テレワーク漏えい事故。3つの事例とその対策


本日のコラムのテーマは「テレワーク漏えい事故。3つの事例とその対策」です!

コロナ(新型コロナウイルス COVID-19)の影響と、緊急事態宣言(2020年4月7日)により、
テレワーク(リモートワーク、在宅勤務)になった企業も多いのではないでしょうか。

管理職の方には負担がかかりますよね。
「『漏えい事故が起こらないように監視しろ』と指示があったが、実際どう監視すればいいの?」
「テレワーク(リモートワーク、在宅勤務)でセキュリティもクソもあるか! システムに任せておけ!」
そのような声も多く見られます。

今回は、事例を交えながら、テレワーク(リモートワーク、在宅勤務)で起きる情報漏えい事故への
3つの対策をお話していきます。

テレワークとは?

そもそもテレワーク(リモートワーク、在宅勤務)とは、下記を意味します。
会社以外の場所で仕事を行う勤務形態ですね。

————————————–
■テレワーク(telework)、リモートワーク(remote work)の
情報通信機器を利用して、自宅や会社以外の場所で事業所から任された仕事を行う勤務形態。
育児や介護など、個々人の事情に応じながら、仕事と生活の調和(ワークライフバランス)を
実現する働き方として期待される。
テレワーキング。
リモートワーク。
引用:goo国語辞典

■在宅勤務
自宅にいながら会社の仕事を行う勤務形態。
引用:goo国語辞典
————————————-

テレワーク(リモートワーク、在宅勤務)の状態で起こりうる情報漏えい事故と対策

「パソコンにはログインパスワードをかける」「公共の無料Wi-Fiには接続しない」など
基本的なセキュリティ対策はここではお話しません。
ネットで検索しても同じような内容しか出てこないですし、
それを求めてこのコラムを読んでないですよね?(笑)

ここでは、テレワーク(リモートワーク、在宅勤務)の状態で起こる可能性が高くなる情報漏えい事故と、
あまりネットで検索しても出てこないような対策案を記載したいと思います。

事例集

■事例1
トレンドマイクロ社、従業員が顧客情報を不正販売

2019年11月5日
トレンドマイクロ社は、従業員の不正行為により顧客情報を入手・販売していたことが判明した。
その情報は、アフターサポートに成りすました詐欺の電話に悪用されていることも判明。
流出した個人情報の件数は推定で約7万件。

テレワーク(リモートワーク、在宅勤務)になると、
まわりで見ている人がいない”と心理的な障壁が緩和され、内部犯行が増える可能性があります。

では、どう対策を立てていきましょう?
よくあるパターンとして、「教育を実施」する方が多いですが、飽きてきた方も多いのではないでしょうか?

1つの対策として、「人から見られているという環境を作る」方法があります。
GoogleのMEET、ZOOM、Skypeなど、オンラインビデオ会議(WEB会議)の無料ツールが多く存在します。
これを勤務時間内は繋いでおき、休憩時間や就業時間後に切断する。
それだけで実は効果があります。
人から見られている”環境は、セキュリティのひとつなんですね。

また、繋いでおくことで、テレワーク(リモートワーク、在宅勤務)時の
コミュニケーション不足の解決にもなり、一石二鳥です。
ポータブルWi-Fiなどを支給できる企業や、自宅のネットワーク環境が整っている方にはオススメです。

■事例2
マルウェア感染
メールアドレスの流出と悪用

2020年1月28日
ポンプメーカーの川本製作所の従業員がマルウェア「Emotet(エモテット)」に感染した。
感染したことでメールアドレスや履歴などの個人情報が流出し、それが悪用され、
従業員を装ったメールが飛び交っていることも判明した。
セキュリティツールのアラートで被害が判明し、即座にパソコンをネットワーク環境から外したことで
被害は小規模に収まった。

「Emotet」(エモテット)とは、感染力の強いマルウェアのひとつです。
(コンピュータウイルスのひとつという認識でも大きな支障はありません。)

主に、メールの添付ファイルや記載されたURLが起爆剤となり、攻撃します。
「Emotet」(エモテット)については、IPAのホームページにわかりやすく掲載されているので、
ここでは割愛します。

参考:IPA ホームページ 「Emotet」と呼ばれるウイルスへの感染を狙うメールについて
https://www.ipa.go.jp/security/announce/20191202.html

今回の事例では即座に対応できたため、被害は小規模でしたが、
テレワーク(リモートワーク、在宅勤務)になると、状況の把握や対策、指示が遅れ、
被害が拡大する恐れがありますね。

では、どう対策を立てていきましょう?
セキュアなシステムを導入するにも、予算もないし、まず自分たちができるものがないかな・・・
とお考えの方も多いと思います。

そういう方は、まず具体的な注意喚起と緊急連絡網を作り、共有しましょう。

「注意喚起もしてるし、緊急連絡網も作ってるよ」と言う方もいらっしゃると思います。
ですが、本当に活用できていますか?
ちなみに緊急連絡網はどこにありますか?
「会社に貼っている。リモートワークで見に行けないけど(笑)」という笑い話はやめてくださいね!

具体的にどんなファイルを開いてはいけないか、実例画像を貼って注意喚起しましたか?
言葉で終わらせていないですか?

緊急連絡網は「第一報は誰に連絡するか」簡単にわかるものですか?
複雑すぎる連絡網は対応を遅れさせる原因になりますよ。

Pマーク(プライバシーマーク)3.3.7やISMS(ISO27001)A.6.1項にも書かれていますが、
注意喚起と緊急連絡網は本気で作ると、とても効果のあるものになります。

■事例3
クラウド上のデータ消失。あなたの会社はどうする?
少し古いですが、大きなニュースになったので記憶にあるかもいらっしゃると思います。

2012年6月20日
レンタルサーバー会社のファーストサーバで、作業ミスをきっかけにサーバ上のデータが次々と滅失。
データ復旧も不可能で、約6000社が被害にあった。
データが消えたすべての会社は自力で復旧に取り掛かった。

テレワーク(リモートワーク、在宅勤務)になり、
ますますクラウドサーバを活用したデータの共有・保管が進んでいきます。

パソコン内には情報を一切残さず、すべてクラウド管理の企業様も増えてきました。

さて、クラウドサービスを利用している方で、サービスの契約書の中身や、
サービス約款を見たことがある方はいらっしゃいますでしょうか?

上記のような事故が起こった場合、責任はクラウドサービスを提供する側にすべてあるのでしょうか?
その条件は?

事故を起こさない対策以外にも、起きてしまった後の対策も必要です。

このタイミングで一度、クラウドサービスの契約書もしくは
サービス約款(WEB上で公開されていることも多い)の中身を確認しておくべきではないでしょうか?

以上が3つの事例と対策です。
事例で見ていくと、理解も早まりわかりやすいですね。

まとめ

いかがでしたでしょうか?
「学ぶ」の語源は「真似ぶ(まねぶ)」と言われています。
どんな活動もまず「真似」から。

Pマーク(プライバシーマーク)運用もISMS(ISO27001)運用もセキュリティ体制強化も、事例の数がものを言います。
事例収集のためにコンサルティング会社と契約するのもいいかもしれませんね!
事例を集め、自社で真似し、いい会社にしていきましょう。

Pマーク総研は、東京・大阪・神奈川・愛知・埼玉・兵庫・福岡・静岡・千葉・京都など、日本全国の企業様をサポートさせていただいております。
無料相談も承っておりますので、いつでもお気軽にお問い合わせくださいませ。

■ちょっと聞きたいことがあるんだけど…という方
お気軽メールお問合せフォーム

■とにかくうちの場合はどうすればいいの?という方
無料でコンサルタントが伺います!

最後までお読みいただき、ありがとうございました。


  • Pマーク総研無料プレゼント02
  • Pマーク総研無料プレゼント03

【Pマーク総研】メールマガジン登録

Pマークに関する情報をお届けします!

メールアドレスをご入力後、
「次へ」ボタンをクリックして下さい。

メールアドレス