クラウドPBXや電話システムについてIT・通信のプロが解りやすく解説|voice

ビジネスフォンやクラウドPBXを電話・通信のプロがわかりやすく解説!

\ クラウドPBX資料 /

無料ダウンロード

フリーワード検索

2020.05.19

クラウドPBXのセキュリティ対策丨乗っ取り・データ流出を防ぐためには|トラムシステム

クラウドPBXは、利便性の高さやコストの安さが評価され、さまざまな企業で急速に普及しています。しかし、万能というわけではありません。ネットワークに常時接続している点を逆手に取られ、アカウントの乗っ取りやデータ流出が発生するケースも報告されています。

今回は、クラウドPBXを導入する際に意識すべきセキュリティ対策について解説します。クラウドPBXに興味がある方、導入予定がある方はぜひご覧ください。

クラウドPBXのセキュリティはベンダー次第

「クラウドPBX」はネットワーク上に機能やサーバーが存在しており、管理はサービスを提供するベンダーによって行われています。

データセンターや通信設備の管理をベンダーに委ねられるというメリットがありますが、セキュリティ管理を企業が直接コントロールできないのがデメリットです。トラブルが発生した場合、ベンダーが問題を解決するまで、システム停止を強いられるケースもあります。

つまり、クラウドPBXのセキュリティ管理最大のポイントは、優秀なベンダーをパートナーに選択することです。

-信頼できるベンダーを見分けるためのポイント
・インターネットでの口コミやレビューの評価が高い
・トラブル発生時のアフターフォローが充実している
・不要な機能を過剰に売り込もうとせず、必要な機能のみを的確に勧めてくれる

複数の業者に資料請求、見積り、商談を依頼し、信頼できるベンダーを見極めるのがおすすめです。

クラウドPBXの3つのセキュリティリスク

それでは、クラウドPBXで実際に起こりうるセキュリティリスクについて解説します。

ネットワークと常時接続している以上、セキュリティのリスクは常に付いて回りますが、これはクラウドPBXに限った話ではありません。企業情報のクラウド化やデータ化は、あらゆる分野で進んでいるからです。クラウドPBXを含む企業のネットワーク全体を厳重に保護するのが、今後求められる課題と言えます。

1.データ流出

クラウドPBXのセキュリティリスクでもっとも注意すべきは、データの流出です。

クラウドPBXは、顧客の電話番号や住所といった個人情報を、ネットワーク上で一括管理しています。もちろん、それらはベンダーが施したセキュリティ対策によって保護されていますが、ひとたびデータ流出が発生したときの被害は甚大です。

データ流出の原因として、以下の3つのポイントが挙げられます。

・端末の盗難や機密情報の盗み見など、アナログな手口による流出
・スパムメールなどを利用した、デジタルな手口による流出
・パスワードの使いまわしやBYODの誤操作など、内部ミスによる流出

単純な対策で防げる要因も多いので、日頃から管理を徹底しましょう。

2.乗っ取り・なりすまし

データ流出の次に注意すべきなのが、端末の乗っ取りやなりすましです。クラウドPBXはIDやパスワードによって不適切な人物の利用を防いでいますが、悪意を持った人間に把握され、乗っ取られる可能性があります。

ビジネスフォンは大規模な乗っ取りやなりすまし事件が発生したケースが報告されており、クラウドPBXも注意をはらうべきリスクと言えるでしょう。乗っ取られたビジネスフォンで高額な国際通話が1万回以上行われ、企業に法外な通話料金を請求する悪質な事件も発生しています。

3.サイバー攻撃

高度な技術が求められますが、クラウドPBXを侵入経路とするサイバー攻撃が行われる可能性も考慮する必要があります。誰にも気付かれないようこっそりと行われ、ハックするまでに時間がかかるケースも報告されており、注意が必要です。

既存のウイルススキャンに探知されない「ファイルレスマルウェア」、PCを強制的にロックして解除するための代金を請求する「ランサムウェア」など、サーバー攻撃の手口は高度化しています。最新のニュースをチェックし、最新のセキュリティ対策を実行てください。

安全なクラウドPBX運用のためのセキュリティ対策とは

クラウドPBXのセキュリティ対策は、必ずしも専門知識が必要ではありません。誰でも実行できるアナログな手法でも、徹底させれば強力な抑止力となります。本記事の解説をもとに、自社で実行できる対策がないか検討してみましょう。

1.定期的なID・パスワードの変更

まず、定期的にID・パスワードを変更するようルールを定め、定期的に実行しましょう。単純な手法ですが、ID・パスワードの解読による侵入を防ぎ、乗っ取りやデータ流出を防止できます。

1234やAAAAといった単純なID・パスワードを避け、複雑で解除されにくい形式に変更するのも重要です。初期設定で単純な形式となっているITサービスも存在しますので、必ず再設定してください。

2.実績のあるベンダー選び

「コスト削減」や「通話料無料」といった宣伝だけで判断せず、セキュリティ対策の実績があるベンダーを選択するのも重要となります。

特に注意すべきなのは、海外製のクラウドPBX製品を日本向けにカスタマイズせず、そのまま流用しているケースです。海外製の製品は日本のセキュリティ対策に最適化されておらず、思わぬリスクが発生する可能性があります。

・サポート体制は充実しているか
・セキュリティリスクを防止してきた実績があるか
・サーバーの場所はどこか
・利用しているプログラミング言語は何か

これらのポイントをもとに、信頼できるベンダーを選択してください。

3.ソフトウェアを最新に保つ

意外と忘れがちなのが、セキュリティに関するソフトウェアの更新です。旧式のOSやパソコンを継続利用している企業も多く、サイバー攻撃やのっとりの土台となるセキュリティホールが放置されているケースが報告されています。「自動更新されているから」といって安心せず、ソフトウェアのバージョンが最新に保たれているか、定期的にチェックしましょう。

4.従業員へのセキュリティ教育

専門業者や管理職だけでなく、全従業員にセキュリティ教育を施すのが最善です。

従業員のスマートフォンを業務利用するBYOD(Bring your own device)を採用している場合は、セキュリティ教育が特に重要となります。端末購入費を節約する手段として注目されていますが、元はと言えば社員が私的利用している端末のため、思わぬトラブルが発生しがちです。

・端末の漏洩や紛失
・悪意を持った人物によるデータ持ち出し
・第三者による端末の利用

このようなトラブルが発生するリスクを抑えるため、以下の対策は必ず実行しましょう。

・端末の遠隔管理が可能なMDM(モバイル端末管理)
・インターネットを介して社内システムにアクセスするリモートアクセス
・インストールした端末のみ社内システムアクセスを許可するクライアント証明書

クラウドサービスとオンプレミス、どちらが安全か

クラウドPBXにもセキュリティリスクが存在するため、システムや情報をネットワークに接続せず保存するオンプレミスの方が安全である」とする意見もあります。クラウドサービスとオンプレミス、どちらがより安全なのでしょうか。

結論から言えば、最近ではクラウドサービスの方が安全性は高いという見方が強いです。ベンダーによって細かな差はあるものの、これまで解説したセキュリティリスクを防ぐためにセキュリティの専門家が重点的に監視を行っているからです。

・データを堅牢なデータセンターに保管
・データの出入り口を一つに絞り、重点的なセキュリティ対策を行う
・不正アクセスの際も、即座に察知して排除する体制が整っている

もちろん、社内に環境を構築するオンプレミスは、自社の運用に合わせた強固なセキュリティが築ける点がメリットの1つです。しかし、その分コストがかかる点は大きなデメリットでもあります。多額の費用をかけて自前でセキュリティ対策を構築するよりも、クラウドの方がコスト面・安全性で勝っているといえるでしょう。

情報漏えいは必ずしも外部からの攻撃が原因ではない!

最後に、情報漏洩は外部だけではなく、内部でも発生しうる点に留意しましょう。BYODを導入していないのにもかかわらず、プライベート端末を不正に業務利用する「シャドーIT」が問題となっているのです。

例えば、以下の行動はシャドーITに該当します。

・プライベートで使っているSNSを利用して業務に関する連絡を行った
・企業からのメールを私用のパソコンで確認した
・私用のパソコンで報告用の資料を作成した

1人最低1台のスマホを持つ時代には、従業員の不注意からセキュリティ事故が起きる可能性が常につきまといます。セキュリティ教育を徹底的に行い、シャドーITを防ぎましょう。

まとめ

クラウドPBXを導入する際のセキュリティ対策について解説しました。基本はベンダーに委ねる形となりますが、ID・パスワードの定期更新といった基礎的な対策や、社員のITリテラシーを高めるための研修は積極的に行いましょう。BYODと併用する際は、シャドーIT対策も併せて実施してください。


WRITER

トラムシステム(株)メディア編集担当 鈴木康人

広告代理店にて、雑誌の編集、広告の営業、TV番組の制作、イベントの企画/運営と多岐に携わり、2017年よりトラムシステムに加わる。現在は、通信/音声は一からとなるが、だからこそ「よくわからない」の気持ちを理解して記事執筆を行う。


UNIVOICEが東京MXの「ええじゃないか」という番組に取り上げられました。

注目記事Recommend Post

  • サーバーのオンプレミス→クラウド移行時のメリットと注意点

    2019.01.09

  • 音声認識ソリューションのAmiVoiceとは丨特徴・魅力・導入事例を紹介

    2021.06.01

  • クラウドコールセンターシステム|クラウド化のメリットと3つのポイント