- 2020/03/31
- セキュリティ
従業員がテレワークを実施する場合のサイバーセキュリティ上の注意点
Post by : Sean Mooney
移行が加速するテレワーク、その懸念点は?
世界中で、多くの人々が、フルタイムでテレワークをしています。すでに多くの企業が理解しており、調査でも一貫して示されていることですが、従業員がテレワークを行うと、気が散ることが少なくなり、通勤時間も短くなるために、高い生産性を維持できるようになります。日本においても、新型コロナウイルスの感染拡大への対策として、テレワークへ移行が急速に進んでいます。
ただし、従業員が必要なときにテレワークが行えるようにすると、企業はより高い柔軟性を得ることができる一方で、サイバーセキュリティ上のリスクももたらされます。テレワークを行うことで、従業員は自分自身のプライバシーを危険にさらすだけでなく、所属する組織がセキュリティ侵害される可能性もあります。
一部の従業員のテレワークをその時々で許可することは、ほとんどの企業が対応できることです。しかし、予測できない自然災害に直面した場合に、いきなり大量の従業員に同時にテレワークを行わせる準備を整えている企業や組織はほとんどありません。
多くの企業は、大量の従業員がテレワークを行うことをサポートするためのインフラストラクチャを保有しておらず、従業員が危険にさらされていないことを保証するためのセキュリティを維持している企業はさらに少数です。大多数の企業では、その基盤となるハードウェア、ソフトウェア、およびサポートインフラストラクチャは、テレワークを行う従業員のごく一部に対応できるように設計されているにすぎません。
企業が多くの従業員にテレワークを許可することを検討している場合、経営側はまず、自社のネットワークとインフラストラクチャがその重圧に耐えられるかどうかをIT部門に確認する必要があります。重圧の例としては、いきなり数百または数千名もの従業員を数分の1の負荷を想定して構築されたインフラストラクチャにアクセスさせることや、接続の大部分が仮想プライベートネットワーク(VPN)経由で企業ネットワークへと入ってくるようにさせることが考えられます。
企業のITインフラストラクチャが大量のテレワークをしている従業員からのネットワークトラフィックに対応できることを確認することに加えて、経営側は、組織がテレワークおよび社内システムへのリモートアクセスに関するセキュリティガイドラインを確立しているかどうかをチェックする必要があります。関連する計画やポリシーが確立されていない場合、それは、社内システムへのリモートアクセスや従業員が業務で個人用デバイスを使用することに対処するための、いくつかの基本的なガイドラインを少なくとも確立すべき良い機会となります。
テレワーク実施の際、セキュリティを保証するための注目すべき点
なお、企業や組織が従業員にテレワークを許可する際に、サイバーセキュリティを保証するために注目すべき点をいくつか下記に示します。
VPN
テレワークを行う従業員は、VPNを使用する必要があります。仮想プライベートネットワーク(VPN)を使用すると、ストリーミングサイトやその他の場所に特化したコンテンツに関する地理的な制限を回避できることは広く知られています。しかし、VPNには、オンライン・プライバシーの向上という、もう1つの重要な役割があります。VPNは、ユーザーのインターネットトラフィックをすべて暗号化するため、それを傍受した人物がいたとしても、トラフィックは読み取り不可能となります。従業員がテレワークを行っているときに社内システムにリモートアクセスする場合には、必ず専用のVPNを使用させるようにしましょう。
WiFi接続
最近の家庭内におけるほとんどの WiFiシステムは、正しく保護されています。ただし、家庭の外では、レストランや公共スペースで提供されている安全ではない公衆WiFiネットワークは、悪意ある人物がインターネットトラフィックの盗み見や、機密情報の収集を行うための絶好の場所であることを、従業員は認識しておく必要があります
家庭用WiFiルーター
多くのユーザーは、家庭用ルーターのパスワードを最初のインストール時に変更していないため、そのようなユーザーのホームネットワークは脆弱なままとなっています。悪意ある人物によるコネクテッドデバイスへのアクセスを防ぐためには、従業員が各自のホームネットワークを保護するための簡単な手順を実施できるようにする必要があります。
ルーターのパスワードを変更することが第一歩です(パスワードは長く強固なものでなければなりません)。他にもぜひとも実施すべき措置があります。たとえば、セキュリティ上の脆弱性にパッチを適用できるようにするために、ルーターのファームウェアのアップデートがインストールされる場合があることを確認する必要があります。
パスワード
すべてのアカウントが強固なパスワードで保護されていることを保証することは、これまで通り重要です。しかし、残念なことに、今もなお多くのユーザーが複数のアカウントで同一のパスワードを利用しています。これは、1つのパスワードが漏洩しただけで、攻撃者はそれら複数のアカウントをすべて乗っ取ることができることを意味しています。(注:従業員が個人用デバイスから企業情報システムやアプリケーションにログインする際には、「パスワードを記憶する」機能を常にオフにする必要があります)。
2要素認証
データ漏洩で従業員のクレデンシャルが漏洩した場合などを考えると、多くの場合、強固なパスワードを持つだけでは十分ではありません。2要素認証および2段階認証を導入すると、従業員のアカウントに追加の保護層を付加するための追加的なステップを提供できるようになります。
追加的なステップの例としては、電子メールまたはテキストメッセージの確認や、顔認証や指紋スキャンのような生体認証方式が挙げられます。
バクアップ
重要なファイルはすべて、定期的にバックアップを取る必要があります。最悪の場合、たとえば従業員がランサムウェアに感染することが考えられます。その場合、バックアップがなければ、すべては失われてしまいます。重要なファイルを確実にバックアップする最も簡便でコスト効率の良い方法として、従業員のデータをクラウドに保存することが挙げられます。
ファイアウォール
ファイアウォールは、企業のシステムに侵入する脅威を防ぐための防御線として機能するものであり、通信用のポートを閉じることで、従業員のデバイスとインターネット間に防護壁を作成します。これにより、悪意あるプログラムの侵入を防止できると同時に、従業員のデバイスからのデータ流出を防ぐことができます。デバイスのオペレーティングシステムには、通常、組み込み型のファイアウォールが含まれています。
また、多くのルーターにはファイアウォールが組み込まれています。ただし、使用するルーター上で同機能が有効になっていることを確認する必要があります。
アンチウイルスソフトウェア
アンチウイルスソフトウェアが適切に導入されており、それらが完全にアップデートされていることを保証する必要があります。ファイアウォールは確かに役に立ちますが、脅威が通過することは避けられません。優れたアンチウイルスソフトウェアは、既知のマルウェアを検出してブロックすることで、次なる防御線として機能します。マルウェアが従業員のデバイスに侵入した場合でも、アンチウイルスソフトウェアがそれを検出し、場合によってはそれを削除することもできます。
暗号化
暗号化ツールが従業員のデバイスにインストールされているかどうか、そして同ツールが最新の状態になっているかどうかを確認します。もちろん、従業員には同僚とのコミュニケーションが必要となる場合があるほか、従業員同士の電子メールに機密情報が含まれていることはよくあります。あなたの会社がまだセキュアな通信手段を提供していない場合、別のオプションを考える必要があります。
多くの主流のメッセージングサービスでは、エンドツーエンドの暗号化をデフォルトで、またはオプションとして提供しています。
デバイスのロック
従業員がパブリックスペースで仕事をしなければならない場合、デバイスを安全に保つ必要があります。デバイスにパスワードロックをかけると、通常、誰かがパスワードを入力するまで、デバイスの内容を暗号化できます。
フィッシング
フィッシング攻撃をはじめ、リモートデバイスや企業情報システムへのリモートアクセスに関連するその他の形式のソーシャルエンジニアリング攻撃の検出方法と対処方法について、従業員をトレーニングします。従業員に対しては、自分が知らない人からのメール(特にリンクのクリックやファイルのオープンを要求するメール)を疑うように警告する必要があります。知り合いから送られてきたメールであっても、通常とは異なることを要求してくるようなメールは疑うべきです。疑わしい場合は、電話でダブルチェックするよう従業員に指示します。
セキュリティ相談窓口・インシデント報告窓口の設置
従業員がテレワークを行う場合、潜在的なセキュリティ問題が発生した際に、自社のインシデント対応チームに連絡できるように、電子メールアドレスおよび電話番号を提供します。
さいごに
テレワークがますます一般的になると、すべての企業や組織にとって、サイバーセキュリティリスクにさらされるリスクを最小限に抑えるために、必要なインフラをはじめ、適用可能なセキュリティガイドライン、計画、ポリシーを整備することが不可欠となります。上述した内容が、テレワークに関するサイバーセキュリティガイドラインを作成する際に、企業や組織が考慮すべき分野について良いアイデアを提供することを願います。
<緊急時対応チェックリスト>セキュアなテレワークでビジネスを継続
新型コロナウイルスの感染拡大防止への対策として、多くの企業がテレワークを実施していますが、テレワーク実施時のIT環境の整備やルールの策定、ITセキュリティ・サイバーセキュリティの強化など、IT/セキュリティ担当者が取り組むべき課題が山積しています。
本資料は、急なテレワークの実施に対応するため、セキュリティチームとITチームが取り組むべき項目をチェックリストとしてまとめました。
テレワーク実施時の参考にぜひご活用ください。
https://www.cybereason.co.jp/product-documents/white-paper/4514/
