近年、コミュニケーションツールの本流はEメールからビジネスチャットへと移り変わりつつあります。ビジネスチャットは双方向コミュニケーションを容易にしますが、他方でセキュリティの脆弱性を懸念する声も少なくありません。本記事では、ビジネスチャットを活用する際のセキュリティリスクや具体的な対策について解説します。
ビジネスチャットには優れたセキュリティ機能がある
ビジネスチャットとは、リアルタイム性に優れる双方向の対話や情報共有を実現するコミュニケーションツールです。NTT西日本が運営する「Biz Clip」の調査(※)によると、調査対象となった企業のビジネスチャット導入率は43.1%で、従業員数が1万人以上の企業では79.9%が導入済みという結果になっています。ビジネスチャットがコミュニケーションツールの主流となっている理由のひとつは、情報セキュリティに対する安全性の高さです。
関連記事:ビジネスチャットとは? メリットや成功事例、安全性について解説
多くのビジネスチャットには「IPアドレスの制限」「端末認証」「通信の暗号化」「ログの保存」「送信内容の修正・削除」といった機能が搭載されており、金融機関や官公庁が求めるレベルのセキュリティ要件を満たすサービスも少なくありません。そのため、Eメールと比較すると安全性の高いコミュニケーションツールといえるでしょう。多くの企業や政府機関でPPAP方式を廃止する動きが加速しており、脱PPAPを実現するツールとしてビジネスチャットが大きな注目を集めています。
(※)参照元:企業のビジネスチャット利用実態調査2023|Biz Clip
ビジネスチャットにおけるリスク
ビジネスチャットには高度なセキュリティ機能が搭載されているものの、ネットワークを経由してコンピュータリソースを利用するという性質上、セキュリティリスクを完全に排除することはできません。事業領域でビジネスチャットを活用する場合、発生し得るリスクとして以下の4点が挙げられます。
情報漏洩
ビジネスチャットにおけるリスクのひとつは情報漏洩です。IPアドレスの制限や通信の暗号化といったセキュリティ機能が搭載されていても、マルウェアや不正アクセスなどの被害によって機密情報が窃取されるリスクは依然として存在します。また、サイバー攻撃のような外部からの脅威だけでなく、内部の人間による意図的な情報の流出や不正なデータの持ち出し、あるいは誤送信による情報漏洩といったセキュリティインシデントも起こり得ます。
アカウント乗っ取り
ビジネスチャットの懸念事項として挙げられるのがアカウントの乗っ取りです。ビジネスチャットは基本的にIDとパスワードでユーザーの真正性を認証します。そのため、IDやパスワードなどのユーザー情報が漏洩した場合、ビジネスチャットのアカウントを乗っ取られるリスクが懸念されます。乗っ取りが起きると、なりすましによる権限の悪用、やり取りの盗聴、メッセージの改竄といった被害につながる危険性があります。
ウイルス感染
ビジネスチャットはウイルススキャン機能を搭載しているサービスが多く、セキュリティ上の理由から実行形式のファイルは添付できない仕様の製品も少なくありません。したがって、「Emotet」のような添付型のウイルスに感染するリスクは極めて低くなっています。とはいえ、デジタル技術の進歩・発展に伴ってサイバー攻撃も多様化かつ高度化しているため、添付ファイルや不正リンクを経由してウイルスに感染し、情報の窃取や改竄といった被害に遭う可能性も否定できません。
シャドーITによるトラブル
シャドーITとは、従業員が管理部門の許可を得ていないITシステムやソフトウェアを利用している状態です。たとえばセキュリティの脆弱なアプリケーションを従業員が独断で利用していると仮定します。この場合、安全性の高いビジネスチャットを導入し、厳格なデータガバナンスを全社レベルで整備しても、独断で利用しているアプリケーションの脆弱性を踏み台としてPCに侵入され、ビジネスチャットのIDやパスワードを窃取される可能性があります。
ビジネスチャットのセキュリティ対策
ビジネスチャットのセキュリティを向上させる具体的な施策として挙げられるのが以下の4点です。
IPアドレス制限
ビジネスチャットへのアクセスをIPアドレスで制御する機能です。IPアドレスを指定することで、社内LANやサテライトオフィス、テレワーカーの自宅など、特定のネットワークからのみビジネスチャットを利用できるようになります。IPアドレスの制限によって外部からの不正アクセスを防止するとともに、未認証デバイスのログインを制御できる点もメリットです。
端末認証
認証されたデバイス以外のアクセスを制御する機能です。管理部門の許可を得たデバイス以外からのアクセスを拒否することで、不正なアクセスや第三者のログイン、端末の私的利用などを防止します。MACアドレスやIMEI、シリアル番号などでデバイスを識別するため、仮にIDやパスワードが流出しても不正アクセスを防止できる可能性が高まります。
暗号化
第三者が通信内容を解読できない状態にする機能です。暗号化にはさまざまな種類が存在しますが、代表的なものとしてエンドツーエンド暗号化(E2EE)が挙げられます。エンドツーエンド暗号化とは、送信者と受信者との間で送信されたデータを暗号化し、通信経路上の第三者によるメッセージの盗聴や改竄を防止する暗号化技術です。
バックアップ
アカウントのユーザー情報やメッセージ内容などを保存する機能です。オンプレミス環境の物理的なサーバやクラウド環境の仮想サーバにバックアップ環境を構築し、データが失われた場合の復旧体制を整備できます。ログの保存やエクスポートが可能なサービスであれば、セキュリティインシデントが発生した際の操作履歴や通信履歴を確認でき、今後の対策強化にもつなげられます。
情報漏洩などのトラブルを防ぐために自社でできるセキュリティ対策
自社で今すぐ実践できるセキュリティ対策として挙げられるのが以下の2点です。
パスワードは記号、数字、大文字などを組み合わせて複雑にする
セキュリティインシデントを防止するために実施すべき対策のひとつが、パスワードの複雑化です。攻撃者がパスワード解読に用いる手段として、ブルートフォース攻撃が挙げられます。ブルートフォース攻撃はパスワードのパターンを総当たりで順番に試し、合致する組み合わせを割り出す暗号解読方法です。パスワードに大文字・小文字・記号・数字などを組み合わせることで、ブルートフォース攻撃への守りが固められ、セキュリティリスクを軽減できます。複雑なほど正解に到達する確率が低くなるので、単純ではあるものの有効なセキュリティ対策です。
社内ルールを設定し、周知する
セキュリティインシデントを防止するためには、全社戦略に基づくデータガバナンスを策定し、その周知徹底を図るプロセスが重要です。たとえばビジネスチャットはテレワーク環境に欠かせないツールですが、人為的なミスやデバイスの紛失によるセキュリティインシデントが懸念されます。そのため、モバイルワーク時は暗号化されていない公衆Wi-Fiを利用しない、あるいは座席を立つ際は画面をロックして盗み見を防止するといったルールを策定しなくてはなりません。そしてデータガバナンスに関する研修やワークショップを実施し、従業員のセキュリティ意識を高める企業文化を醸成することが大切です。
まとめ
ビジネスチャットは利便性と安全に優れるソリューションですが、セキュリティリスクを完全に排除することはできません。具体的には「情報漏洩」「アカウント乗っ取り」「ウイルス感染」「シャドーITによるトラブル」などのリスクが懸念されます。リスクを最小化するためには、「IPアドレス制限」「端末認証」「暗号化」「バックアップ」などの対策を実施し、「パスワードの複雑化」や「社内ルールの周知徹底」を推進することが大切です。
- トピックス:
- Rocket.Chat
