Posted: 26 Apr. 2021 3 min. read

第10回:テレワークで高まるリスク

シリーズ:DX時代のサイバー対策

テレワーク環境を狙ったサイバー攻撃が増えている。新型コロナウイルス禍を受け、セキュリティー対策が十分でない中、急いでテレワークに移行した企業が特に標的となっている。

 

東京都のテレワーク導入実態調査では、2019年7月時点では導入予定がない企業が53.7%と半数を超えていたが、2020年6月には25.8%に半減。一方、導入済み企業は25.1%から57.8%に倍増した。多くの企業がコロナ禍に迅速に対応したことは確かだが、セキュリティー面から見ると十分に検討しないまま導入したことを物語る。

 

実際、サイバー対策を啓発する民間団体のJPCERTコーディネーションセンターによると、2020年4~6月のインシデント報告件数は10,416件と、前四半期の6,510件の1.6倍に急増している。2020年4月7日の緊急事態宣言発令で一気に広がったテレワークによってアクセス経路が多様化し、攻撃者の付け入る隙が増えたことが一因と見られる。件数はその後も増え、9月には月間5,473件にまでなっている。

 

テレワークでは多くの場合、業務システムの接続に仮想専用線(VPN)を利用している。VPNは比較的安全として認識されがちだが、そこに潜む脅威への理解と対策が十分に取られなければならない。専用線といってもインターネットを介するVPNは、第三者に発見されやすい。また、認証突破後は社内を自由にアクセスでき、攻撃者の標的となりやすい。

 

VPN機器の脆弱性を悪用する攻撃を防ぐには、まず機器の迅速なアップデートが有効だ。さらに認証強化も重要で、パスワードなどの「知識」、ICカードなどの「所有物」、指紋や顔などの「生体情報」の2つ以上を用いた多要素認証が効率のよい対策となる。

 

テレワーク端末は、会社貸与と私物で対応が異なる。会社貸与の場合、ウイルス感染リスクを低減するために、インターネット接続時はVPNの接続を強制することが有効だ。私物端末は、業務中のみ企業側の管理下となるため、端末上でのファイルなどの直接操作を禁止し、会社パソコンの画面を遠隔操作させることで情報漏洩やウイルス感染拡大を防止する。

 

テレワークの普及やクラウドシフトで社内・社外の境界が曖昧になっており、性悪説に立ってあらゆるアクセスを監視することが欠かせない。今後はバーチャルオフィスの活用なども見込まれ、新たなセキュリティーの確保が求められてくるであろう。

 

本稿は2021年1月7日に日経産業新聞に掲載された「戦略フォーサイト:DX時代のサイバー対策(11)テレワークで高まるリスク」を一部改訂したものです。

D-NNOVATIONスペシャルサイト

社会課題の解決に向けたプロフェッショナルたちの物語や視点を発信しています

プロフェッショナル

松岡 潤/Jun Matsuoka

松岡 潤/Jun Matsuoka

デロイト トーマツ グループ マネジャー

デロイト トーマツ サイバー合同会社所属。国内大手システム開発会社を経て現職。金融や小売りの業界を中心にサイバーセキュリティーに関するリスクアセスメント(評価)や対策計画の策定、製品導入や演習の支援などに従事。