【前編】在宅勤務の落とし穴!?気づかないうちに情報流出しているかも
- コラム
- セキュリティ
新型コロナウィルスの感染拡大は残念なことですが、それにより、テレワーク、在宅勤務がようやく定着の兆しをみせています。みなさんの中でも在宅勤務に切り替わっている人も多いと思いますし、ようやく、緊急事態宣言後、テレワークの検討をはじめた企業や官公庁もあり、今後も在宅勤務の流れは加速していくでしょう。
そこで今回は、在宅勤務での注意点を確認していきます。
その注意点とは、"情報流出"。
家で仕事をする場合には、専用のデスクやイス、あるいは高速のインターネット回線など、仕事をスムーズに進めるための環境を整えることももちろんですが、それと同等、あるいはそれ以上に、仕事の内容を見られないような環境を整えることも大事。つまり、"情報流出"そして、"情報漏えい"の観点からも環境を整えることが重要となります。
前編では、どのようなリスクがあるかを確認し、後編では、情報流出・情報漏えいを防ぐために意識すべき重要なことを検討していきます。
昔から情報流出がなかったわけではありません。重要な情報を家に持ち帰る、これは実は昔からよくあることです。たとえば、翌日朝一番で取引先のところに直行する場合は、提案書類を自宅に持ち帰ることは多いでしょう。組織で認められているかどうかに限らず、これまで自宅に重要情報を持ち帰ったことがない人の方が、実は少数派かもしれません。 ※1livedoorNews「女高生が新商品情報を「流出」、謝罪 グリコ・ポッキー「CMは嵐の二宮」」(2011/8/10) ※2「「#在宅勤務」ご用心 新型コロナが招く情報漏洩」日本経済新聞 (2020/4/6) ※3「ツイッターに税情報 姫路市職員の投稿に写りこむ」日本経済新聞 (2015/2/17) ※4 Norton「ルーターのセキュリティは大丈夫?今チェックすべき5項目」(2018.08.22)参照 ※5「持ち帰り残業のせいで情報セキュリティ事故? 働き方改革に必須の情報漏えい対策 」Tech Target Japan (2017/5/31)
前編では、在宅勤務に潜む情報漏えいリスクについて確認しました。何気ない行動が情報流出へ、さらには漏えいに繋がってしまいます。必ず、各自がリスクについて理解しておく必要があります。1.あなたのその行動、大丈夫ですか?気づかないうちに情報が…
しかし、デジタル化、モバイル化が進展し、個人が管理するデータの量が飛躍的に増えています。それだけに、ちょっとしたことで重大事件に繋がります。
もし、うっかりのミスで情報が流出してしまっても、データが暗号化されていたりすれば、中身が漏れる(情報漏えい)可能性を減らすこともできます。しかし、まずは情報の流出を防ぐことが重要です。
以下はほんの一例となりますが、気づかないうちに行ってはいないでしょうか。
①ついついしがちなことで気づかぬうちに情報流出
◆家族がいるリビングなどで仕事をしている
こどもの面倒をみながらなどという場合、やむをえない面もありますが、PCの画面や資料が無防備な状態です。また、子どもが資料を触ってしまい、資料が汚損する可能性もあります。
◆家族に声が聞こえる状態で、web会議や電話をしている。
家族に聞かれてもどうせ内容は分からないし、外に情報を漏らすなんてことは絶対にしないから大丈夫、と思う方もいるかもしれません。もちろん、悪意をもって情報を漏らすことは少ないでしょう。しかし、そうでないケースもあります。例えば、新製品の情報をたまたま聞いた家族が、悪意なく、Twitterにその情報を投稿してしまうこともあるかもしれません。
実際、過去に大手菓子メーカーの取引先に務める父親が試作品を家に持ち帰り家族に話したところ 、女子高生の娘が悪気なく、Twitterに未発売の新商品の情報を投稿してしまったとう事件がありました※1。
本人が意識しないうちに情報流出(この場合は漏えい)、の危険がそこには潜んでいます。
◆業務情報が保存されたPCやUSB等の記憶媒体の放置
PCやタブレット、あるいはUSBやSDカードなどの可搬性の記録メディアを他の人が触ってしまうような場所に置きっぱなしにしたことはないでしょうか。IDやパスワードなどの設定も重要ですが、そもそもどこに置くか自体が重要です。
②気軽に投稿で情報流出―SNSの落とし穴
◆SNSに、在宅勤務の様子を気軽に投稿「#在宅勤務」問題
在宅勤務の様子を写真に撮り、気軽にインスタグラムなどのSNSに投稿するケースが増えてきており、情報漏えいを心配する声も出てきているようです※2。 実はこれはとても危ないこと。PCの画面や、重要な資料が写真に写りこんでしまったら、不特定多数の人が簡単に情報を見ることができてしまいます。例えば、こんな事件も過去に発生しています。
2015年1月、姫路市の資産税課の女性職員が、庁舎内の自身の机上で飲み物などを撮影し、何気なくTwitterに投稿したところ、その中に、企業の財務関連書類が映り込んでいたとのこと。数週間後に漏洩を指摘する匿名メールにより事態が発覚しました※3。
かわいいスイーツや珍しい商品などをスマホで撮影し、SNSに投稿するのはよくあることです。しかし、気軽に撮影して投稿することで、重大な情報漏えい事件につながることもあり得るのです。この例は在宅勤務の例ではないですが、SNSの落とし穴を指摘しています。
③ITサービス利用で情報流出―シャドーIT
インターネット回線のチェック
ご自宅の回線は大丈夫ですか?セキュリティは確認済みでしょうか?無防備な状態で使用していると、ネットワークの不正使用で情報を盗み見されてしまう可能性もあります。
それでは、実際にどのようなことをチェックすればよいのでしょうか。現在、ご自宅では無線のWi-Fiルータをお使いの方が多いと思いますので、ここではルータを例に、セキュリティのチェック項目を確認します※4。
・管理画面のパスワードが初期状態のままになっていませんか
ルータが届いたら、まず“自分のもの”とするために、自分のパスワードを設定してください。初期状態のままのパスワードですと、無防備な状態と同じ状況です。
・SSIDは推測されにくいものとなっていますか
初期状態のままですと、メーカー名を特定される文字列が並んでいます。ここからでも個人情報を特定されてしまう可能性があります。自身で変更することができるので、推測されにくいものに変更しておきましょう。
・無線LANパスワードは分かりにくいものになっていますか
SSIDと同じになっていたり、個人情報が特定できるような分かりやすいパスワードには設定しないようにしましょう。
・暗号化されていますか
暗号化することは必須。新しい規格のWPA3が登場していますが、現時点で実用的なものはWPA2です。WEPやWPAになっていないか、確認してみましょう。
・不当に接続されているデバイスはありませんか
ルータに接続されているデバイス数を確認してみましょう。認識している以上の台数が接続されていませんか。
また、サイバー攻撃から守るためにも、パスワードは定期的に確認する、接続できるデバイスを限定するなどの防止策も有効です。
なお、今回はWi-Fiの安全性について取り上げましたが、有線でもリスクは存在します。このように、まずは回線のセキュリティチェックをすることが大事です。
シャドーIT問題
そして次に、注意するのは「シャドーIT」問題。以前、「シャドーIT 」を情報資産管理マガジンで取り上げましたが、在宅勤務でも重要な問題となりますので、再度確認します。
それは、下記のようなITサービスの利用による情報漏洩の危険性です。
◆ITサービスの利用による情報漏えい(情報資産管理マガジン「「シャドーIT」そこに潜む問題に気づいていますか?」参照)
・許可されていない個人のクラウドサービスに業務ファイルを保存しておく
・個人で利用しているファイル共有サービスやファイル送信サービスを使う
・許可されていないクラウド型の画像変換サービスや翻訳サービスを使う
・個人のチャットアプリを使用して業務連絡をする
◆外部ネットワーク接続による、ウイルス感染の危険性
・調べもののために、知らない間に有害サイトにアクセスしてしまった
など、"気軽に"使ってしまったがために情報が漏えいしてしまう、ということもあり得ます。ここについては詳しくは、情報資産管理マガジン「「シャドーIT」そこに潜む問題に気づいていますか?」 をご参照ください。
また、実際、『知らない間に自社の重要なデータがSNSやWebメール経由で流出していた 』という事例もありました※5。シャドーIT?自分には関係ない、と思われている方でも、以下のようなことは少なからず経験したことはあるのではないでしょうか。
ある従業員は、提出が迫っている企画資料をどうしても作らなければなりませんでした。しかし、会社は残業が禁止で、社内で終わらせるのは難しい状況でした。そこで、仕事のため、と思い、プライベートで利用しているフリーメールで、資料作りのための参考資料を送ることに。
しかし、添付して送るためには容量が大きすぎるので、オンラインストレージのファイル送信サービスを利用。送付資料には機密情報や個人情報が含まれていました。その後、自宅PCで資料をダウンロードしました。期日までに資料は作り終えたものの、後日、自宅PCがサイバー攻撃を受け、ウイルスに感染してしまったとのこと。
会社は万全なセキュリティだったものの、自宅PCが原因で情報漏えいを招いてしまった事案でした。
このようにシャドーITは常に私たちのそばに潜んでいます。意識して防ぐ必要があります。“つい“、”うっかり“、”このくらいなら大丈夫”をやめて、“本当に大丈夫?”を意識して行動しましょう。
(後編に続く)
まとめ
後編では、情報漏えいを防ぐために意識すべき重要なことを検討していきます。