さまざまな組織で定着しつつあるテレワークとハイブリッドワーク。便利な働き方だが、危ない側面もある。組織にどのようなセキュリティリスクをもたらしているのか。
新型コロナウイルス感染症(COVID-19)のパンデミック(世界的大流行)を機に普及してきたテレワークとハイブリッドワーク(テレワークとオフィスワークの組み合わせ)。この働き方は従業員にとっての自由度を高めると同時に、セキュリティのリスクをもたらす。中にはテレワークを続ける従業員の心理的な影響が及ぼす、警戒すべきリスクもある。「ハイブリッドワーク10大リスク」をまとめた。
アタックサーフェスとは、攻撃対象領域を指す。ハイブリッドワークによって従業員の使っているデバイスやネットワーク接続ツール、業務用ソフトウェアが増え、アタックサーフェスが拡大する。一方で、大半の組織でIT管理者やセキュリティ担当が不足しがちだ。そのため、組織は攻撃対象領域の管理やリスク対策が十分にできず、攻撃を受けるリスクが高まる。
ハイブリッドワークがもたらす大きなリスクの一つは、データ流出だ。組織は従業員が機密情報をローカルデバイスに保存するのを防ぐツールを導入したり、強固なデータ保護ポリシーや手順を定めたりしている。しかしそれでもデータ紛失は起こり得るとセキュリティ専門家は指摘する。大半は、仕事をしていた喫茶店でPCの画面を見られた、といった不注意やうっかりミスによるものだ。しかし、例えば会社に不満があって退職を考えている従業員が悪意を持ってデータを流出させるケースも想定しなければならない。
組織はさまざまなデータの利用に関して、プライバシーやデータ保護のルールを設けなければならない。ハイブリッドワークによって、従業員が意図せずにそれらのルールに違反する可能性がある。その場合、セキュリティのリスクだけではなく、コンプライアンス(法令順守)問題も発生し得る。特に国境を越えたビジネス活動をしている組織は要注意だ。
フィッシングをはじめとしたソーシャルエンジニアリング攻撃は、ハイブリッドワークでなくても脅威となる。しかしセキュリティ専門家によると、ハイブリッドワークの方が、ソーシャルエンジニアリング攻撃が成功しやすい。自宅や喫茶店で仕事していると、注意が散漫になりやすく、不正リンクをクリックしやすくなるからだ。
フィッシングメールは同僚や上司になりすまして機密情報の提供を求めるケースが少なくない。オフィスにいる人は、メールが本物かどうかを同僚や上司に簡単に確認できるが、テレワークだと確認がしにくくなる。このことも、ハイブリッドワークを導入している組織を狙ったソーシャルエンジニアリング攻撃が成功しやすい原因の一つだ。
攻撃者はソーシャルエンジニアリング攻撃を自動化したり、成功率を高めたりするために、人工知能(AI)技術を利用している。オフィスにいない人は、定期的に他人と顔を合わせる機会があまりないので、AI技術によるメールや画像を本物と区別することが難しいと考えられる。
攻撃者は最近、AI技術を使えば、文法の誤りや不自然な表現をなくし、より“本物らしい”フィッシングメールの作成ができるようになっている。対面では、その人の話し方の特徴やよく使う言い回しなどを把握して直感でフィッシングメールを見破れる可能性がある。しかしテレワークだと、それは難しくなる。
次回は、ハイブリッドワークの10大リスクのうち、残る5つを紹介する。
米国TechTargetの豊富な記事の中から、さまざまな業種や職種に関する動向やビジネスノウハウなどを厳選してお届けします。
Copyright © ITmedia, Inc. All Rights Reserved.
いまさら聞けない「仮想デスクトップ」と「VDI」の違いとは
遠隔のクライアント端末から、サーバにあるデスクトップ環境を利用できる仕組みである仮想デスクトップ(仮想PC画面)は便利だが、仕組みが複雑だ。仮想デスクトップの仕組みを基礎から確認しよう。
「パーソナライゼーション」&「A/Bテスト」ツール売れ筋TOP5(2025年5月)
今週は、パーソナライゼーション製品と「A/Bテスト」ツールの国内売れ筋各TOP5を紹介し...
「マーケティングオートメーション」 国内売れ筋TOP10(2025年5月)
今週は、マーケティングオートメーション(MA)ツールの売れ筋TOP10を紹介します。
「サイト内検索」&「ライブチャット」売れ筋TOP5(2025年4月)
今週は、サイト内検索ツールとライブチャットの国内売れ筋TOP5をそれぞれ紹介します。
ITmediaはアイティメディア株式会社の登録商標です。
