サイバー攻撃対策

ビジネスチャットツールが抱える
セキュリティリスクとは?
スピード感と両立するための対応方法

  • TOP
  • 課題から探す
  • ビジネスチャットツールが抱えるセキュリティリスクとは?スピード感と両立するための対応方法

法人のお客さまに起こりがちな状況

ビジネスでの情報のやりとりは、インターネットの普及によって大きく様変わりしました。電話やFAXと言った情報のやりとりが電子メールに取って代わり、情報の流通量、流通速度が非常に高まっています。

現在はそれに加えて、より手軽、かつ即応性が高いツールとしてビジネスチャットツールが普及してきています。このビジネスチャットツールが持つ可能性と、同時に想定されるリスクなどについてご紹介します。

ビジネスチャットツールの利活用状況

ビジネスチャットツールはここ数年で一気に普及が進みました。

個別のチャットによるログ保存やその検索機能、グループチャットによる複数人での議論など、ビジネスチャットツールならではの利便性がある他、ビジネスチャットツールとは言いつつも単純にチャット機能だけではなく、ビデオ通話機能やAPIを使った外部ツールとの連動機能が備わっているケースも見受けられます。

多くのサービスが機能や人数限定ながらも無料で使用できるのも、重宝される理由の一端です。

元々IT系の企業が社内コミュニケーションツールとして利用していたケースが多かったものの、最近では企業間のコミュニケーションツールとしても利用されるケースが増えてきています。

コロナ禍においてはテレワークが推進されたこともあり対面でのコミュニケーションが難しくなった関係でより積極的に導入する企業が増え、あるビジネスチャットツールではコロナ禍で登録ID数が前年比で30%以上も増加しているそうです。

メールと比較してアプリ対応でスマートフォンなどでも導入が非常に楽なため、社内対応のみならず営業部門などの外回りを行う部門においても導入が進んでいます。

ビジネスチャットツールが持つセキュリティリスク

手軽なやりとりが可能なビジネスチャットツールですが、急激に成長している分セキュリティリスクについても当然増加しています。やりとりが手軽な分、メールではきちんと確認するような内容でも気軽にやりとりしてしまったり、相手から来たURLや添付ファイルも何も考えずに開いてしまったりするケースがほとんどではないでしょうか。

マルウェア感染対策として紹介されるケースは、メールでのやりとりが多いため見落とされがちですが、ビジネスチャットツールはお互いにスピード感重視で動く傾向があるためセキュリティ意識が希薄になりがちです。

例えば想定されるセキュリティインシデントのケースとしては、以下があります。

  • アカウントが乗っ取られ、全社員向けのチャットにマルウェア感染を目的としたサイトへのURLが貼られた
  • 取引先から添付ファイルが届いたので開いたら、マルウェアが入っており端末が感染した
  • 取引先について社内のメンバーから質問されたので回答したら、実はアカウントが乗っ取られており、外部の悪意を持った人間だった
  • 誤って社外の人間がいるグループチャットで機密情報を書いてしまった
  • 個人情報を含むデータを、パスワードも付けずにグループチャットで送ってしまった
  • アカウントが乗っ取られ、社内でビジネスチャットツール上に共有しているデータがすべてダウンロードされ、情報流出が発生した
  • ツールを個人のスマートフォンでもインストールし見られるようにしていたら、紛失してしまい情報流出の可能性が出てしまった

便利なのでどこでも使えるようにしておく、簡単なので取りあえず返信しておく、送られてきたので取りあえず中身を確認してみる。

本人にとっては悪気もなく何気ない判断かもしれませんが、簡単に大きなインシデントを発生させてしまうのがビジネスチャットツールです。

メールの送信なら、毎回添付ファイルや宛先、ファイルのパスワード設定等をきちんと確認するのに、チャットの場合、ついうっかりドラッグアンドドロップしてしまうだけでさっと共有されてしまうのが怖いところです。しかもメールであればパスワード付きで送付するところ、ビジネスチャットツールではそのスピード感の兼ね合いでパスワードなしで送ってしまうこともあったりするようです。

いわゆる「PPAP(パスワード付ファイル+パスワードメール別送)」の安全性について議論されているところはあるものの、ビジネスチャットツールにおいては、それ以前のセキュリティ意識が問題となりつつあります。ビジネスチャットツールの利便性と表裏一体のリスクについて、全社員が自覚したうえで業務に臨む必要があります。

ビジネスチャットツール対応のためのセキュリティ対策

原則としてビジネスチャットツールであっても、情報セキュリティ対策で極端な考え方の違いはありません。

「ルール」「人(教育)」「技術」の3本柱で対策を検討する必要があり、その徹底こそがリスク低減に対する最大の対抗策と言えます。

ルールの観点では、以下のような内容を再確認しましょう。

  • 機密情報が含まれる内容の場合は、書き込もうとしているチャットグループが適切な開示権限を持つメンバーで構成されているかを確認すること
  • URLをクリックする際は、必ずドメインや内容を確認すること
  • 添付ファイルは、必ずセキュリティソフトのスキャンを行ったうえで開くこと
  • ビデオ通話機能を使う際などは、周囲に第三者がいないことを確認したうえで使用すること
  • ログインに際しては二段階(二要素)認証がある場合、必ず使用すること

全体としてメールでも同様の対応を行うことが多いので、メールで行っているセキュリティリスク低減方法はビジネスチャットでも同様に行い、同時に固有の事象についてもきちんとリスクを把握したうえで対応するのが重要です。

人(教育)の観点では、研修実施時に資料にチャットツールでの被害事例や想定ケースなどを盛り込み「メールだけが注意するべきツールではないこと」をしっかりと伝えることが重要です。むしろやりとりのハードルが下がった分これまでよりも意識的にリスクがないかを見ていく必要があることを啓発していきましょう。

また、スマートフォンは盲点になりがちで、閲覧可能な状態になるとすべての情報が見られることになってしまいます。スマートフォン自体のパスワードを必ずかけておくことや、アプリをインストールした状態で紛失した場合はすぐに会社に届け出ることなど、リスクをしっかりと伝えたうえで対応方法を理解してもらいましょう。

技術の観点では、ツール選定時に二段階認証、モバイルデバイス制限、IPアドレスによるアクセス制限を要件に盛り込むこと、WAF導入やセキュリティソフトの検出力を選定基準に入れるなど、情シス担当として業務効率とセキュリティレベルのバランスを取りながら最適な部分を検討する必要があります。

人(教育)の段でもお伝えした通りここでもスマートフォンに対する対応は漏れがちです。もしスマートフォンでの利用も許可している場合は、同時にスマートフォン側のセキュリティソフトの導入等も併せて検討しておきましょう。

もし仮にテレワークをBYODで実施しているケースの場合は、各端末にどのようなセキュリティソフトがインストールされているのかを確認し、問題ないかを個別に判断するなどの対応も必要です。

※BYOD端末はライセンス上、法人向けのセキュリティソフトや各種ソリューションの導入が、NGとなっている場合があります。必ずライセンスを確認のうえ導入をご検討ください。

こうした取り組みを行った上で、なお実務上怖いのは、ビジネスチャット上に書き込まれた何気ないURLからの遷移です。添付ファイルについては、ダウンロード→実行と2段階の手順が踏まれることが多く、かつ大多数の方がセキュリティ研修やニュースなどでマルウェア感染の怖さを知っているため、注意してもらいやすくなっています。

しかしURLのクリックについては、ワンアクションでページのロードとスクリプトの実行が行われるため、避けにくいところがあります。Webレピュテーション機能を持つエンドポイントのセキュリティ対策をしっかりと行って(ビジネスチャットに限らずですが)不正サイトやページへのアクセスを未然に防げるようにしておくのが、ビジネスチャットを利用するうえでのセキュリティ対策の要とも言えます。

ビジネスチャットツールのセキュリティ対策はスピード感を落とさない方法を

ビジネスに求められるスピード感は年々早まっています。コロナ禍において対面でのやりとりが難しくなったこともあり、ビジネスチャットツールが求められる役割は大きく高まりました。同時にビジネスチャットツールの普及が進むと、悪意を持った人間から狙われやすくなってしまうことも意味します。

情シス担当者は、ビジネスのスピード感を落とさず、かつセキュリティレベルを維持することが今後求められる重要な役割です。そのためには各種ソリューションを活用し、フェイルセーフを意識した体制を構築することが重要です。

抜け漏れが発生することを前提としつつ、できる限り事前にアラートを挙げられるようにしておけばインシデントの発生率を下げることができるはずです。ソリューションの機能とコストを検討し、適切な対応を行いましょう。

トレンドマイクロからのアドバイス

ビジネスチャットツールは社内外のコミュニケーション速度を上げるために、今や必須とも言えるツールとなりました。

トレンドマイクロではビジネスチャットのセキュリティリスクにも対応できるソリューションを数多く持っています。自社の体制をご確認のうえ、不足している点がありましたらぜひご検討ください。

軽くて・強くて管理負担が少ない中小企業向けクラウドセキュリティ

ウイルスバスター™ビジネスセキュリティサービス(VBBSS)は現場から求められる「速さ」と「防御力」を両立させるとともに、管理者が求める「導入のしやすさ」や「管理のしやすさ」にもこだわったセキュリティ製品です。

従業員数の増減に合わせてPC1台から手軽に導入可能でありながら全PCのセキュリティを遠隔管理できます。

「クラウド型」のため管理サーバも不要で、管理者、ユーザ共に自宅などのテレワーク環境で作業するケースにも対応した管理サーバも不要な管理コスト軽減に貢献できるソリューションとなっています。

事前予防と事後対処を実現するエンドポイントセキュリティ

Trend Micro Apex One SaaSはセキュリティをクラウドからサービスとして提供する (Security as a Service)として、クラウド基盤を活用した新しいインシデント対応を行っています。

管理サーバのメンテナンスを不要とし、自動アップデートにより運用管理工数を大幅に削減、管理コストの最適化を図ることのできる「サービスとしてのセキュリティ (SaaS)」です。

この課題を解決する製品

導入前の製品や購入に
関するお問い合わせ
ご担当者様の課題解決を電話やメールで受け付けます。
製品や購入に関するご不明点がある方はお気軽にご相談ください。

導入前の製品や購入に関する
お問い合わせ

オンライン見積り
トレンドマイクロのセキュリティ対策製品のお見積りを
オンラインでご確認いただけます。

オンライン見積り