VPN」の利用には注意したい。無料でサービスを提供する裏で、個人情報や機密情報を窃取する悪質なものの存在も確認されている。「タダより高いものはない」とはよく言われることだが、なぜ無料で提供されているのかということは、利用前に一度踏みとどまって考えてみてほしい。
バックアップでデータの消失やランサムウェア対策を
万が一の事態を想定し、データの物理的なバックアップは欠かせないだろう。クラウドストレージの有効性は上述したとおりだが、100%安全なシステムは残念ながら存在しない。大手のクラウドストレージであっても、サーバーダウン、一部データの消失という障害は過去に実際に起こっている。そのような場合に備え、バックアップは定期的かつ、複数の方法で行うようにしたい。HDDやSSDの記憶容量も現在は1TB以上と大容量で、以前と比べると機器の価格も下がっている。また、WindowsやMacにはそれぞれ自動バックアップ設定があるので、併用すると効率よくバックアップができる。
また、近年はランサムウェアと呼ばれる悪質極まりないマルウェアによる被害が増加している。ランサム(Ransom)とは身代金を意味し、この種のマルウェアに感染すると、データが勝手に暗号化された挙句、復号と引き換えに金銭などを要求される。金銭を支払ったとしても、データが復号される保証はない。このような悪質なマルウェアに感染する可能性も考え、バックアップは適切に行っておきたい。
補助金や支援制度も活用し、安心・安全な環境を整えよう
セキュリティ対策ツールの導入には、一定のコストが発生する。しかし、情報漏えいなどが及ぼす事業への影響や甚大な損を考慮すると、それらは必要経費だとみなす時代になってきているのではないだろうか。
とはいうものの、投じられるコストには限界もある。対策によって得られる効果や防げるリスク、コストを総合的に比較し判断していく必要がある。現在では政府が企業活動のデジタル化を後押ししていることもあり、ITツール導入に関する補助金や、支援制度なども用意されている。補助金は年度ごとにメニューも変わるため、自社の条件に合致するものがあれば、積極的に活用して対策に充当することも検討してほしい。