さまざまな組織で定着しつつあるテレワークとハイブリッドワーク。便利な働き方だが、危ない側面もある。組織にどのようなセキュリティリスクをもたらしているのか。
新型コロナウイルス感染症(COVID-19)のパンデミック(世界的大流行)を機に普及してきたテレワークとハイブリッドワーク(テレワークとオフィスワークの組み合わせ)。この働き方は従業員にとっての自由度を高めると同時に、セキュリティのリスクをもたらす。中にはテレワークを続ける従業員の心理的な影響が及ぼす、警戒すべきリスクもある。「ハイブリッドワーク10大リスク」をまとめた。
アタックサーフェスとは、攻撃対象領域を指す。ハイブリッドワークによって従業員の使っているデバイスやネットワーク接続ツール、業務用ソフトウェアが増え、アタックサーフェスが拡大する。一方で、大半の組織でIT管理者やセキュリティ担当が不足しがちだ。そのため、組織は攻撃対象領域の管理やリスク対策が十分にできず、攻撃を受けるリスクが高まる。
ハイブリッドワークがもたらす大きなリスクの一つは、データ流出だ。組織は従業員が機密情報をローカルデバイスに保存するのを防ぐツールを導入したり、強固なデータ保護ポリシーや手順を定めたりしている。しかしそれでもデータ紛失は起こり得るとセキュリティ専門家は指摘する。大半は、仕事をしていた喫茶店でPCの画面を見られた、といった不注意やうっかりミスによるものだ。しかし、例えば会社に不満があって退職を考えている従業員が悪意を持ってデータを流出させるケースも想定しなければならない。
組織はさまざまなデータの利用に関して、プライバシーやデータ保護のルールを設けなければならない。ハイブリッドワークによって、従業員が意図せずにそれらのルールに違反する可能性がある。その場合、セキュリティのリスクだけではなく、コンプライアンス(法令順守)問題も発生し得る。特に国境を越えたビジネス活動をしている組織は要注意だ。
フィッシングをはじめとしたソーシャルエンジニアリング攻撃は、ハイブリッドワークでなくても脅威となる。しかしセキュリティ専門家によると、ハイブリッドワークの方が、ソーシャルエンジニアリング攻撃が成功しやすい。自宅や喫茶店で仕事していると、注意が散漫になりやすく、不正リンクをクリックしやすくなるからだ。
フィッシングメールは同僚や上司になりすまして機密情報の提供を求めるケースが少なくない。オフィスにいる人は、メールが本物かどうかを同僚や上司に簡単に確認できるが、テレワークだと確認がしにくくなる。このことも、ハイブリッドワークを導入している組織を狙ったソーシャルエンジニアリング攻撃が成功しやすい原因の一つだ。
攻撃者はソーシャルエンジニアリング攻撃を自動化したり、成功率を高めたりするために、人工知能(AI)技術を利用している。オフィスにいない人は、定期的に他人と顔を合わせる機会があまりないので、AI技術によるメールや画像を本物と区別することが難しいと考えられる。
攻撃者は最近、AI技術を使えば、文法の誤りや不自然な表現をなくし、より“本物らしい”フィッシングメールの作成ができるようになっている。対面では、その人の話し方の特徴やよく使う言い回しなどを把握して直感でフィッシングメールを見破れる可能性がある。しかしテレワークだと、それは難しくなる。
次回は、ハイブリッドワークの10大リスクのうち、残る5つを紹介する。
米国TechTargetの豊富な記事の中から、さまざまな業種や職種に関する動向やビジネスノウハウなどを厳選してお届けします。
Copyright © ITmedia, Inc. All Rights Reserved.
サイバー攻撃が巧妙化し、セキュリティチームとSOCは常に厳戒態勢を取り続けている。さらにデジタルフットプリントの拡大に伴い、セキュリティデータが絶え間なく往来する事態が生じている。このような状況に対応するには、SOARが有効だ。
最新のサイバー攻撃に即座に対応するためには、SOCを従来の在り方から変革することが重要になる。しかし、何をすればよいのか分からないという組織も多い。そこで本資料では、現在のSOCが抱えている5つの課題とその解決策を紹介する。
高度化するサイバー脅威に効率的に対処するには、セキュリティの自動化が欠かせない。だが自動化の効果を高めるには、使用ツールの確認、ワークフローの分析などを行った上で、正しいステップを踏む必要がある。その進め方を解説する。
脆弱性対策は作業量や難易度を予測しづらく、限られたリソースで対応するのが難しい。さらに、単体の深刻度評価のみとなる一般的なセキュリティ監査ツールでは、包括的な分析は容易ではない。これらの課題を、AIはどう解決するのか。
情報漏えいを防ぐためには、重大なインシデントになる前のヒヤリハットをいかに防ぐかが重要になる。そこで本資料では、Microsoft 365を利用している組織に向けて、情報漏えいの危険性が高い5つのヒヤリハットを紹介する。
数分でデータを人質に 進化するランサムウェアに有効な「第2世代EDR」とは (2025/3/4)
クラウドサービスの脆弱性をどう解消する? 安全な開発環境を構築するヒント (2025/3/4)
「複雑、高額、難しい」を変える中堅・中小向けSASEのメリットを解説 (2025/2/10)
「Box」に移行してもなくならない「お守り仕事」を根本から効率化するには? (2025/1/23)
これからのセキュリティ対策に必要な「防御側の優位性」、AIはどう実現する? (2025/1/22)
お知らせ
米国TechTarget Inc.とInforma Techデジタル事業が業務提携したことが発表されました。TechTargetジャパンは従来どおり、アイティメディア(株)が運営を継続します。これからも日本企業のIT選定に役立つ情報を提供してまいります。
「ECプラットフォーム」売れ筋TOP10(2025年4月)
今週は、ECプラットフォーム製品(ECサイト構築ツール)の国内売れ筋TOP10を紹介します。
「パーソナライゼーション」&「A/Bテスト」ツール売れ筋TOP5(2025年4月)
今週は、パーソナライゼーション製品と「A/Bテスト」ツールの国内売れ筋各TOP5を紹介し...
Cookieを超える「マルチリターゲティング」 広告効果に及ぼす影響は?
Cookieレスの課題解決の鍵となる「マルチリターゲティング」を題材に、AI技術によるROI向...
ITmediaはアイティメディア株式会社の登録商標です。
