コールセンターの運営には、様々なシステムの利用が欠かせません。そして、システムを利用する上で欠かすことができないのが、セキュリティ対策です。コールセンターにおけるIP電話・クラウドPBXの導入が広まり、業務に利用するありとあらゆるツールがネットワークにつながっている今、セキュリティ対策の重要性はますます高まっていると言えます。

今回は、コールセンターでIP電話・クラウドPBXを導入する場合を前提に、セキュリティ対策の基礎についてお話ししましょう。

コールセンターにおいて、何らセキュリティ対策も取らない無防備な状態でシステムを導入すると、どんな脅威に晒され、どんなことが起きるのでしょうか。代表的なものとして、次の（1）～（4）を見ていきます。

（1）ソフトフォンへの不正アクセスによるコールセンタースタッフへのなりすまし
（2）管理ツールへの不正アクセスによる通話データの情報漏洩
（3）CRMへの不正アクセスによる顧客情報の漏洩
（4）内部における、ソフトフォンやコールセンターシステム、CRM等の不正利用による顧客情報の漏洩

（1）と（2）は電話システム、（3）はCRM、そして（4）はシステムを問わず社内での対策なので、厳密には分けて考える必要がありますが、今回は概要を知るために一気に紹介していきます。

なお、継続的にしっかりとセキュリティ対策を行うことで、これから挙げるような事態は防ぐことができます。

外部からの脅威と起こりうること

近年コールセンターで導入が進んでいるIP電話・クラウドPBXは、ネットワークにつながった環境で利用するシステムです。システムが無防備な状態でインターネットに接続してしまうと、下記のような脅威に晒され、最悪の場合は情報漏洩やシステムの乗っ取りといった事態を招きかねませんので、対策を取りましょう。

（1）ソフトフォンへの不正アクセスによるコールセンタースタッフへのなりすまし

IP電話では、PCのソフトウェア上で電話の受発信を行う「ソフトフォン」が多く使われています。外部からの不正アクセスによってソフトフォンにログインされてしまい「コールセンタースタッフへなりすまして電話をかける」といったようなことが起きないように、対策が必要です。

電話を受けるお客様の側からすれば、コールセンターのスタッフを名乗り、しかも発信元の電話番号がコールセンターのものであれば、疑いようがありません。

「お客様がなりすましのコールセンタースタッフに個人情報を伝えてしまう」「偽の情報により振込先を案内され、お金を振り込んでしまう」といったようなことがあれば、お客様にとっても企業にとっても大きな損害となります。

（2）管理ツールへの不正アクセスによる通話データの情報漏洩

IP電話を使用するクラウドPBX・コールセンターシステムには、様々な設定を行うための管理ツールが用意されています。この管理ツールへの不正アクセスによる、音声データの漏洩などが起きないような対策が必要です。

（3）CRMへの不正アクセスによる顧客情報の漏洩

コールセンターでは、電話とCRM（Customer Relationship Management、顧客管理ツール）が、CTI（Computer Telephony Integration）で連携し、着信した電話番号をもとに顧客情報や問い合わせ・購入等の履歴を自動表示させる仕組みがあるのは、皆さんご存じのとおりです。CRMが外部の攻撃者から侵入され、顧客情報の漏洩するような事態を防ぎましょう。

内部のリスクにも着目しよう

IP電話やクラウドPBX・コールセンターシステムにおけるセキュリティ上の脅威は、外部からの攻撃だけではありません。残念ながら、システムを利用する企業の内部にもリスクはあります。

（4）ソフトフォンやコールセンターシステム、CRM等の不正利用による顧客情報の漏洩

コールセンターでは、IP電話のソフトフォンやコールセンターシステム、CRM等にログインして業務を行います。システムを通じて顧客情報など、外部に漏れてはいけない情報にアクセスすることが可能です。

業務目的以外でシステムにログインし、それら重要な情報が持ち出されるという事態を防ぎましょう。また、悪意がなくとも、ルールから逸脱したオペレーションによりセキュリティ上の事故（セキュリティ・インシデント）が発生する可能性もありますので、対策を取りましょう。

ここまではキュリティ上のリスクばかりを挙げてきましたが、IP電話を使用するクラウドPBX・コールセンターシステムを導入するにあたっては「何らセキュリティ対策を取らずに無防備で使う」ということは、ありえません。リスクをしっかり把握し、正しくセキュリティ対策を行うことで、リスクを回避できます。

後半は、IP電話やクラウドPBX・コールセンターシステムを安全に利用するために押さえておきたい、基本的なセキュリティ対策について紹介しておきます。

安全なネットワーク環境の構築

はじめに、外部の脅威から守るためのネットワーク環境について紹介します。

■インターネットと隔絶された「閉域網」を利用する

コンピューターやシステムに対する外部からの攻撃の多くが、インターネットを経由して行われます。このような脅威に対しては、企業のネットワークをインターネットとは隔離することが有効です。具体的には、通信キャリアやデータセンター事業者が提供する「閉域網」と呼ばれるネットワークを構築します。

そして、閉域網とクラウドPBXの間もダイレクトに（インターネットを経由せずに）接続することで、企業の拠点間のネットワークや、IP電話およびクラウドPBXを安全に利用できます。閉域網を導入しつつインターネットも利用するには、「閉域網からインターネットへの出入り口を限定する」「別のネットワークを構築してしまう」といった手法が取られます。

ビーウィズ株式会社が提供するクラウドPBX・コールセンターシステム「Omnia LINK（オムニアリンク）」も、閉域網経由でお使いいただけます。

閉域網の詳細については、関連コラムで詳しく紹介しています。ぜひ、そちらもご覧ください。

■ファイアウォールの利用

ファイアウォールとは、文字どおり「防火壁」であり、ネットワーク経由で行われる攻撃等から防御するためのシステムです。このファイアウォールは、ネットワークの様々な場所に設置されるほか、PCなどのデバイス1台1台にもソフトウェアとして組み込まれています。

ファイアウォールは主に、必要な通信だけを許可し、それ以外の通信をブロックすることで、攻撃から守ります。極端に言えば、IP電話に必要な通信は許可し、それ以外の通信はすべてブロックするといったことも可能です。IP電話で利用するPCに対して、インターネットへの接続を許可しない（閉域網の中だけで利用する）企業は、少なからずあります。

ファイアウォールの設定は、企業であれば情報システム部門が一括して管理します。

ファイアウォールについては、機会を改めて詳しく紹介する予定です。

■外出先やテレワーク環境にも留意

企業で閉域網を導入し安全なネットワークを導入しても、そのメリットを享受できないケースがあります。代表的な例が、外出先やテレワーク（在宅勤務）です。

外出先やテレワーク時のセキュリティ対策としてまず挙げられるのが、Wi-Fiの盗聴対策です。
・外出先で使用するWi-Fiネットワークは、会社支給のモバイルルーター以外は認めない
・テレワーク時は有線LAN接続を推奨する
……といった対策が、よく取られます。

もうひとつ必須と言えるのが、「インターネットVPN（Virtual Private Network）」です。インターネットVPNは、社外や離れた拠点から社内のネットワークに接続する際に、安全な通信を確立するために利用されています。

IP電話やクラウドPBX、コールセンターシステムにおいても、外出先やテレワーク時にはインターネットVPNは欠かせません。

なお、Omnia LINKはVPN接続の機能を標準で搭載しており、セキュリティに配慮した在宅コールセンターを実現します。

内部におけるセキュリティ上のリスク対策

社内に潜むセキュリティ上のリスクについては、端末やアカウントを適切に管理することや、セキュリティ・インシデントが起きないような業務運用体制を整えることなどが重要と言えるでしょう。これはIP電話やコールセンターシステムに限った話ではありませんが、いくつかの例を挙げて起きます。

■アクセスログの管理

社内の人が、いつシステムにアクセスをして、どんな操作を行ったのかをログに残しておくことで、不正をチェックできるだけでなく、万が一のトラブルやセキュリティ・インシデント発生の際に「そのとき何が起きていたのか」を正しく知る手がかりにもなります。

■適切なアクセス権限

IP電話やクラウドPBX、CRMには、必ず設定のためのツールが存在します。例えば、コールセンターのオペレーターと管理者が同じツールを利用するのであれば、職位や担当業務に応じて各ユーザーに異なる権限を与え、利用できる機能に差を付けます。また、業務内容によってアクセスできる情報が差別化するということも、一般的に行われています。

面倒だからと言って誰にでも管理者の権限を付けてしまうと、間違ったシステムの設定変更や、オペレーターによる重要なデータへの不用意なアクセスといった事態を招きかねません。システムへのアクセス権付与は慎重に行い、適切に管理することが重要です。

■ID・パスワードの管理と運用
上記の「適切なアクセス権限」に関連し、社内で他のユーザーのアカウントやパスワードを使いまわすようなことがあってはいけません。共有のID・パスワードも、極力避けるべきでしょう。また、IDやパスワードを付箋に書いて、見えるところに貼るといった行為もNGです。

IDやパスワードが適切に管理されないと、アクセスログやアクセス権限といった対策の意味が薄れてしまいます。

■持ち出しPCの管理

従業員が外出先で利用するPCや、在宅勤務（テレワーク）で利用するPCの管理も、重要なセキュリティ対策のひとつです。

PC持ち出しを許可制にする、PCのデータを暗号化するといったことはもちろん、VPNの利用や「安全なネットワーク環境の構築」の項でも触れたように利用できるネットワークを有線LANや会社支給のモバイルルーターに制限するなど、考えられる対策は多岐に渡ります。

■利用者のセキュリティ意識向上

今回最後に紹介するのが、システムを利用する従業員の「セキュリティ意識の向上」です。

セキュリティ対策は、自社とお客様を守るためのものです。

しかし、セキュリティ対策の徹底は時として、従業員に「不便」や「面倒」といった印象を与えます。残念ながら、必死に抜け道を探す人もいるでしょう。業務に関わるひとりひとりが、セキュリティ上の脅威と対策について、正しく理解する必要があるのは言うまでもありません。

ルールを作成するだけでなく、セキュリティ上のリスクと対策、ルールを守ることの重要性などについて学ぶ機会を設けましょう。

今回は、IP電話やクラウドPBX、コールセンターシステムの利用を念頭に置いたセキュリティ上のリスクや対策について紹介しました。ここで挙げた内容以外にも様々なリスクがあり、様々なセキュリティ対策があります。システムを安全に利用するために、リスクを正しく理解し、適切な対応を取り続けることが重要です。

ビーウィズが提供するクラウドPBX・コールセンターシステム「Omnia LINK（オムニアリンク）」は、閉域網やインターネットVPNを利用により、センターでも在宅でもセキュリティを確保してご利用いただけます。詳細につきましては、ぜひお問い合わせください。