VPNとは?セキュリティは完璧ではない?

ITリテラシー
ITリテラシー

次のうち最も安全なデータアクセス方法はどちらだと思いますか?

  1. 社内のファイルをハードディスクで持ち運び社外で利用した
  2. VPNを設定して社外からアクセスした
  3. 自分のアカウントだけ社内のシステムに入れるようにこっそりと変更した
  4. 社内のファイルをプリントして持ち運び社外で利用した

3は明らかにNG。1,2,4はいずれとも言えるかと思います。
あえて一つに絞らせていただくとしたら[2. VPNを設定して社外からアクセスした] が最も安全かと思います。

情報漏えいの原因ランキング上位には、常に「紛失」というヒューマンエラーがランクインしているからです。

上記観点からVPNが最も安全性が高いと考えておりますが、100%ではありません。
VPNでも発生した事件/リスクについてご紹介します。

実際にあったトラブル事例

「社外からも社内と同じように、社内システム内の全てのファイルにアクセスできるようにしていたところ、従業員が外出先でテレワーク中に顧客の機密情報が表示された状態で作業画面を放置してしまい、機密情報が盗み見された。その秘密情報をネット上の匿名掲示板に書き込まれてしまったことで、顧客から取引停止を申し渡された。」

対応策

テレワークにおいて、周囲に人がいる環境で作業をするケースもあります。そのため、部外者の立ち入りが制御できる社内では考えにくい、パソコンやスマートフォン画面の盗み見等による情報漏洩リスクについて考慮する必要があります。

このようなトラブルは、「ルール」「人」「技術」それぞれに関わる問題点を認識した上で、対策が必要です。

まず「ルール」として、システム管理者が予め情報のレベル分けを行い、各情報の取扱方法を定めます。
次に「技術」の対策として、重要情報については社外からのアクセスを不可となるように設定することが考えられます。ただし、テレワーク端末からアクセスする場合はVPN(仮想専用線)などを検討する必要があります。
最後に「人」の対策として、重要情報を扱うときに画面を放置する危険性を意識として持つ必要があります。
また人がいる場合は重要情報にアクセスしないなど、テレワーク勤務者の意識を高めることで未然防止を図ることが望まれます。

VPNとは

VPNとはVirtual Private Networkの略称になり、インターネット上に仮想の専用線を設けることができるツールです。
トンネルのイメージが近いでしょうか。そのトンネルの中に回線を通すことで、盗み見や改ざん等の情報漏洩を防ぐことができます。

VPNの利用ケース

VPNが主に利用されているケースを2つご紹介します。

1.企業同士が遠隔でデータを送信する場合
企業の本社と支社で重要なデータを送受信する場合、盗み見や改ざんを防ぐためVPNで繋ぎます。

2.無料Wi-fiを利用する場合
空港やカフェなどの無料Wi-fiは便利な反面、通信内容を盗み見される危険性があります。VPNを利用することで、情報の漏洩を防ぐことができます。

VPNツール(OpenVPN)

VPNは個人でも手軽に利用することができます。「OpenVPN」はオープンソースで比較的簡単に利用できるツールです。
VPNを試してみる場合や、または業務に導入する際はシステム管理者に相談しましょう。

OpenVPNとは | OpenVPN.JP

VPNの安全性

VPNはあくまで仮想の専用線のため、セキュリティが100%安全となるわけではありません。
間違った使い方では、情報漏えいに繋がってしまいます。VPNを過信せず、本当に大事なデータに関しては物理的に渡したり、パスワードを強化するなど、他の対策も検討しましょう。

紙媒体の活用

テレワークは暗号化の対策を行うために、業務に必要な情報は電子データ化し、ペーパーレス化することが推奨されます。
しかし、多くの企業では、紙媒体で情報を持ち出すケースが多いです。

「2018年情報セキュリティインシデントに関する調査結果~個人情報漏えい編~」によると、情報漏洩媒体・経路のうち、紙媒体が132件と一番多く、約1/4を占めるという結果が出ています。


2018年情報セキュリティインシデントに関する調査結果~個人情報漏えい編~
https://www.jnsa.org/result/incident/data/2018incident_survey_sokuhou.pdf

紙媒体による情報の持ち出しは、資料の紛失・盗難等による情報漏洩に繋がるリスクとして認識し、これらを踏まえたルールを定める必要があります。
また、カフェなどと比べてコワーキングスペースはオフィスに近い環境のため、紙媒体の資料を置き忘れるケースが多いです。
コワーキングスペースと言えど、社外ということを認識し、注意して業務を行いましょう。

POINT

情報セキュリティ対策は「ルール」「人」「技術」それぞれに関わる問題点を認識した上で、対策を練ることが重要です。

menter_logo

[法人向け]
文系DX人材育成なら『MENTER』

「うちの会社はITリテラシーが低い...」
「DXを行うには人材育成から始めなくては...」
「自動化やAI理解できる社員が増えたらな...」

デジタルに強い人材育成を行うオンライン学習サービス『MENTER』が、そんなお悩みを解決します!

・マンガで楽しくインターネットについて学習
・ショートカットキーからAIの設計まで
・大手企業の導入事例/成功事例あり
・DX人材育成について相談/事例集請求/無料トライアル/ITリテラシー無料診断可能

MENTER紹介ページを‍見る
お問い合わせは ‍こちら

ITスキルアップ相談室

コメント

タイトルとURLをコピーしました