PBXのセキュリティ性とは？タイプ別のリスクと対策を解説

PBXを安全に使用するためには、セキュリティ対策が必要です。PBXのセキュリティ性はレガシーPBX・IP-PBX・クラウドPBXで異なります。本記事では、PBXの種類別のセキュリティリスクとその対策、またセキュリティを重視したPBX選びのポイントを解説します。

目次

開く

閉じる

1. PBXのセキュリティ性とは
2. IP-PBX（ソフトウェアタイプ）のセキュリティリスクと対策
3. クラウドPBXのセキュリティリスクと対策
4. セキュリティを重視したPBX選びのポイント
5. PBXを安全に使うために
6. まとめ

PBXのセキュリティ性とは

PBXとは、組織内の通信を管理する電話交換機です。組織内の複数の通信回線をまとめて、「内線同士」「内線と外線」の接続を制御します。

PBXには、以下の3種類があり、それぞれセキュリティ性が異なります。まずは、それぞれの違いを解説します。

＼気になる項目をクリックで詳細へジャンプ／

レガシーPBX

レガシーPBXは、電話線で電話機を直接つなぐ旧来型の電話交換機です。その歴史は古く、現在でもその技術が利用されているため、「レガシー（遺産）」の名前がつけられています。

社内に電話機をつなぐための物理的な装置が必要であり、購入費用・工事費などコストが高額です。IP-PBXやクラウドPBXのように、データ保存・遠隔地への内線など、便利な機能性はありません。

近年は、低コスト、利便性・拡張性などを重視して、IP-PBXやクラウドPBXを採用する企業が増えています。

しかし、レガシーPBXの大きなメリットは、セキュリティ性が高いことです。専用の電話回線で社内に閉じられたネットワークを形成するレガシーPBXは、外部から攻撃される心配がありません。

インターネット回線を利用しないため、不正アクセス・ハッキング・通信傍受などのリスクを低く抑えられます。

物理的な装置を必要とする点もポイントで、装置そのものをセキュリティ性の高い場所に設置することで、物理的に不正な操作ができないようにすることも可能です。

IP-PBX

IP-PBXとは、LANやWANなどのインターネット回線を利用した電話交換機です。IP-PBXのメリットは以下の通りです。

1. 通話内容を音声データとしてネットワーク上のPCやサーバーに保存できる
2. インターネット回線により、モバイル端末（スマートフォンやタブレットなど）を内線電話として使える
3. 遠隔地や複数の拠点で利用できる

IP-PBXには、ハードウェアタイプとソフトウェアタイプの2種類があります。ハードウェアタイプは、専用機器を社内に設置して使用します。ソフトウェアタイプは、自社サーバーに専用のソフトウェアをインストールするタイプです。

このような違いから、ハードウェアタイプとソフトウェアタイプでは、以下のようなセキュリティ性の違いが生じます。

ハードウェアタイプ	専用機器の設置により、物理的にアクセスが制限されるため、不正アクセスや外部から攻撃されるリスクが低い
ソフトウェアタイプ	自社サーバーへのリモートアクセスが可能であり、不正侵入や外部から攻撃されるリスクが高い

クラウドPBX

クラウドPBXとは、IP-PBX同様にインターネット回線で通話を行うための電話交換機です。しかし、自社で設備を整えるIP-PBXとは異なり、オンライン上にあるベンダー（サービス提供者）の設備を利用します。クラウドPBXのメリットは以下の通りです。

1. 自社でサーバーや機器を設置・管理する必要がない
2. 導入が簡単で初期費用も低く抑えられる
3. 回線数や機能を柔軟に調整しやすい

クラウドPBXは、インターネットの利点が大きく発揮される反面、インターネットへの依存度が大きいPBXです。そのため、通常のインターネットサービスと同様のセキュリティリスクに気をつけなければなりません。

しかし、クラウドPBXのセキュリティ対策はベンダーに依存するため、各ベンダーのセキュリティ対策を確認・比較検討することが重要です。比較検討の際どのようなポイントに着目すべきかについて、以下に例を挙げます。

1. 不正侵入を防ぐためのファイアウォールは機能するか
2. データの暗号化は可能か
3. 多要素認証を採用しているか
4. パスワードに有効期限を設定できるか
5. 情報セキュリティマネジメントの認証を受けているか
6. アプリケーションやシステムはベンダーが独自に開発したものか
7. サポート体制は充実しているか
8. セキュリティの問い合わせに対して明確に回答できるか
9. ベンダーの運用体制に不安な点はないか

IP-PBX（ソフトウェアタイプ）のセキュリティリスクと対策

IP-PBX（ソフトウェアタイプ）は、他のPBXよりもセキュリティ面で気をつけなればいけないポイントがあります。ここでは、IP-PBX（ソフトウェアタイプ）のセキュリティリスクとその対策について解説します。

＼気になる項目をクリックで詳細へジャンプ／

遠隔メンテナンス機能悪用による不正アクセス

遠隔メンテナンスとは、インターネットを通じて遠隔操作でシステムやコンピュータのメンテナンスを行うことです。「リモートメンテナンス」「リモート保守」などとも呼ばれます。

IP-PBXにおいてもメーカーや通信サービス会社によって、遠隔メンテナンスを機能として実装していたり、代行サービスを行っていたりします。

この遠隔メンテナンスでは、IDとパスワードがわかればアクセスできることが一般的です。そのため、IDとパスワードが悪意のある人間に知られると、不正アクセスによって、乗っ取り行為をされる可能性があります。

乗っ取り行為とは、外部の人間が持つ通信端末を不正に企業の内線端末として使うことです。この内線端末で有料サービスを利用した場合、その料金は企業が支払わなければいけません。

なお、ハードウェアタイプの場合は、社内に物理的なハードウェアがあるため、リモートのアクセスでできることには限界があります。そのため、この乗っ取り行為については、特にソフトウェアタイプのIP-PBXで注意しなければいけません。

ただし、「ハードウェアタイプだから安心」ではなく、それぞれに適切なセキュリティ対策を講じることが大切です。

対策

遠隔メンテナンスを悪用した乗っ取り行為に対しては、以下のような対策例が挙げられます。

1. パスワードの定期的な変更
2. パスワードを推測されにくい複雑なものにする
3. 取引が国内の場合は、海外発信規制を行う（※乗っ取り行為では、海外の有料サービスが利用されることが多いため）
4. SBC（ゲートウェイ装置）を設置し、そのセキュリティ機能を活用する

スマホ内線化機能悪用による国際通話

スマホ内線化機能とは、社員のスマートフォンを自社の内線端末として利用できる機能です。内線化したスマートフォンは、自社のIP-PBXを経由するため、通話料金を始めとするサービス利用料は自社に請求されます。

スマホ内線化機能も遠隔メンテナンス同様に、IDとパスワードで認証が行われるため、外部の悪意ある人間に知られることで、不正利用されるリスクが高くなります。

対策

遠隔メンテナンス機能の悪用と同様に、スマホ内線化機能の悪用によって、有料サービスを利用する乗っ取り行為が行われます。そのため、スマホ内線化機能悪用への対策は、遠隔メンテナンスの悪用対策と共通しています。

海外の有料サービス事業者と連携して、組織的に不正行為が行われる場合もあるため、自社の取引が国内に限定される場合は、国際電話を規制することが有効な対策です。パスワードやゲートウェイ装置の設置なども視野に入れましょう。

また、自社のIP-PBXにおけるスマホ内線化の詳細な機能について把握しておくことも重要です。以下のようなポイントに着目して、セキュリティ性を向上できるか確認することを推奨します。

1. 内線化した端末を管理・制御できるか
2. 社員がスマートフォンを紛失した場合に機能停止できるか
3. 管理者権限でシステムへのアクセスを制御できるか

クラウドPBXのセキュリティリスクと対策

クラウドPBXは、インターネットを全面的に利用することで利便性が高い反面、セキュリティにおいて注意しなければいけません。ここでは、クラウドPBXのセキュリティリスクとその対策について解説します。

＼気になる項目をクリックで詳細へジャンプ／

不正アクセス・ハッキングによる情報漏洩

クラウドPBXは、物理的なハードウェアによる制約がなく、どこからでもアクセスすることができます。

また、システムへのアクセス方法もIDとパスワードがあれば、簡単にアクセスできてしまいます。これにより、不正アクセス・乗っ取り・ハッキングのリスクが高まります。

さらに、Wi-Fiのセキュリティについても注意しなければいけません。悪意のある第三者がWi-Fiルーターに侵入して管理権限を支配するケースがあります。これにより、Wi-Fiを利用する端末の個人情報を盗んだり、端末を乗っ取ったりする危険性が考えられます。

クラウドPBXにおいても、このようなWi-Fiのハッキングによって、情報漏洩や身に覚えのない通話サービスによる高額請求のリスクがあります。

スマホ内線化機能を利用している場合は、社員のスマートフォンの利用方法についても気をつけなければいけません。スマートフォンが社員の私物である場合、プライベートな時間にセキュリティへの意識が低くなるため、利用ルールを定めておく必要があります。

対策

クラウドPBXにおける不正アクセス・ハッキングなどには、以下のような対策例が考えられます。

1. パスワードを定期的に変更する
2. パスワードを推測されにくいものにする
3. 社内のセキュリティ教育を徹底する
4. スマートフォン紛失時のルール・ガイドラインを定めておく
5. フリーWi-Fiを使用しない
6. 社内のWi-Fiのセキュリティを確認する

マルウェア感染

マルウェアとは、不正に動作させる目的で作られたソフトウェアの総称です。これには、コンピュータウィルス・ワーム・悪質なコードやアプリなども含まれます。社内のネットワーク上には、パソコン・スマートフォン・ルーターなど、さまざまな機器や端末があります。

例えば、1台のパソコンがマルウェアに感染すると、ネットワーク上のさまざまな機器や端末に感染が広がる可能性があります。それにより、ネットワーク上にある情報が盗まれたり、ネットワーク上の機器や端末が破壊されたりする危険性があります。

このようなリスクは、クラウドPBXに限った話ではありません。インターネットへの依存度が高くなるほど、感染経路の可能性が幅広く、被害が甚大になる可能性がある点に注意しなければいけません。

「怪しいメールやWebサイトを開かない」といった対策の方法もありますが、ネットワークに接続しただけで感染するマルウェアも存在するため、厳重な注意が必要です。

対策

マルウェア感染については、クラウドPBXに的を絞って対策を行うよりも社内で扱うインターネット全般に対策することが重要です。以下に対策例を挙げます。

1. 社内のネットワーク上の機器・端末やソフトウェアを最新状態に保つ
2. 社内で利用するインターネット関連のサービス・機器のパスワード設定を強固にする
3. セキュリティルールを策定し、全社員に徹底的な共有を図る
4. 感染の可能性がある機器・端末をネットワークから切り離す（※パソコンならオフライン、スマートフォンなら機内モードにするなど）

上記の補足として、ルーターのファームウェアやパソコンのOSなど、さまざまなソフトウェアはアップデートが必要です。アップデートによってソフトウェアの機能性向上や不具合の修正が行われますが、これにはセキュリティの脆弱性をなくすことも含まれます。

アップデートを行わないままにしていると、悪意のある第三者にセキュリティ上の弱点を狙われやすくなります。また、社内のネットワークのどこからでも攻撃される可能性があるため、ネットワーク上にあるすべてのソフトウェアを最新状態に保つことが大切です。

セキュリティを重視したPBX選びのポイント

PBXを選定する際には、機能の利便性だけでなく、セキュリティの観点から自社にとって安全性の高いものを選ぶことが大切です。ここでは、セキュリティを重視したPBX選びのポイントを解説します。

＼気になる項目をクリックで詳細へジャンプ／

レガシーPBXを選ぶ

レガシーPBXは、IP-PBXやクラウドPBXとは異なり、物理的な装置に頼る電話交換システムを形成します。これにより、導入費用が高額になりやすい点や電話線の届く範囲でしか機器を接続できないなどのデメリットがありますが、セキュリティ性は非常に高いです。

アナログの性質を持つ電話機や電話線のネットワークにおいては、それらに対してインターネットのように外部からリモートでアクセスする経路が存在しません。そのため、不正アクセスやハッキングの心配はなく、最も安全性の高いタイプのPBXです。

近年では、IP-PBXやクラウドPBXでもさまざまなセキュリティ対策が施されていますが、インターネット回線を使う以上、常にリスクは存在します。

予算がある場合は、セキュリティ面でレガシーPBXがおすすめできますが、コストと対策による効果のバランスを考慮してPBXを選定することが大切です。

サポート体制は十分か

PBXのサポート体制は、メーカーやベンダーによって異なります。選定の際には、トラブル発生時にすぐに対応してもらえるかどうかを確認することが重要です。その他にも、以下のようなサポートを提供している場合があります。

1. ホームページにて、PBXに関するFAQやマニュアルの提供
2. PBXの稼働状態の監視
3. システムやネットワーク構築のサポート
4. 現地対応
5. ハードウェアのメンテナンス

導入実績・開発年数

PBXを選定する際には、どのような企業で導入されているかのか、多拠点や海外拠点での運用実績があるかなどを確認しておくことを推奨します。自社の規模と同じような企業での導入実績が豊富であれば、セキュリティ性の信頼度の高さに期待できます。

また、開発年数も信頼度の判断材料になります。開発年数が長いPBXは、ノウハウが蓄積されている可能性が高く、セキュリティ対策に期待が持てます。

ただし、これらはあくまでも参考例です。導入の際には、メーカーやベンダーにセキュリティ対策に関する問い合わせを行い、疑問点をクリアにすることが重要です。

データセンターは分散されているか

クラウドPBXは、オンライン上のデータセンターで管理されています。データセンターは通常、24時間の監視体制が敷かれていますが、より安全性を考慮するなら、データセンターが分散されているか確認することを推奨します。

データセンターが分散されていると、データセンターが物理的に存在する地域に大規模な災害が起きても、別のデータセンターによって、被害を最小限に抑えることができます。また、復旧にかかる時間も短く済む可能性が高くなります。

クラウドPBXを選ぶ際には、ベンダーに複数のデータセンターを運用しているか確認することが大切です。

なお、この対策はクラウドPBXを対象にしていますが、リスク分散の考え方自体は、社内で電話帳・メモ・タスク管理などのPBXに関するデータを管理する際にも有効です。

そのため、レガシーPBX・IP-PBXにおいても、災害時の復旧を早くするためには、データをどのように管理すべきか考慮しておくことが大切です。

PBXを安全に使うために

PBXに関するリスクについて、各機器のセキュリティ機能やベンダーのセキュリティ対策に着目することは大切です。しかし、機能やサービスに依存するのではなく、自社のセキュリティ対策を強化することが最も重要です。

本記事で取り上げた「パスワードの強化」「フリーWi-Fiを使わない」なども、自社で行うべきセキュリティ対策です。

悪意のある第三者にとっては、物理的な機器に対して直接操作を行ったり、ベンダーの設備をハッキングしたりするより、リモートで企業のセキュリティホールを見つける方が簡単です。

そのため、社内でセキュリティルールを定め、全社員にセキュリティルールの周知を促すことが推奨されます。

ただし、社員のセキュリティ意識に依存する対策にも限界があるため、物理的・機能的な対策に予算をかけることを軽視せず、対策方法のバランスを考えることが大切です。

まとめ

PBXには、レガシーPBX・IP-PBX・クラウドPBXと種類が分かれ、それぞれセキュリティ性が異なります。レガシーPBXは導入コストはかかりますが、ハッキングの心配がなく、セキュリティ性が高いです。

IP-PBXとクラウドPBXは、インターネット回線を利用するため、セキュリティについて対策をしっかり行うことが大切です。パスワードの定期的な変更や、フリーWi-Fiを使用しないことなど、自社でできる対策は可能な限り行うようにしましょう。

セキュリティ面でPBXを選定する際には、サポート体制や導入実績が判断材料になります。クラウドPBXの場合は、データセンターについても確認することが推奨されます。本記事を参考に、PBXによる情報漏洩や高額請求の被害リスクを最小限に抑えてください。