「ひきこもり社員」が危ない? 出社×テレワークで深まるセキュリティの闇:ハイブリッドワーク10大リスクと8大対策【前編】
さまざまな組織で定着しつつあるテレワークとハイブリッドワーク。便利な働き方だが、危ない側面もある。組織にどのようなセキュリティリスクをもたらしているのか。
新型コロナウイルス感染症(COVID-19)のパンデミック(世界的大流行)を機に普及してきたテレワークとハイブリッドワーク(テレワークとオフィスワークの組み合わせ)。この働き方は従業員にとっての自由度を高めると同時に、セキュリティのリスクをもたらす。中にはテレワークを続ける従業員の心理的な影響が及ぼす、警戒すべきリスクもある。「ハイブリッドワーク10大リスク」をまとめた。
ひきこもり社員が危ない? 出社×テレワークの“10大リスク”とは
1.「アタックサーフェス」の拡大
アタックサーフェスとは、攻撃対象領域を指す。ハイブリッドワークによって従業員の使っているデバイスやネットワーク接続ツール、業務用ソフトウェアが増え、アタックサーフェスが拡大する。一方で、大半の組織でIT管理者やセキュリティ担当が不足しがちだ。そのため、組織は攻撃対象領域の管理やリスク対策が十分にできず、攻撃を受けるリスクが高まる。
2.データ流出
ハイブリッドワークがもたらす大きなリスクの一つは、データ流出だ。組織は従業員が機密情報をローカルデバイスに保存するのを防ぐツールを導入したり、強固なデータ保護ポリシーや手順を定めたりしている。しかしそれでもデータ紛失は起こり得るとセキュリティ専門家は指摘する。大半は、仕事をしていた喫茶店でPCの画面を見られた、といった不注意やうっかりミスによるものだ。しかし、例えば会社に不満があって退職を考えている従業員が悪意を持ってデータを流出させるケースも想定しなければならない。
3.データ保護規則への違反
組織はさまざまなデータの利用に関して、プライバシーやデータ保護のルールを設けなければならない。ハイブリッドワークによって、従業員が意図せずにそれらのルールに違反する可能性がある。その場合、セキュリティのリスクだけではなく、コンプライアンス(法令順守)問題も発生し得る。特に国境を越えたビジネス活動をしている組織は要注意だ。
4.ソーシャルエンジニアリング攻撃
フィッシングをはじめとしたソーシャルエンジニアリング攻撃は、ハイブリッドワークでなくても脅威となる。しかしセキュリティ専門家によると、ハイブリッドワークの方が、ソーシャルエンジニアリング攻撃が成功しやすい。自宅や喫茶店で仕事していると、注意が散漫になりやすく、不正リンクをクリックしやすくなるからだ。
フィッシングメールは同僚や上司になりすまして機密情報の提供を求めるケースが少なくない。オフィスにいる人は、メールが本物かどうかを同僚や上司に簡単に確認できるが、テレワークだと確認がしにくくなる。このことも、ハイブリッドワークを導入している組織を狙ったソーシャルエンジニアリング攻撃が成功しやすい原因の一つだ。
5.AI技術を利用した攻撃
攻撃者はソーシャルエンジニアリング攻撃を自動化したり、成功率を高めたりするために、人工知能(AI)技術を利用している。オフィスにいない人は、定期的に他人と顔を合わせる機会があまりないので、AI技術によるメールや画像を本物と区別することが難しいと考えられる。
攻撃者は最近、AI技術を使えば、文法の誤りや不自然な表現をなくし、より“本物らしい”フィッシングメールの作成ができるようになっている。対面では、その人の話し方の特徴やよく使う言い回しなどを把握して直感でフィッシングメールを見破れる可能性がある。しかしテレワークだと、それは難しくなる。
次回は、ハイブリッドワークの10大リスクのうち、残る5つを紹介する。
TechTarget発 世界のインサイト&ベストプラクティス
米国TechTargetの豊富な記事の中から、さまざまな業種や職種に関する動向やビジネスノウハウなどを厳選してお届けします。
Copyright © ITmedia, Inc. All Rights Reserved.