いつでもどこでも仕事ができる
ハイブリッドワークを加速させる「モバイル端末持ち出し7箇条」

2024年6月

はじめに

定着したハイブリッドワーク。モバイル端末での仕事は必須の時代に

ハイブリッドワークを実現するためには、いつでもどこでも持ち出し可能なモバイル端末があればとても便利だが、その一方でセキュリティリスクが伴うのも事実だ。総務省が2023年5月29日に公開した「令和4年通信利用動向調査」によると、企業におけるテレワークの導入率は過半数を超えた51.7％に達しており、モバイル端末へのセキュリティ対策は急務になっている。

数万件の個人情報が保存されたノートPCを紛失

飲食事業を手がけるX社に起こったインシデントの例を紹介しておきたい。

1人の社員が訪問先にノートPCを置き忘れて紛失してしまったのだが、悪いことにこのノートPCに数万件の顧客の個人情報が保存されていたというものだ。X社は即座に警察当局に届けると共に、遠隔操作でパスワードを複雑なものに変更するなどの対処を行った。しかし、いまだにノートPCの発見には至っていないため、今後個人情報の流出や不正利用などの深刻な事態に発展する可能性は払拭できない。

ところで、X社の社員がノートPCを置き忘れさえしなければこのような問題は発生しなかったのかというと、実はそうではない。ハイブリッドワークには、次のようなセキュリティの“落とし穴”があり、実際にインシデントも起こっているのだ。

ハイブリッドワークにおけるセキュリティインシデント例

• フリーのWi-Fiスポット（公衆無線 LAN）などからインターネットにつなぎ、電子メールの送受を行っていたところ、添付したファイルに書かれていた秘密情報が競合企業に知られてしまった。
• カフェで未発表の新製品に関するプレゼンテーション資料を作成していたところ、何者かにその画面を撮影され、SNSで拡散されてしまった。
• インターネットからの社内システムへのアクセスは従業員が利用するモバイル端末のみに制限していたが、そのうちの1台のモバイル端末に潜伏していたマルウェアが社内システムに侵入。サーバで管理していた顧客情報が流出してしまった。

情報漏えい事件はどうすれば防げたのか

先述のようなセキュリティインシデントは、どのような事前対策をとっておけば防ぐことができたのだろうか。総務省が2021年5月に発行した『テレワークセキュリティガイドライン 第5版』では、「ルール」「人」「技術」のバランスがとれた対策の必要性を強く訴えている。

1つめの「ルール」は、セキュリティポリシーとも呼ばれるものだ。セキュリティを担保するための正しいルールが全社的に定められていれば、社員はそれを遵守することで安全に仕事を進めることができる。もっとも、テレワークについてはオフィスとは異なる環境で仕事を行うことになるため、その形態にあわせた新たなルールづくりが必要となる。

2つめの「人」は、情報セキュリティ対策で最も重要なものであり、同時に最も困難なものである。先のようなルールを定めても、実際にテレワークを活用する従業員やシステムの運用管理者がルールを守らなければ、効果はまったく発揮されないからだ。継続的な教育や自己啓発を通じて、ルールを遵守することが自分にとってのメリットとなることをしっかり自覚してもらうことが重要だ。

そして「ルール」と「人」を補完する要素として、3つめの「技術」が位置付けられる。多様な脅威に対して「認証」「検知」「制御」「防御」のセキュリティ対策を複合的に実施することが、ここでの基本となる。

この3点を踏まえつつ、先に挙げたテレワークにおけるセキュリティの“落とし穴”への対策を以下に紹介しておく。

モバイル端末持ち出しのセキュリティ対策

モバイル端末の紛失や盗難による情報漏えいへの対策

テレワークの社員には、本体内にデータを保持しない端末（シンクライアント）を用意するのが安心だ。「リモートデスクトップ方式」「仮想デスクトップ方式」「クラウド型アプリ方式」などがある。ただし、これらの端末は携帯電話回線やWi-Fiの電波が届かない場所では利用できなくなってしまう。オフラインでも仕事をする必要がある場合、必要最小限のデータを端末に残すしかないが、必ず暗号化は行っておくべきである。あわせてリモートワイプ（遠隔から端末内の情報を消去）やリモートロック（遠隔から端末を施錠）の機能を導入しておきたい。

通信の盗聴による情報漏えいへの対策

パスワードの設定されていないフリーWi-Fiスポットなどからインターネットに接続する場合、同時に利用している他者に通信内容を傍受される恐れがある。また、ホテルで提供されている無線LANサービスなど、仮にパスワードが設定されていてもそのパスワードは不特定の宿泊者に公開されているため安心とは言えない。基本的にこうした通信環境下でのインターネット接続は避けるべきだ。移動先から社内ネットワークにアクセスする際は必ずVPNサービスを用いる。メールを送受信する際も添付ファイルは必ず暗号化すべきである。なお近年はVPN機器の脆弱性を突いた攻撃も多発している。したがってVPNサービスを利用する場合は、関連する機器やソフトウェアへのパッチ適用など、セキュリティを最新状態に維持することが重要だ。

モバイル端末の覗き見による情報漏えいへの対策

他人の視線のある環境でテレワークを行う場合、端末にプライバシーフィルターを装着することで覗き見を防ぐことができる。また、最近のノートPCの中には顔認証機能を搭載し、他人の覗き見を検知すると警告を発するものもある。

マルウェア感染による情報漏えいへの対策

モバイル端末がマルウェア感染の「踏み台」となることを防ぐためには、エンドポイントのセキュリティ対策が欠かせない。AI技術などを活用したNGVA（次世代型ウイルス対策ソフト）を導入して感染を防止すると共に、ファイアウォール機能を有効活用して外部からの不正侵入を防ぐ対策が求められる。また、システム管理者はモバイル端末から社内ネットワークへのアクセスログを継続的に分析し、不審な振る舞いを検知する必要がある。

モバイル端末持ち出しで守るべきこと

まとめとして、モバイル端末を社外に持ち出す際に守るべき「7箇条」を下記に示しておく。ハイブリッドワークを行う社員に丸投げするのではなく、これらの条件がしっかり守られ、実行されているかどうか、必ず情報システム部門がチェックを行うこと。また、必要に応じてアドバイスやサポートを行うことが重要である。

さらに、昨今のサイバー攻撃の高度化・巧妙化に伴い、セキュリティ対策の考え方が大きく変化している。従来は企業ネットワークの内側と外側をファイアウォールなどで遮断し、外部からの攻撃や内部からの情報流出を阻止する、いわゆる境界防御が基本とされてきたが、この考え方ではセキュリティを維持できなくなっている。これに代わる新たな考え方として、「ゼロトラストセキュリティ」が注目されている。

「外部も内部も区別なくすべてを疑ってかかる」という性悪説に基づいたセキュリティの考え方だ。ユーザーを疑い、端末などの機器を疑い、たとえ許された権限によるアクセスであったとしても、なりすましなどの可能性が高い場合は動的にアクセスを停止する。今後のハイブリッドワークの運用は、このゼロトラストセキュリティを前提とすべきである。

ハイブリッドワークの環境を守るため、安全に仕事ができる環境を構築しよう

なお、情報漏えいなどのセキュリティインシデントを恐れるあまり、モバイル端末の社外持ち出しを禁止するのは避けるべきである。これからの働き方にそぐわないだけでなく、社員の生産性向上に歯止めをかけることにもなりかねないからだ。

コロナ禍以降、「ハイブリッドワーク」が当たり前の時代になった今だからこそ「モバイル7箇条」を最低限守るようにすれば、セキュリティの脅威を完全に防ぐことは不可能だが、事前対策をしっかり行うことで、インシデントの発生を限りなくゼロに近いレベルに抑えることは可能だ。近年だと、前述した「ゼロトラストセキュリティ」という考え方も注目されているので、この考え方を念頭にセキュリティ対策を実施することも重要だ。

一人ひとりの社員に対して、より働きやすく、持てる能力を最大限に発揮できるハイブリッドワークの環境を提供するため、情報システム部門が陣頭指揮をとり、安全にモバイル端末を持ち出しできる体制を築いていこう。

モバイル端末持ち出しセキュリティ7箇条に対応した各種情報

その1：セキュリティポリシーを策定する

情報セキュリティポリシー策定支援サービス

モバイルPC・スマートデバイスなど情報機器の進化により、大量の情報がロケーションに関係なく扱える環境は、情報流出のリスクと隣り合わせと言えます。情報セキュリティポリシーを中心とした情報セキュリティマネジメントシステムを構築し、効果的で無駄のないセキュリティリスク対策に取り組むことが事業者に求められています。

▼詳細はこちらから
https://www.nec-nexs.com/sl/consulting/sec_policy/

その2：人材教育をしっかりと行う

標的型攻撃メール訓練サービス「メル訓クラウド」

サイバー攻撃の対応ルールを作成しても、従業員・職員が「サイバー攻撃」を認知できなければ、有効な対応がとれません。「メル訓クラウド」は、標的型攻撃メールを疑似的に送信し、従業員の注意耐性や意識向上を図るともに組織としてのポリシーの遵守状況把握に役立ちます。

▼詳細はこちら（ランサムウェア対策ガイドブック内に「メル訓クラウド」などの各種セキュリティ対策商材をご紹介しています）
https://www.nec-nexs.com/sl/sec/guide.html

その3：元データを安全な場所に保存しておく
その4：所在や利用者を明確にする
その5：機密性が求められるデータはモバイル端末に保管しないように
その7：安全なアクセスを行うためのソリューション導入

4つの項目に対応したクラウドサービス「Clovernet マネージドクラウド」

マイクロソフトのクラウドサービス（Microsoft 365・Windows 365など）をはじめ、IT資産管理・情報漏えい対策、エンドポイントセキュリティ、メール／Webセキュリティといったトータルセキュリティ基盤も用意したサービスです。ライセンスと導入支援サービス、運用サービスをトータルで提供し、お客様のクラウド移行をサポートします。

▼詳細はこちらから
https://www.nec-nexs.com/sl/clovernet/managed_cloud/

▼動画でご紹介
https://stream.nec-nexs.com/NEXS/library/cloud-clovernet-managed_cloud-mv

その6：定期的なセキュリティ監査を実施する

情報セキュリティ監査サービス

当社コンサルタントがお客様の情報セキュリティ対策の整備状況および運用状況を監査します。

▼詳細はこちらから
https://www.nec-nexs.com/sl/consulting/sec_audit/

Web記事をホワイトペーパーとして閲覧できます。