執筆現在（2020年2月）、急にサイバー攻撃などのニュースが増えたように感じているのは、2020年になって大手企業の三菱電機やNECへのサイバー攻撃により情報の流出があったという内容の事件が起きたからでしょう。また、サイバー攻撃ではありませんが元ソフトバンクの社員が無断で情報を持ち出していた事件も起きました。
このように情報の流出・情報漏えいは対策をしっかりしているであろう大手でも起きています。そこで情報漏えいが起きる原因やリスクとなる事案をご紹介致しますので、対策を考慮する材料にお使いください。特に業務柄、個人情報をたくさん扱う士業の方は必見です。
士業のテレワークに必要な機能がオールインワン『MOT/Telework概要資料』はこちら  

コンテンツの目次

1. 過去最多のウイルス感染/不正アクセス
2. 情報漏えいリスク
   1. 紛失
   2. 盗み見
   3. 使いまわし
   4. BYOD
   5. スパムメール
   6. 無料Wi-Fi
   7. セキュリティソフト
   8. 不正アクセス
3. 士業のテレワークにおけるセキュリティ対策

1.過去最多のウイルス感染/不正アクセス

情報漏えいリスクのご紹介に入る前に現在の状況を確認していきましょう。下記は東京商工リサーチが上場企業とその子会社に対して行ったウイルス感染と不正アクセスについての調査結果です。

参考：東京商工リサーチ
2019年度のウイルス感染や不正アクセスが調査8年間で過去最多の数値となっています。情報セキュリティ市場規模やサイバー保険（個人への賠償金や謝罪会見の費用など）の市場も右肩上がりで上昇しているように情報漏えいについての意識は向上しているにもかかわらずウイルス感染や不正アクセスの発生件数は減少しておらず、むしろここ最近は増加しています。

引用：NPO日本ネットワークセキュリティ協会（2016年度国内情報セキュリティ市場調査報告書）

参考：NPO日本ネットワークセキュリティ協会（国内情報セキュリティ市場2018年度調査報告書）
情報漏えいに繋がる原因を把握し、しっかり対策を行うことが重要になってきます。

2.情報漏えいリスク

情報漏えいする原因は様々ですが、大きく分けると「社員や元社員による人的な要因によるもの」と「第三者によるサイバー攻撃」の2つになります。
人的な要因

1.紛失

人的な情報漏えいの最たるものは紛失です。例えば、個人情報が記載された書類の紛失や個人情報の入っているUSBメモリやノートパソコン、スマホの紛失が挙げられます。
紛失理由としては、単に無くしてしまったり、置き忘れが大半を占めますが、中には車内に置いてあった書類や携帯電話などが車上荒らしの際に盗まれてしまう場合もあります。弁護士や社労士が顧客訪問などの際、車で向かいランチの為レストランやコンビニの駐車場に止めているだけで被害にあうこともあります。
社外への情報の持ち出しを禁止したり、社外へ持ち出す場合は厳重に管理するなど注意が必要です。

2.盗み見

昨今、利用企業/利用者が増加しているクラウドサービス。IDとパスワードさえわかれば場所を問わずどこでもアクセスし利用することが出来る便利な反面、IDとパスワードを盗まれてしまうと簡単に第三者が利用出来てしまいます。 IDとパスワードはハッキングなどの悪意のある第三者のみならず、身近なところからでも流出してしまいます。 例えば、IDとパスワードを忘れないようにノートパソコンなどに付箋で貼りつけている場合や電車やカフェなどで作業を行う場合に近くの人が盗み見ることで簡単に流出してしまいます。 クラウドサービス側で端末制限や社内のIPのみのアクセスにするなどの対策が有効です。

3.使いまわし

IDとパスワードの流出は直接的なものだけではありません。例えば、利用している複数のサービス/システムのパスワードなどを同じものにする「使いまわし」を行っている場合、どこか1つでも情報が漏れると全てのサイトが情報の書き換えなどの危険な状態になります。サービス/システムごとにパスワードを変更することが対策として有効です。

4.BYOD

個人がプライベートで利用している端末を業務でも利用するBYOD（Bring Your Own Deviceの略）は、社用として新たに端末を購入/支給する場合に比べて、使い慣れている端末なので操作が早かったり、スペック的に陳腐化する前に社員自らが買い替えたりするメリットがあります。個人の端末を利用すると自ずとその端末へ個人情報を登録/保存する機会が増えます。例えば、スマホであれば電話帳へ登録したり、PCであれば作成した書類情報などが保存されます。 しかし、個人の端末は業務時間外に私的な使用ももちろん行うので、サイト閲覧やスパムメール・アプリなどからウイルス感染する機会も増えます。BYOD用に端末へアプリのインストール制限などが出来るMDMを導入する対策が有効ですが、事務員さんや働く弁護士・社労士など、個人の端末を制限することは歓迎されないでしょう。 社用として携帯やPCを用意したり、情報自体は事務所で管理することが対策として挙げられます。

5.スパムメール

スパムメールとは大量に送信されるメールのことで、ただの嫌がらせメールだけでなくマルウェアに感染させたり、スパムメールを送る実行者にさせられたりします。具体的には、送ってきたメールの添付がマルウェアを感染させるプログラムだったり、URLをクリックすると自動的にマルウェアに感染させる「ドライブバイダウンロード」の被害に遭ったりします。また、配信停止のURLが次なるスパムメール送信のきっかけになったり、料金を請求されたりされるので、そのようなメールは触らないのが良いです。 メーラーの設定で迷惑メールのフィルタリングや個別にドメイン指定して拒否することが有効です。

6.無料Wi-Fi

ホテルやカフェなど様々な場所で無料のWi-Fiが提供されています。ノートパソコンなどでちょっとした仕事を行う場合にとても便利ですが、この無料Wi-Fiも危険な場合があります。 例えば、無料Wi-Fiスポットは大抵、建物や店名などの名前で提供していることが多いですが、この名称に似せたWi-Fiスポットを悪意のある第三者が提供しアクセスしてきた人の通信情報を盗聴する危険があります。普段の通信はやり取りしている情報が比較的オープンになっているので注意が必要です。
モバイルルーターやスマホのテザリングなど安全な通信のみを利用することで対策が可能です。

第三者によるサイバー攻撃

1.セキュリティソフト

サイバー攻撃やウイルス対策として導入されたセキュリティソフトも対策パッチの公開前（脆弱性を改善する対策前）にその脆弱性をついたサイバー攻撃を行うことを「ゼロデイ攻撃」と呼びますが、先日起きた三菱電機のサイバー攻撃も、この「ゼロデイ攻撃」でした。 ゼロデイ攻撃は完全なる未知なものではなく過去に脆弱性の公表、修正版の公開が行われたものもあります。その為、セキュリティソフトなどは常に最新のものに更新するよう設定することが重要です。

2.不正アクセス

悪意のある第三者が不正アクセスし情報の改ざんやなりすましなどの被害を出す不正アクセスは様々な方法を使いアクセスしてこようとします。
IDとパスワードのみでアクセスするサイトやシステムは例えば「user1」などのよく使われる文字列をしていし、パスワードを「aaaaaやaaaab」のように総当たりで行い不正アクセスされます。この逆もあり、パスワードを「aaaaa」のようによくある文字列を指定し、IDを「user1」や「user2」などで不正にアクセスしようとするパターンです。
IDやパスワードは予測が簡単な文字列はやめて特に意味のない文字列でアルファベットと数字などを組み合わせることが有効です。

3.士業のテレワークにおけるセキュリティ対策

働き方改革推進の流れは今後も継続するでしょう。特にオリンピックイヤーの今年はより一層テレワークなどの働き方を導入/利用する企業や事務所が増えていきます。
裁判所や拘置所・警察署などへ出向く弁護士や顧客訪問のある社労士など何かと外出が多い士業はテレワーク向きの業種であると言われています。しかし、本記事でご紹介したように情報漏えいのリスクは多数あります。しかしながら社外での情報のやり取りや持ち出しを全て禁止することは現在の働き方の流れとは逆行します。
そこでセキュリティ機能を有するリモートアクセス「VALTEC SWAN」をご紹介致します。

VALTEC SWANは事務所外でもパソコンから事務所のパソコンへアクセスし普段使用しているファイルやデータ・システムなどで作業を行うことが出来るツールです。この際アクセス元のパソコンには情報が一切残りません。その為、使用しているPCを紛失したとしても情報の漏えいは全くありません。また、システムなどのIDやパスワードなどを盗み見されたとしても事務所のネットワーク（IP）のみの制限をかけることでIDとパスワードがわかっても第三者が利用することが出来なくなります。
本記事でご紹介した対策とVALTEC SWANを組み合わせて安全なテレワークを実施してみてはいかがでしょうか？ リモートアクセス「VALTEC SWAN」の資料をダウンロードする  

The post 個人情漏えいの原因一覧～士業の人も注意したいセキュリティ対策～ first appeared on クラウドPBX モッテル.