• セキュリティ
  • 2020.04.14

2020年度版!テレワーク漏えい事故。3つの事例と対策

こんにちは、Pマークの社内工数を「0(ゼロ)」に限りなく近づける男、樋口 駿です。

 

本日のコラムのテーマは「テレワーク(リモートワーク、在宅勤務)」です!

 

コロナ(新型コロナウイルス COVID-19)の影響と、緊急事態宣言(2020年4月7日)により、

テレワーク(リモートワーク、在宅勤務)になった企業も多いのではないでしょうか。

 

管理職の方には負担がかかりますよね。

「『漏えい事故が起こらないように監視しろ』と指示があったが、実際どう監視すればいいの?」

「テレワークでセキュリティもクソもあるか! システムに任せておけ!」

そのような声も多く見られます。

 

実際、私も様々な企業様とお打合せする中で、最近一番多く相談される悩みが、

テレワーク(リモートワーク、在宅勤務)関連です。

 

今回は、事例を交えながら、テレワーク(リモートワーク、在宅勤務)で起きる

情報漏えい事故への3つの対策をお話していきます。

 

 

1.テレワークとは?

そもそもテレワーク(リモートワーク、在宅勤務)とは、下記を意味します。

会社以外の場所で仕事を行う勤務形態ですね。

 

———–

■テレワーク(telework)、リモートワーク(remote work)

情報通信機器を利用して、自宅や会社以外の場所で事業所から任された仕事を行う勤務形態。

育児や介護など、個々人の事情に応じながら、仕事と生活の調和(ワークライフバランス)を

実現する働き方として期待される。テレワーキング。リモートワーク。

引用:goo国語辞典

 

■在宅勤務

自宅にいながら会社の仕事を行う勤務形態。

引用:goo国語辞典

———–

 

 

2.テレワークで起こりうる情報漏えい事故とその対策

「パソコンにはログインパスワードをかける」「公共の無料Wi-Fiには接続しない」など

基本的なセキュリティ対策はここではお話しません。

ネットで検索しても同じような内容しか出てこないですし、

それを求めてこのコラムを読んでないですよね?(笑)

 

ここでは、テレワーク(リモートワーク、在宅勤務)で起こりうる情報漏えい事故と、

あまりネットで検索しても出てこないようなを対策案を記載したいと思います。

 

 

■事例1 トレンドマイクロ社、従業員が顧客情報を不正販売

2019年11月5日

トレンドマイクロ社は、従業員の不正行為により顧客情報を入手・販売していたことが判明した。

その情報は、アフターサポートに成りすました詐欺の電話に悪用されていることも判明。

流出した個人情報の件数は推定で約7万件。

 

テレワーク(リモートワーク、在宅勤務)になると、“まわりで見ている人がいない”と

心理的な障壁が緩和され、内部犯行が増える可能性があります。

 

では、どう対策を立てていきましょう?

よくあるパターンとして、「教育を実施」する方が多いですが、

飽きてきた方も多いのではないでしょうか?

 

 

対策

「人から見られているという環境を作る」方法があります。

GoogleのMEET、ZOOM、Skypeなど、オンラインビデオ会議(WEB会議)の無料ツールが

多く存在します。

 

これを勤務時間内は繋いでおき、休憩時間や就業時間後に切断する

それだけで実は効果があります。

“人から見られている”環境は、それだけでセキュリティなんですね。

 

また、繋いでおくことで、テレワーク(リモートワーク、在宅勤務)時の

コミュニケーション不足の解決にもなり、一石二鳥です。

Wi-Fiなどを支給できる企業や、自宅のネットワーク環境が整っている方にはオススメです。

 

 

 

■事例2 マルウェア感染。メールアドレスの流出と悪用

2020年1月28日

ポンプメーカーの川本製作所の従業員がマルウェア「Emotet(エモテット)」に感染した。

感染したことでメールアドレスや履歴などの個人情報が流出し、それが悪用され、

従業員を装ったメールが飛び交っていることも判明した。

セキュリティツールのアラートで被害が判明し、

即座にパソコンをネットワーク環境から外したことで被害は小規模に収まった。

 

「Emotet」(エモテット)とは、感染力の強いマルウェアのひとつです。

(コンピュータウイルスのひとつという認識でも大きな支障はありません。)

主に、メールの添付ファイルや記載されたURLが起爆剤となり、攻撃します。

※「Emotet」(エモテット)については、IPAのホームページに

わかりやすく掲載されているので、ここでは割愛します。

(参考:IPAホームぺージ「Emotet」と呼ばれるウイルスへの感染を狙うメールについて

 

今回の事例では即座に対応できたため、被害は小規模でしたが、

テレワーク(リモートワーク、在宅勤務)になると、状況の把握や対策、指示が遅れ、

被害が拡大する恐れがありますね。

 

 

対策

では、どう対策を立てていきましょう?

セキュアなシステムを導入するにも予算もないし、まず自分たちができるものがないかな・・・

とお考えの方も多いと思います。

 

その悩みをお抱えの方は、まず具体的な注意喚起と緊急連絡網を作り、共有しましょう。

 

「注意喚起もしてるし、緊急連絡網も作ってるよ」と言う方もいらっしゃると思います。

ですが、本当に活用できていますか?

 

ちなみに・・・

①緊急連絡網はどこにありますか?

(会社に貼っている。リモートワークで見に行けないけど(笑)という笑い話はやめてくださいね!)

➁緊急連絡網は「第一報は誰に連絡するか」簡単にわかるものですか?

③攻撃型メールについて、具体的にどんなファイルを開いてはいけないか、実例画像を貼って注意喚起しましたか?

④口頭の注意喚起や、グループウェアでの書き言葉での周知で終わらせていないですか?

 

Pマーク(プライバシーマーク)3.3.7やISMS(ISO27001)A.6.1項にも書いてあるため、

最低限やってはいる会社が多いと思います。

ただ、緊急連絡網は何年前に作ったものですか? その周知ルールいつ見直しましたか?

規程に書いてあるとおりの緊急連絡網を作り続け、規程通りの注意喚起になっていないですか?

 

規程に書いてあるから守るのではない。

時代や働き方に合わせてルールを変え、ルールが変わるから規程を修正するのです。

ルールを変えないことが組織を弱くしますよ。

 

 

 

■事例3 クラウド上のデータ消失。あなたの会社はどうする?

少し古いですが、大きなニュースになったので記憶にあるかもいらっしゃると思います。

 

2012年6月20日

レンタルサーバー会社のファーストサーバで、作業ミスをきっかけにサーバ上のデータが次々と滅失。

データ復旧も不可能で、約6000社が被害にあった。

データが消えたすべての会社は自力で復旧に取り掛かった。

 

テレワーク(リモートワーク、在宅勤務)になり、

ますますクラウドサーバを活用したデータの共有・保管が進んでいきます。

パソコン内には情報を一切残さず、すべてクラウド管理の企業様も増えてきました。

 

さて、クラウドサービスを利用している方で、サービスの契約書の中身や、

サービス約款を見たことがある方はいらっしゃいますでしょうか?

上記のような事故が起こった場合、責任はクラウドサービスを提供する側にすべてあるのでしょうか?

その条件は?

 

 

対策

事故を起こさない対策以外にも、起きてしまった後の対策も必要です。

このタイミングで一度、クラウドサービスの契約書もしくは

サービス約款(WEB上で公開されていることも多い)の中身を確認しておきましょう。

 

観点は3つです。

①契約書や約款がそもそも存在するか

②責任や保証の範囲は決められているか

③セキュリティポリシーの遵守や、安全管理の遵守が記載されているか

 

また、契約書・サービス約款以外にも

④バックアップの頻度や復元手順はどこに公開されているか

⑤プライバシーマーク(Pマーク)やISMS(ISO27001)などの第三者認証を取得しているか

は確認しておいた方がよいでしょう。

 

 

 

以上が3つの事例と対策です。

事例で見ていくと、理解も早まりわかりやすいですね。

 

 

 

最後に1つだけ・・・

「学ぶ」の語源は「真似ぶ(まねぶ)」と言われています。

どんな活動もまず「真似」から。

Pマーク(プライバシーマーク)運用もISMS(ISO27001)運用もセキュリティ体制強化も、

事例の数がものを言います。

事例収集のためにコンサルティング会社と契約するのもいいかもしれませんね!

事例を集め、ルールを変え、自社で真似し、いい会社にしていきましょう。

 

 

 

———–

私が所属する株式会社ISO総合研究所の「プライバシーマーク(Pマーク)お役立ちコラム」

こちら!

規格の勉強に役立つコラムが650コラム以上!

ちょっとした休憩時間に、覗いてみてはいかがでしょう?

 

プライバシーマークの担当になったばかりのあなたにはこちら!

「プライバシーマーク(Pマーク)の基礎知識」

 

 

執筆

個人情報保護コンサルタント

樋口 駿

累計300社超の会社を支援。継続率97%。

最近は300名~3000名規模の大手企業様をメインで支援している

 

編集

Web担当

永見 花奈

Webデザイナー出身。現在はISO総研にWeb担当として所属。

サイト構築や保守管理・SEO対策からDTPデザインまでその業務は多岐にわたる。