社外持ち出しPCのセキュリティリスクと対策ポイントは?
在宅勤務をはじめとするリモートワークが普通の働き方になった現在、会社所有のPCを働く場所に持ち出して利用するケースが多くなりました。そこで心配されるのは情報漏洩やウイルス感染被害です。どのようなリスクがあり、それぞれにどんな対策がとれるのかについて、今回は考えてみたいと思います。
PCを持ち出すことに伴う、5つのリスク
「2018年情報セキュリティインシデントに関する調査結果個人情報漏洩編(速報版)」(日本ネットワーク・セキュリティ協会)によると、情報漏洩の原因として最も多いのは紛失置き忘れ(26.2%)、次が誤操作(24.6%)、その次が不正アクセス(20.3%)となっています。これは個人情報に関する漏洩事件の報告件数を数えたものですが、それ以外の社内情報漏洩事件も同様の傾向なのではないかと類推できます。何を紛失・置き忘れしたのかといえば、USBメモリや紙(書類)が多くを占め、PC本体から漏洩したケースは5.4%にすぎませんが、漏洩発生件数と漏洩情報件数とはほぼ関係なく、PCや外部記録媒体からの個人情報漏洩は1件だけでも時に数万件にのぼることもあります。
重大な情報漏洩を予防するためには、まず会社所有デバイスの持ち出しリスクを理解しておく必要があります。本稿ではPCの場合に限りますが、主なリスクは次のポイントです。
(1)紛失・置き忘れ、盗難(ヒユーマンエラー)
(2)自宅など作業環境でのWi-Fi利用での盗聴
(3)インターネット経路での盗聴
(4)PC画面のショルダーハッキング(覗き見)などのソーシャルエンジニアリング
(5)社内ネットワークの脅威対策からの離脱によるウイルス感染・不正アクセス
これらリスクのあらましと対策を以下に記します。
(1)紛失・置き忘れ、盗難(ヒユーマンエラー)に対する対策
紛失・置き忘れ、盗難といったヒューマンエラーに起因するセキュリティリスクに対応するには、まずはデバイスの外部持ち出しのルール策定と遵守の徹底が基本です。持ち出しPCの貸し出し・返却の厳密な管理、責任の所在の明確化、利用目的に沿った申請・承認・履歴の管理も重要です。ルールがあり、誰がいつどこで何のために社内PCを使うのかが管理されていれば、本人の責任感が高まり、ウッカリミス予防につながります。また関連する部署のセキュリティ研修の頻度を高めたり、IT部門と密なコミュニケーションがとれる相談窓口を設けたりして基本的なセキュリティリテラシーを高めるのも一策です。
(2)自宅など作業環境でのWi-Fi利用時の盗聴対策
持ち出しPCのほとんどはWi-Fi内蔵のモバイル/ノートPCです。中には4G/5Gのいわゆるセルラー網接続可能なPCもあります。通信データの盗聴は、直接セルラー網を利用できる場合には発生したことがありませんから、安心して利用できます。一方、Wi-Fiを利用する場合は、接続時点で情報が盗聴されることがあるので注意が必要です。盗聴される可能性が高いのは、アクセスポイントの利用時にパスワードを必要としない公衆Wi-Fiスポットです。通信の暗号化が行われないので、すべての通信が同じスポットにいる第三者に見えてしまいます。そこで社内ネットワークへのログイン情報などが窃取されると、会社に被害を与える攻撃や情報窃取などが容易に行われてしまいます。
また、暗号化はされていても、古い通信暗号方式(WEP/WPA PSK)だと悪意あるハッカーには簡単に暗号解読されてしまいます。一方、現在主流のWPA2-PSK方式を用いる場合はほぼ心配ありません。自宅などのWi-Fiルーターでは暗号方式が選択可能ですので、WPA2-PSKを必ず設定して利用するルールにするとよいでしょう(※)。
公衆Wi-Fiスポットでは暗号方式をユーザーが選べませんので、例えばPCやスマホのWi-Fi設定画面で電波マークの横に錠前アイコンが表示されていない(パスワードがいらない=暗号化されないことを示す)場合はそのアクセスポイントに接続しないようにしましょう。また、錠前アイコンつきのアクセスポイント(パスワードを取得して暗号通信可能)に接続する場合でも、不特定多数の人が同じSSID(アクセスポイントのID)で同じパスワードを利用する(共用している)場合は盗聴が可能です。公衆Wi-Fiスポットでもメール認証やWeb認証などで個人向けに一時的なパスワードを発行する仕組みがあるケースも多いので、そうした安全なスポットを事前に探し、そのスポットだけで業務を行うようにすべきでしょう。
なお、PCのWi-Fi自動接続機能がONの場合、一度リスクの高いアクセスポイントに接続すると次回も同じアクセスポイントに自動接続する危険があります。気づかずにリスクのある接続をしないよう、自動接続機能をOFFにすることもおすすめします。
また、会社によっては、持ち出しPCとともにモバイルWi-Fiルーターを貸し出し、モバイルWi-FiルーターとPC間はWPA2-PSKで接続、モバイルWi-Fiルーターとインターネット〜会社ネットワーク間はセルラー網を利用するケースがあります。これなら自宅などのWi-Fiルーター機能によらず、安心して通信ができます。
(3)インターネット経路での盗聴への対策
以上はインターネットにWi-Fiで接続する場合の接続時点でのリスクと対策ですが、インターネットを介して暗号化なしでの通信を行う場合はいつでも、途中の通信経路のどこかで第三者に盗聴されるリスクがあります。これには、社内ネットワークとリモート端末とを仮想的的な専用線でつなぐVPN(Virtual Private Network)サービスを利用することが最良の対策になります。エンドトゥエンドで暗号化通信が行えるため、安全性が高まります。現在は無料のVPNサービスが目立ちますが、セキュリティを確保するには有料VPNサービスのほうが安心です。また業務データが大きい場合には、速度や容量面から有料サービスでなければ対応できないことも多いでしょう。
(4)PC画面のショルダーハッキング(覗き見)などのソーシャルエンジニアリングへの対策
ID/パスワードを付箋に書いてPCに貼っている人を見かけることがありますが、その危険は言うまでもありません。同様に、ログイン情報をメモして用済み後にゴミ箱に捨てたり、後ろ(肩越し)に誰かが画面を覗き込める(ショルダーハッキング可能な)状態でログイン情報を入力するなど、悪意ある第三者がログイン情報を取得(これをソーシャルエンジニアリングといいます)できる状況を作り出さない注意が必要です。
業務に使う様々なログイン情報は時には数十個などといった数にのぼりますから、全部を暗記するのは現在では不可能です。対策としては、ログイン情報をWord文書などにしてパスワード保護を施しておいたり、ログインIDとサービス名、サービス名とパスワードをそれぞれ別々の手帳などに記して、別の場所に保管するといった対策が考えられます。スマホなどのパスワード管理アプリを利用するのも一策です。
画面を肩越しに覗かれるのを防ぐには、横や上からの覗き込みを防ぎ、真正面からしか画面を見られない偏光フィルターを画面に装着しておく手があります。これだと周りに人が多い状態でも安心して作業できます。
(5)社内ネットワークの脅威対策からの離脱によるウイルス感染・不正アクセスへの対策
1 HDD暗号化、BIOSパスワード設定
たとえPCが盗用されても、内部データが不正利用されないようにするために、基本的にはWindowsのBitLockerをはじめとするドライブ暗号化ツールを利用して、HDD、SSD、利用する可能性のあるUSBメモリなどをすべて暗号化しておくことをお勧めします。
またOSのログインパスワード設定は当然のこととして、BIOSパスワード(OS起動前のBIOS起動にパスワードを要求します)を設定しておくことでより安全性が高まります。PC配布前のキッティング時点で適切に設定しておくとよいでしょう。
なお、OSへのログインにあたってはログインパスワードに代替可能な指紋認証やICカード認証などの二要素/多要素認証を組み合わせることができます。PC導入時にこうした多要素認証の装備がある機種を選ぶか、外付けの認証機器を用意すると、PC盗用を効果的に予防できます。
2 セキュリティソフト、アプリ、OSの適時更新
会社のネットワークセキュリティ対策が届かないリモートワークでは、PCがウイルス感染したり、不正アクセスされたりするリスクが一段と高まります。社内であればUTMなどのセキュリティツールがはねのけていたスパムメールや不正アクセスが持ち出しPCに届く可能性があります。また要注意サイトへの接続時の警告や遮断なども無効になるからです。ウイルス感染はすぐにPCに被害をもたらさないことも多く、会社ネットワークに接続したタイミングで本格的に不正な活動を始めるウイルスもあります。感染に気づかずにいると、出社した際に会社ネットワークを危機に追い込むことになるかもしれません。
そこで、アンチウイルスツール、パーソナルファイアウォールなどを利用し、できるだけ安全を確保する対策がPCに必要です。またそれらセキュリティツールでは継続的に更新が必要になります。これはOSやアプリでも同様です。業務にあまり大きな影響を与えずに、ソフトウェアやパターンファイルなどをスケジュールに基づいて自動更新できる仕組みがあると、持ち出しPC全部に漏れなく最新の更新を施すことができます。IT資産管理ツールや、統合型のセキュリティ管理ツールなどには更新管理と実行機能がありますから、予算に余裕があれば導入検討することをお勧めします。
3 リモートロック、リモートワイプ
PCの紛失・置き忘れ、盗難に際して、その事実を知った時点でリモートでPCを使用できないように管理者がリモートからロックすることができますし、場合によってはデータの入ったフォルダを削除するリモートワイプも可能です。Windows 10、11にはこれら機能が備わっています。これらを効率的に適用するためには、やはりIT資産管理ツールが利用できます。
持ち出しPCといっても、昨今はいわゆる「シンクライアント」と呼ばれる、端末自身にデータ記録ができない構成の専用端末あるいは専用PCが使われることも多くなっています。その場合は会社のIT運用ポリシーに準じたセキュリティ対策が予めとられており、ネットワーク接続も特定のVPN(仮想の専用線)を利用したり、携帯電話網利用に限るなどのネットワーク利用法も指定されていることが多いでしょう。そうした運用法がとれる会社ではあまり心配はありませんが、ふだん会社で利用している普通のPCを自宅に持ち帰って仕事に使う場合は、会社側も社員側もセキュリティに十分に配慮する必要があります。
多様な働き方が求められる昨今、リモートワークをコロナ禍とは無関係に継続する意向の会社が多くなっています。冒頭で触れたシンクライアントシステムの導入は現時点では最も安心できるリモートPC管理の手法ですが、システム導入のコスト面での敷居はかなり高いと言わざるを得ません。まずは上述のように、持ち出しルールの策定・徹底、ネットワーク利用上のリテラシー向上、HDD暗号化、BIOSパスワードなど、簡単に着手可能な部分からセキュリティ向上を図ってはいかがでしょうか。
※なお、WPA2方式にも脆弱性(攻撃された場合の弱点)が見つかっていますが、重要ポイントは修正されているのであまり心配はありません。ただこれで盤石というわけではなく、さらに強固なWPA3方式も登場しています。しかしこれにも脆弱性が指摘されており、攻撃と対策のいたちごっこはいつまでも続くようです。
“コスパ最強”の勤怠管理システム
