PBXのセキュリティ性とは?タイプ別のリスクと対策を解説

Check!

  • PBXのセキュリティ性は、レガシーPBX・IP-PBX・クラウドPBXで異なる
  • PBXには、乗っ取りや不正アクセスによる情報漏洩、マルウェア感染などのリスクがある
  • セキュリティを重視してPBXを選ぶ際は、導入実績やサポート体制などを確認する

PBXを安全に使用するためには、セキュリティ対策が必要です。PBXのセキュリティ性はレガシーPBX・IP-PBX・クラウドPBXで異なります。本記事では、PBXの種類別のセキュリティリスクとその対策、またセキュリティを重視したPBX選びのポイントを解説します。

目次

開く

閉じる

  1. PBXのセキュリティ性とは
  2. IP-PBX(ソフトウェアタイプ)のセキュリティリスクと対策
  3. クラウドPBXのセキュリティリスクと対策
  4. セキュリティを重視したPBX選びのポイント
  5. PBXを安全に使うために
  6. まとめ

PBXのセキュリティ性とは

PBXとは「Private Branch Exchange」の略で、組織内の通信を管理する電話交換機を指します。企業における「内線同士」「内線と外線」の接続を制御し、複数の電話機からの発着信や通話の転送などを可能にしています。

PBXには大きく分けて、レガシーPBX・IP-PBX・クラウドPBXの3種類があり、それぞれセキュリティ性が異なります。まずは、それぞれの違いを解説します。

PBXとは?メリット・デメリット、機能などをわかりやすく解説

PBXとは、企業内の電話交換機を意味し、複数の電話回線を集約して、内線同士や外線と内線の接続をコントロールするシステムです。PBXには3種類あり、コストやメリットなどが異なります。本記事では、PBXの選び方や種類ごとのメリット・デメリットを解説しています。

\気になる項目をクリックで詳細へジャンプ/

PBXのセキュリティ性とは

  1. レガシーPBX
  2. IP-PBX
  3. クラウドPBX

レガシーPBX

レガシーPBXは、電話線で電話機を直接つなぐ旧来型の電話交換機です。その歴史は古く、現在でもその技術が利用されているため、「レガシー(遺産)」の名前がつけられています。

レガシーPBXの最大のメリットは、セキュリティ性が高いことです。専用の電話回線で社内に閉じられたネットワークを形成するレガシーPBXは、外部から攻撃される心配がありません。

インターネット回線を利用しないため、不正アクセス・ハッキング・通信傍受などのリスクを低く抑えられます。物理的な装置を必要としますが、装置そのものを安全な場所に設置することで、物理的に不正な操作ができないようにすることも可能です。

IP-PBX

IP-PBXとは、LANやWANなどのインターネット回線を利用した電話交換機です。IP-PBXのメリットは以下の通りです。

  1. 通話内容を音声データとしてネットワーク上のPCやサーバーに保存できる
  2. インターネット回線により、モバイル端末(スマホやタブレットなど)を内線電話として使える
  3. 遠隔地や複数の拠点で利用できる

IP-PBXには、ハードウェアタイプとソフトウェアタイプの2種類があります。ハードウェアタイプは、専用機器を社内に設置して使用します。ソフトウェアタイプは、自社サーバーに専用のソフトウェアをインストールするタイプです。

このような違いから、ハードウェアタイプとソフトウェアタイプでは、以下のようなセキュリティ性の違いが生じます。

ハードウェアタイプ専用機器の設置により、物理的にアクセスが制限されるため、不正アクセスや外部から攻撃されるリスクが低い
ソフトウェアタイプ自社サーバーへのリモートアクセスが可能であり、不正侵入や外部から攻撃されるリスクが高い

IP-PBXとは?|クラウドPBX・ビジネスフォンとの違いも解説

PBXとは業務効率化のために内線・外線を繋いで、電話機間で転送・振り分けできるようにするシステムのことです。中でもIP-PBXはコストの低さ・利便性で注目されています。本記事では、IP-PBXの概要・メリット・選定ポイントなどを解説します。

クラウドPBX

クラウドPBXとは、IP-PBX同様にインターネット回線で通話を行うための電話交換機です。しかし、自社で設備を整えるIP-PBXとは異なり、オンライン上にあるベンダー(サービス提供者)の設備を利用します。クラウドPBXのメリットは以下の通りです。

  1. 自社でサーバーや機器を設置・管理する必要がない
  2. 導入が簡単で初期費用も低く抑えられる
  3. 回線数や機能を柔軟に調整しやすい

クラウドPBXは、インターネットの利点が大きく発揮される反面、インターネットへの依存度が大きいPBXです。そのため、通常のインターネットサービスと同様のセキュリティリスクに気をつけなければなりません。

しかし、クラウドPBXのセキュリティ対策はベンダーに依存するため、各ベンダーのセキュリティ対策を確認・比較検討することが重要です。比較検討の際に着目すべきポイントについて、以下に例を挙げます。

  1. 不正侵入を防ぐためのファイアウォールは機能するか
  2. データの暗号化は可能か
  3. 多要素認証を採用しているか
  4. パスワードに有効期限を設定できるか
  5. 情報セキュリティマネジメントの認証を受けているか
  6. アプリケーションやシステムはベンダーが独自に開発したものか
  7. サポート体制は充実しているか
  8. セキュリティの問い合わせに対して明確に回答できるか
  9. ベンダーの運用体制に不安な点はないか

クラウドPBXとは?機能やメリット・デメリットなどを解説

クラウドPBXとは、インターネットに接続して利用できるオフィス向け電話システムです。クラウドPBXの導入で、社外からでも会社宛の電話に出られたり、通話料の削減ができたりします。本記事では、クラウドPBXを導入するメリットや選び方などを解説しています。

クラウドPBXのセキュリティ対策でチェックすべきポイント

クラウドPBXのセキュリティ対策はベンダーに依存するため、各ベンダーのセキュリティ対策を確認・比較検討することが重要です。比較検討の際に着目すべきポイントについて、以下に例を挙げます。

  1. 不正侵入を防ぐためのファイアウォールは機能するか
  2. データの暗号化は可能か
  3. 多要素認証を採用しているか
  4. パスワードに有効期限を設定できるか
  5. 情報セキュリティマネジメントの認証を受けているか
  6. アプリケーションやシステムはベンダーが独自に開発したものか
  7. サポート体制は充実しているか
  8. セキュリティの問い合わせに対して明確に回答できるか
  9. ベンダーの運用体制に不安な点はないか

IP-PBX(ソフトウェアタイプ)のセキュリティリスクと対策

IP-PBX(ソフトウェアタイプ)は、他のPBXよりもセキュリティ面で気をつけなればいけないポイントがあります。ここでは、IP-PBX(ソフトウェアタイプ)のセキュリティリスクとその対策について解説します。

\気になる項目をクリックで詳細へジャンプ/

IP-PBX(ソフトウェアタイプ)のセキュリティリスクと対策

  1. 遠隔メンテナンス機能悪用による不正アクセス
  2. スマホ内線化機能悪用による国際通話

遠隔メンテナンス機能悪用による不正アクセス

遠隔メンテナンスとは、インターネットを通じて遠隔操作でシステムやコンピュータのメンテナンスを行うことです。「リモートメンテナンス」「リモート保守」などとも呼ばれます。

IP-PBXにおいてもメーカーや通信サービス会社によって、遠隔メンテナンスを機能として実装していたり、代行サービスを行っていたりします。

遠隔メンテナンスは、IDとパスワードがわかればアクセスできることが一般的です。そのため、IDとパスワードが悪意のある人間に知られると、不正アクセスによって、乗っ取り行為をされる可能性があります。

乗っ取り行為とは、企業の通信端末を外部の人間が不正アクセスして利用することです。この内線端末で有料サービスを利用した場合、その料金は企業が支払わなければいけません。

対策

遠隔メンテナンスを悪用した乗っ取り行為に対しては、以下のような対策例が挙げられます。

  1. パスワードの定期的な変更
  2. パスワードを推測されにくい複雑なものにする
  3. 取引が国内の場合は、海外発信規制を行う(※乗っ取り行為では、海外の有料サービスが利用されることが多いため)
  4. SBC(ゲートウェイ装置)を設置し、そのセキュリティ機能を活用する

スマホ内線化機能悪用による国際通話

スマホ内線化機能とは、社員のスマホを自社の内線端末として利用できる機能です。内線化したスマホは、自社のIP-PBXを経由するため、通話料金を始めとするサービス利用料は自社に請求されます。

スマホ内線化機能も遠隔メンテナンスと同様に、IDとパスワードで認証が行われるため、外部の悪意ある人間に知られることで、不正利用されるリスクが高くなります。

対策

遠隔メンテナンス機能の悪用と同様に、スマホ内線化機能の悪用によって、有料サービスを利用する乗っ取り行為が行われます。そのため、スマホ内線化機能悪用への対策は、遠隔メンテナンスの悪用対策と共通しています。

海外の有料サービス事業者と連携して、組織的に不正行為が行われる場合もあるため、自社の取引が国内に限定される場合は、国際電話を規制することが有効な対策です。パスワードやゲートウェイ装置の設置なども視野に入れましょう。

また、以下のようなポイントに着目して、内線化するスマホのセキュリティ性を向上できるか確認することを推奨します。

  1. 内線化した端末を管理・制御できるか
  2. 社員がスマホを紛失した場合に機能停止できるか
  3. 管理者権限でシステムへのアクセスを制御できるか

クラウドPBXのセキュリティリスクと対策

クラウドPBXは利便性が高い反面、インターネットを全面的に利用するため、セキュリティ対策に注意しなければいけません。ここでは、クラウドPBXのセキュリティリスクとその対策について解説します。

\気になる項目をクリックで詳細へジャンプ/

クラウドPBXのセキュリティリスクと対策

  1. 不正アクセス・ハッキングによる情報漏洩
  2. マルウェア感染

不正アクセス・ハッキングによる情報漏洩

クラウドPBXは、物理的なハードウェアによる制約がなく、どこからでもアクセスすることができます。IDとパスワードがあれば、より簡単にシステムへアクセス可能です。これにより、不正アクセス・乗っ取り・ハッキングのリスクが高まります。

さらに、Wi-Fiのセキュリティについても注意しなければいけません。悪意のある第三者がWi-Fiルーターに侵入して管理権限を支配するケースがあります。これにより、Wi-Fiを利用する端末の個人情報を盗んだり、端末を乗っ取ったりする危険性が考えられます。

クラウドPBXにおいても、このようなWi-Fiのハッキングによって、情報漏洩や身に覚えのない通話サービスによる高額請求のリスクがあります。

対策

クラウドPBXにおける不正アクセス・ハッキングなどには、以下のような対策例が考えられます。

  1. パスワードを定期的に変更する
  2. パスワードを推測されにくいものにする
  3. 社内のセキュリティ教育を徹底する
  4. スマホ紛失時のルール・ガイドラインを定めておく
  5. フリーWi-Fiを使用しない
  6. 社内のWi-Fiのセキュリティを確認する

マルウェア感染

マルウェアとは、不正に動作させる目的で作られたソフトウェアの総称です。これには、コンピュータウイルス・ワーム・悪質なコードやアプリなども含まれます。

社内のネットワーク上には、パソコン・スマホ・ルーターなど、マルウェアに感染するおそれのあるさまざまな機器や端末があります。

例えば、1台のパソコンがマルウェアに感染すると、ネットワーク上のさまざまな機器や端末に感染が広がる可能性があります。それにより、ネットワーク上にある情報が盗まれたり、機器や端末が破壊されたりする危険性があります。
「怪しいメールやWebサイトを開かない」といった対策の方法もありますが、ネットワークに接続しただけで感染するマルウェアも存在するため、厳重な注意が必要です。

対策

マルウェア感染については、クラウドPBXに的を絞って対策を行うよりも社内で扱うインターネット全般に対策することが重要です。以下に対策例を挙げます。

  1. 社内のネットワーク上の機器・端末やソフトウェアを最新状態に保つ
  2. 社内で利用するインターネット関連のサービス・機器のパスワード設定を強固にする
  3. セキュリティルールを策定する
  4. 感染の可能性がある機器・端末をネットワークから切り離す(※パソコンならオフライン、スマホなら機内モードにするなど)

また上記の補足として、ルーターのファームウェアやパソコンのOSなど、さまざまなソフトウェアのアップデートも必要です。アップデートによってソフトウェアの機能性向上や不具合の修正が行われますが、これにはセキュリティの強化も含まれます

アップデートを行わないままにしていると、悪意のある第三者にセキュリティ上の弱点を狙われやすくなります。また、社内のネットワークのどこからでも攻撃される可能性があるため、ネットワーク上にあるすべてのソフトウェアを最新状態に保つことが大切です。

セキュリティを重視したPBX選びのポイント

PBXを選定する際には、機能の利便性だけでなく、セキュリティの観点から自社にとって安全性の高いものを選ぶことが大切です。ここでは、セキュリティを重視したPBX選びのポイントを解説します。

\気になる項目をクリックで詳細へジャンプ/

レガシーPBXを選ぶ

レガシーPBXは、IP-PBXやクラウドPBXとは異なり、物理的な装置に頼る電話交換システムを構築します。これにより、導入費用が高額になりやすい点や電話線の届く範囲でしか機器を接続できないなどのデメリットがありますが、セキュリティ性は非常に高いです。

アナログの性質を持つ電話機や電話線のネットワークにおいては、インターネットのように外部からリモートでアクセスする経路が存在しません。そのためレガシーPBXは、不正アクセスやハッキングの心配はなく、最も安全性の高いタイプのPBXです。

そのため、予算がある場合は、セキュリティ面でレガシーPBXがおすすめできます。ただしコストと対策による効果のバランスを考慮してPBXを選定することが大切です。

サポート体制は十分か

PBXのサポート体制は、メーカーやベンダーによって異なります。選定の際には、導入時の設定をサポートしてくれるかどうかはもちろん、トラブル発生時にすぐに対応してもらえるかどうかを確認することが重要です。

またサポートの内容だけでなく、サポート方法や対応時間、曜日なども確認しておきましょう。チャットのみで対応しているベンダーや、平日の日中しか電話を受け付けていないベンダーもあります。

チェックすべきサポート体制の内容

上記の他にも、以下のようなサポートを提供している場合があります。ネットワーク構築のサポートや現地対応などは有料の場合もあるため確認が必要です。

  1. ホームページにて、PBXに関するFAQやマニュアルの提供
  2. PBXの稼働状態の監視
  3. システムやネットワーク構築のサポート
  4. 現地対応
  5. ハードウェアのメンテナンス

導入実績・開発年数

PBXを選定する際には、どのような企業で導入されているか、多拠点や海外拠点での運用実績があるかなどを確認しておくことを推奨します。自社の規模と同じような企業での導入実績が豊富であれば、セキュリティ性の信頼度の高さに期待できます。

また、開発年数も信頼度の判断材料になります。開発年数が長いPBXは、ノウハウが蓄積されている可能性が高く、セキュリティ対策に期待が持てます。

ただし、これらはあくまでも参考例です。導入の際には、メーカーやベンダーにセキュリティ対策に関する問い合わせを行い、疑問点をクリアにすることが重要です。

データセンターは分散されているか

クラウドPBXは、オンライン上のデータセンターで管理されています。データセンターは通常、24時間の監視体制が敷かれていますが、より安全性を考慮するなら、データセンターが分散されているか確認することを推奨します。

データセンターが分散されていると、データセンターが物理的に存在する地域に大規模な災害が起きても、別のデータセンターによって、被害を最小限に抑えることができます。また、復旧にかかる時間も短く済む可能性が高くなります。

クラウドPBXを選ぶ際には、ベンダーに複数のデータセンターを運用しているか確認することが大切です。

PBXを安全に使うために

PBXに関するリスクについて、各機器のセキュリティ機能やベンダーのセキュリティ対策に着目することは大切です。しかし、機能やサービスに依存するのではなく、自社のセキュリティ対策を強化することが最も重要です。

本記事で取り上げた「パスワードの強化」「フリーWi-Fiを使わない」なども、自社で行うべきセキュリティ対策です。

悪意のある第三者にとっては、物理的な機器に対して直接操作を行ったり、ベンダーの設備をハッキングしたりするより、リモートで企業のセキュリティホールを見つける方が簡単です。そのため、社内でセキュリティルールを定めることが推奨されます。

\気になる項目をクリックで詳細へジャンプ/

セキュリティリスクを共有しておくことも重要

セキュリティルールを設定する際は、なぜそのルールが必要なのかを社員に理解してもらうことが重要です。例えばフリーWi-Fiに接続して情報流出が起きた場合、どのような被害があるのか、リスクを具体的に説明しておきましょう。

またセキュリティリスクやルールに関しては、定期的に研修やテストなどを実施し、理解されているかチェックするのがおすすめです。特に社員所有のスマホを内線化している場合はリスクが大きいため、周知を徹底すべきです。

UTMの導入も検討する

ベンダーによるセキュリティ対策や社内ルール策定に加えて、UTM(統合脅威管理)を導入すれば、より堅牢なセキュリティ体制を敷くことができます。

UTMとは、ファイアウォール・IPS・IDS・Webフィルタリング・アンチスパムなど複数のセキュリティ機能が統合された製品です。様々なサイバー攻撃から、企業のネットワーク機器を保護します。

UTMは通常、別途機器を購入する必要がありますが、PBXにUTMの機能が搭載されたものもあります。情報漏洩によるリスクがより大きい大企業は特に、UTMの利用も合わせて検討しましょう。

UTMとは?メリット・デメリット、機能などをわかりやすく解説

UTMとは、複数のセキュリティ機能を1つの機器に集約し、社内ネットワークを保護する手法のことです。別名「統合脅威管理」とも呼ばれています。本記事では、UTMをよく知らない方のために、UTMのメリット・デメリット、機能や選び方などを解説しています。

まとめ

PBXには、レガシーPBX・IP-PBX・クラウドPBXと種類が分かれ、それぞれセキュリティ性が異なります。レガシーPBXは導入コストはかかりますが、ハッキングの心配がなく、セキュリティ性が高いです。

IP-PBXとクラウドPBXは、インターネット回線を利用するため、セキュリティについて対策をしっかり行うことが大切です。パスワードの定期的な変更や、フリーWi-Fiを使用しないことなど、自社でできる対策は可能な限り行うようにしましょう。

セキュリティ面でPBXを選定する際には、サポート体制や導入実績が判断材料になります。またクラウドPBXの場合は、データセンターについても確認することが推奨されます。本記事を参考に、PBXによる情報漏洩や高額請求の被害リスクを最小限に抑えましょう。

Share

top