電話業務におけるセキュリティ対策は企業にとって非常に重要です。電話業務は、顧客とのコミュニケーションや情報収集など、企業にとって重要な役割を担っています。しかし同時に、機密情報や個人情報が漏洩するリスクも高いため、強固なセキュリティ対策が不可欠なのです。
こちらの記事では、電話業務におけるセキュリティ対策の重要性を再認識し、企業が講じるべき具体的な対策について詳しくに解説します。
Emotet (エモネット)
まずは昨今、再び中小企業などを標的としたウイルス・マルウェアが増加傾向にあり、猛威を振るっています。その一つがエモネットという厄介なマルウェアの存在です。
エモテットは、2014年に初めて出現した、情報窃取と他のマルウェアの拡散を目的とした高度なマルウェアです。2021年1月に主要なインフラが壊滅したかに思われましたが、同年11月から再び活動を活発化させ、2023年より中小企業を標的とした感染が急増しています。
エモテットの主な感染経路はメールです。返信型では、過去にやり取りした相手を装い、返信に見せかけた不正なメールを送信してきます。新規感染型では、送信者情報やメール件名を偽装した不正なメールを送信、所謂迷惑メールを送りつけてきます。
その手口としては、zip ファイルにて Word や Excel などの文書ファイルに不正なマクロを埋め込んできたり、感染したPCからネットワーク上の他のPCへ感染を広げる厄介なマルウェアです。社員の無知などにつけ込んで、社員の誰かが不正メールに騙されてエモテットに感染してしまうと、会社のシステム全体に感染を拡大させ、大規模な被害をもたらしかねません。
そのため企業では、従業員への教育として、不審なメールの開封をしない、添付ファイルやURLをクリックしない、最新のセキュリティソフトを導入する、パスワードを定期的に変更するなどの対策を教育する必要があります。また、セキュリティ対策の強化として、メールサーバーのセキュリティ対策、エンドポイントセキュリティ対策、データのバックアップ、定期的なセキュリティ診断などに取り組む必要があるのです。
社員教育
会社全体の情報セキュリティポリシーを策定し、社員に周知徹底しましょう。このポリシーには、個人情報の取り扱い方針や会社のポリシー、セキュリティ対策の基本方針が含まれます。
社員に対し、個人情報保護の重要性や、電話応対時の注意点などを丁寧に時間をかけて教育しましょう。この時に社内のマニュアルなどを利用して、社内で統一された情報を提供するようにしましょう。
従業員に対して、セキュリティ意識向上のトレーニングを提供し、社内ポリシーやセキュリティ手順を遵守するよう促します。営業電話、迷惑電話、クレーム電話への対処法、ソーシャルエンジニアリングなどのリスクに対する警戒心を高めるための教育を実施してください。
新人社員など、社員教育には労力と時間がかかるものです。
技術的対策
会社の通話記録を残し、不正アクセスの有無を監視しましょう。何かトラブルがあった際には、証拠資料として提出できるような対策を立てておくと何かあった時に役に立ちます。
データ漏えい対策として、通話内容の自動録音や通話監視を行いましょう。電話機の不正利用を防ぐため、パスワードやバイオメトリクス認証を導入することも検討しましょう。
ケースによっては、電話業務を行う場所へのセキュリティゲートや入室制限を設ける、重要な電話機は施錠して管理するなどの徹底した対策も必要です。
ソフトウェアの更新と脆弱性管理
社内で使用しているPCやノートパソコンのシステム/ソフトウェアを最新バージョンに常にアップデートしましょう。脆弱性を見つかったら、その端末は利用しないなど問題を放置しないような取組みを行います。
電話業務に関する電話システムや関連するソフトウェアの定期的な更新とパッチ適用を随時行いましょう。セキュリティの脆弱性が見つかれば、適時修正するようにします。セキュリティポリシーに基づいて、不要なソフトウェアやサービスを無効化することも忘れないようにしましょう。
インシデント対応
電話業務におけるセキュリティインシデント対応も重要です。セキュリティインシデントが発生した際の対応手順を予め定めておきましょう。
被害拡大を防ぐには、初動対応と、原因究明、再発防止を徹底して行う必要があります。インシデントが発生した場合、迅速な対応が必要です。組織内にインシデント対応チームを設置し、そのメンバーを指名しておく必要があります。
このチームは、インシデントに対する対応や調査を担当します。インシデントが発生したら、適切なチャネルを通じてインシデントを報告します。報告を受けたら、インシデントの重要度や種類を適切に分類し、対応の優先順位を決定します。
被害拡大を防ぐために迅速な初動対応を行います。これには、影響を受けたシステムやリソースの隔離、必要な場合はサービスの停止、および関連するログや情報の収集が含まれます。
インシデントの原因を究明し、システムやデータの復旧を行います。これには、ログの解析、侵入経路の特定、およびセキュリティホールの修正などが含まれます。必要に応じて、専門家や外部のセキュリティファームを導入して調査を行うこともあります。
電話代行サービスの利用
企業によっては、電話業務をアウトソーシングして電話代行サービスを導入するというケースもあると思います。その際に企業は電話代行サービスのどのようなセキュリティ面に注意を払い確認する必要があるでしょうか?
まず確認したいのが、「個人情報保護対策」です。検討中の電話代行会社の個人情報保護方針や体制をしっかりと確認しましょう。個人情報への不正アクセスや漏えい対策が適切に講じられているか?個人情報の取り扱い範囲や保存期間、廃棄方法等のルール等について目を通しましょう。
続いて確認したいのが、「通信のセキュリティ」面です。通信経路の暗号化などの対策が取られているか?不正な通信の検知やブロックができるシステムが用意されているか等を確認できると良いでしょう。
企業は上記のようなセキュリティ対策が適切に行われているかを確認し、リスクを十分に検討したうえで、電話代行サービスの導入を判断する必要があります。
まとめ
このように企業は電話業務において、組織的・技術的・物理的な多層的なセキュリティ対策を講じることが求められます。電話業務は、機密情報や個人情報に常にアクセスできる危険性があるため、万全のセキュリティ対策が不可欠です。
