リモートワークのセキュリティ対策は? 暗号化やVPN利用のススメ
現在、世界中で1400万人を超えるユーザーにサービスを提供する、インターネットセキュリティプロバイダーNordVPN社による新規コラム企画が始まります。
サイバーセキュリティに関する啓蒙活動とVPN業界全体の品質基準の設定を目的とする同社が、@人事の読者に向けに、誰もがオンラインで安全に企業活動を維持できるよう専門知識やノウハウを披露します。
目次
-
- はじめに
- リモートワークに潜むセキュリティリスク
・モバイルワークでの端末の紛失
・私物端末のセキュリティリスク
・公衆Wi-Fi使用のリスク
・自宅のWi-Fiルーターからの情報漏えい - リモートワークのセキュリティ対策1:暗号化
・データ暗号化
・データ通信の暗号化 - リモートワークのセキュリティ対策2:VPN
・VPNのメリット
・VPNサービスを選ぶポイント - まとめ
はじめに
新型コロナウイルスのパンデミックの影響により、リモートワークを導入する企業が増えてきました。在宅勤務で自宅のWi-Fiを利用したり、時にはモバイルワークとしてカフェなどの公衆Wi-Fiを業務に利用する機会もあると思います。
一方、リモートワークの拡大に乗じた、サイバー攻撃や情報流出事件が増大しています。企業からの情報漏えいや、ランサムウェアによるサービス停止は、場合によっては取り返しのつかないほどの信用ダメージに繋がりかねません。
すでに、情報システム部やIT部門主導で、セキュリティポリシーやクラウドサービスの導入など、安全なリモートワーク環境のための施策を実行している企業も増えています。一方、スタートアップや中小企業のバックオフィス、個人事業主の中には、リモートワーク環境の整備に追われ、「セキュリティ対策までは手が回らない」とお悩みの人事・総務担当者や経営者も少なくないかもしれません。
そこで、今回のコラムでは、リモートワークに潜む様々なセキュリティリスクや、そのための対策についてわかりやすく解説したいと思います。
リモートワークに潜むセキュリティリスク
企業のオフィスでは、IDによる入館管理や社内ネットワーク監視など、何らかのセキュリティ対策を実施しているところが多いはずです。しかし、情報システム部やIT部門が直接指導や管理をすることができないリモートワークを安全に運用するには、まずは各従業員のセキュリティに対する十分なリテラシーが必要となります。以下では、従業員がリモートワークに従事する場合に、心得ておくべきセキュリティリスクをいくつか紹介します。
モバイルワークでの端末の紛失
従業員が、カフェやファミレスといった自宅以外の場所でモバイルワークを行う場合、ラップトップやタブレット、USBメモリの紛失や盗難のリスクがあります。2018年の日本ネットワークセキュリティ協会の調査によると、情報漏えいの原因では、端末や資料の紛失・盗難の合計が3割を占め、一番多い原因となっているという調査結果があります。
私物端末のセキュリティリスク
リモートワークでは、BYOD(Bring Your Own Device:私物端末の業務利用)として、会社の貸与する端末ではなく、従業員の私物端末を業務利用に認めているケースが少なくありません。特に、IT管理に予算をかけられない中小企業やスタートアップでは、BYODを採用するケースが多いかと思われます。
BYODの個人PCでは、最新のOSにアップデートされていなかったり、ウイルス対策ツールやメール保護アプリがインストールされていないなど、セキュリティ面で脆弱な状態になっていることがあります。このような場合、悪意のある第三者による、メールやSNSを通じたマルウェア感染やフェイクWebサイトへの誘導などで、社内ネットワークへの感染拡大や情報漏えいのリスクが高まります。
公衆Wi-Fi使用のリスク
カフェやレストランなどで使用する公衆Wi-Fiにもリスクが潜んでいます。セキュリティ対策が不十分な場合、同一ネットワーク上の第三者から通信内容を傍受される危険性があります。たとえ暗号化されているWi-Fiでも、パスワードがオープンにされている場合には、アクセスポイントのなりすましによる情報漏えいのリスクがあります。
自宅のWi-Fiルーターからの情報漏えい
在宅勤務では、ほとんどは自宅のネットワーク環境で業務を行うことになりますが、社内ネットワークに比べるとセキュリティ面では脆弱な環境であると言えます。近年、悪意のあるハッカーや集団による、ルーターなどのIoTネットワークへのハッキングが増加傾向にあります。工場出荷時のパスワードから変更が加えられていないルーターに侵入することで、データ通信を傍受するという企てです。
リモートワークのセキュリティ対策1:暗号化
リモートワークのセキュリティリスクの一端が分かったところで、次に、具体的な対策方法を紹介していきます。
「暗号化」は、第三者による企業の機密情報や個人データの傍受やアクセスを防止することができます。暗号化には、データそのものの暗号化と、データ通信の暗号化があります。
データ暗号化
PCのストレージやUSBメモリ、個別のフォルダやファイルを暗号化することで、紛失・盗難が起きた際にも、第三者によるデータアクセスを防ぐことが可能です。PCのデータ暗号化機能は、OSに標準で搭載されており、Windowsでは「BitLocker」が、macOSでは「FileVault」が利用できます。【下図参照】
[出典:「FileVault を使って Mac の起動ディスクを暗号化する」より(Apple社サポート)
メールに添付するパスワード付きzipファイルについては、2020年11月にデジタル改革担当大臣による中央省庁での廃止が発表され、社会的に話題となりました。日本企業でもよく使われている、添付ファイルをzipで圧縮後暗号化し、パスワードを別のメールで知らせるという方法ですが、セキュリティ的には意味のない手段と指摘されています。
そもそも汎用性のあるzip暗号化方式では、暗号強度自体が低く、パスワードも通常に手に入るソフトの総当たりで、簡単に突破できてしまいます。メール通信自体が傍受されていれば、別のメールでパスワードを送信しまうと、何の意味もありません。逆に、マルウェアに感染したファイルをzip暗号化することで、受信側のウイルス検知ツールが正常に検知できなくなるというリスクを高めてしまいます。
データ通信の暗号化
データ通信の暗号化としてよく知られているSSL/TLSは、インターネット上の端末とサーバー間の通信を暗号化して、第三者によるデータの盗聴や改ざんを防ぐ暗号化技術です。SSL/TLSでは、第三者機関発行する電子証明書が必要で、送信データの真正を確保することができます。
リモートワークのセキュリティ対策2:VPN
データの暗号化とデータ通信の暗号化の両方を、高いレベルで実現できるのが「VPN」です。
VPNのメリット
VPNとは「バーチャル・プライベート・ネットワーク」の略で、インターネットのデータ通信のために暗号化されたトンネルを作成することで、専用線のような高い通信セキュリティを提供するサービスです。VPNでは、ユーザーのIPアドレスを秘匿することができるので、オンラインでの個人情報を保護し、公衆Wi-Fiから社内サーバーにアクセスする場合も高いセキュリティを確保できます。
VPNサービスを選ぶポイント
VPNサービスには、無料VPNと有料VPNがあります。
無料VPNのビジネスモデルは、広告モデルです。無料VPNのプロバイダーは、ターゲット広告のためにユーザーの個人データを収集しています。また、Google Playストアで公開されている無料VPNアプリの4割近くに、マルウェアが含まれていたという調査報告もあります。無料VPNを利用することで、逆にプライバシーを失い、セキュリティリスクを高めてしまう可能性があるということです。
有料VPNサービスでは、無料VPNにはない快適な通信速度が得られます。最先端の暗号化技術の実装や、グローバルなサーバーアクセスポイントを揃えているサービスもあります。
有料VPNを選ぶ際には、信頼性の高い事業者の提供するサービスであることが重要です。ユーザーのプライバシーを重要視して、ログを記録しない「ノーログ方式」をとっているとか、サーバーの不具合の情報をすぐに公開する透明性のあるサービスを提供しているかといった点です。また、顧客にグローバル企業や大手企業を持っている有料VPNであれば、信頼できるサービスに違いないでしょう。
提供しているVPNアプリが、Windows、macOS、LinuxなどのPCプラットフォームや、iOSやAndroidのモバイルプラットフォームに対応しているかどうかも、選ぶポイントになります。ビジネス向けVPNとして、ユーザーの社内データへのアクセス権限を管理できる、高度な機密データ保護機能を備えたサービスもあります。
・無料ではなく有料VPNサービスを選ぶ
・有料VPNを選ぶ際は信頼性の高い事業者の提供するサービスを選ぶ
・ログを記録しない「ノーログ方式」を採用している
・サーバーの不具合の情報をすぐに公開している
・顧客にグローバル企業や大手企業を持っている
・提供しているVPNアプリが、Windows、macOS、LinuxなどのPCプラットフォームや、iOSやAndroidのモバイルプラットフォームに対応している
まとめ
以上のように、IT管理リソースの限られたスタートアップや中小企業のバックオフィス、個人事業主の方には、リモートワークのセキュリティ対策として、有料VPNの導入を検討されることをオススメします。
ほとんどの有料VPNは、手頃な価格のサブスクリプション課金となっており、初期投資や運用費用の負担が少なくてすみます。VPNは、低コストで、リモートワークの安心と情報漏えいのリスクを軽減できる、コストパフォーマンスに優れた選択肢なのです。
NordVPN
https://nordvpn.com/ja/
@人事では『人事がラクに成果を出せるお役立ち資料』を揃えています。
@人事では、会員限定のお役立ち資料を無料で公開しています。
特に人事の皆さんに好評な人気資料は下記の通りです。
下記のボタンをクリックすると、人事がラクに成果を出すための資料が無料で手に入ります。
今、人事の皆さんに
支持されているお役立ち資料