- 2020/03/30
- セキュリティ
「在宅勤務」に起因する潜在的なサイバーセキュリティの脅威に対しての企業の防御手段
Post by : Sean Mooney
過去数年間で、サイバーセキュリティの脅威を遮断しようとするだけでは、企業を十分に守れないことが明確になりました。侵入は不可避であるため、ファイアウォールと従来のアンチウイルスソリューションでは不十分であることは、誰もが分かっています。サイバーセキュリティのニーズが高まっていることが益々認識されるようになってきても、ほとんどの企業はオンプレミスのネットワークセキュリティの保護には全力を注いでいるものの、従業員に在宅勤務を許可することで発生する脅威から企業を守る方法については、十分に時間をかけて検討しているとは言えません。
新型コロナウイルス(COVID-19)の感染拡大により、現在多くの企業が従業員に在宅勤務を指示または許可しています。これによって、サイバー犯罪者が企業を攻撃する別の機会を作りました。在宅勤務の文化がある企業(Googleなど)は、すでにこのような脅威に備えています。一方、在宅勤務文化のない企業は、オンプレミスのネットワークセキュリティプロトコルに依存する傾向が強く、オフプレミスで仕事をする従業員がもたらす脅威に対する準備はできていません。
在宅勤務の従業員は、企業機密だけでなく、顧客やスタッフの個人情報にもアクセスしたり、転送したりする可能性があります。どちらの情報も不適切な漏洩は、企業に多大な悪影響を及ぼすことになります。企業機密情報の漏洩により、ビジネス上の大きなダメージや損失につながる可能性があります。
在宅勤務の従業員は、企業支給のコンピューターではなく、個人のPCを使用するかもしれません。さらに、企業の機密資料を個人的なデバイス、デスクトップ、ハードディスクドライブ、USBドライブおよびクラウドのファイルホスティングサービス(Dropboxなど)にダウンロードまたは保存するなど、安直な方法を選択するかもしれません。企業は、資料を適切なセキュリティシステム(企業が認可できるレベルのアンチウイルスソフトウェア、パスワード保護テクノロジー、または安全なネットワーク接続など)が構成されていない個人的なデバイスに保存することで、サイバー攻撃にさらされるリスクが拡大することを、従業員に再認識させる必要があります。
さらに、「自宅以外」(すなわち、Wi-Fiを利用できるコーヒーショップなど)で在宅勤務をしている従業員は、「物理的な侵害」の影響も受けやすくなります。なぜなら、車の中やコーヒーショップなど、オフィスの物理的なセキュリティが設定されていない場所にラップトップやデバイスを無防備な状態で放置する可能性があるからです。また、従業員がコーヒーショップなどの公共の場で仕事をしている場合、第三者がコンピューター画面を見ることで、企業機密または個人情報にセキュリティリスクを及ぼすこともあります。
これらの脅威を防ぐために、企業側はすべての従業員が自覚し、遵守する「リモートワークポリシー」を設定する必要があります。このポリシーには、次のような項目を含める必要があります。
- すべての従業員のデバイスには、リモートシステムへのアクセスを許可する前に、企業が提供するセキュリティソフトウェアと最新のソフトウェアアップデートをインストールさせる
- 企業ポータルにログインするたびに、 多要素認証を要求する
- 強力なエンドツーエンド暗号化を使用したVPN(仮想プライベートネットワーク)を介したリモートアクセスのみを許可する
- 第三者が画面や印刷物を見ることができるコーヒーショップや公共交通機関など、公共の場での仕事を禁止する
- パブリックWi-Fiの使用を禁止し、安全でパスワード保護されたホームWi-Fiまたはホットスポットの使用を指示する
- 特定の機密データをダウンロード際には、追加の資格情報を設定する
- 簡単に覚えられる電子メールアドレス、例えば、security@yourcompany.comなどで、ユーザーがセキュリティの問題を迅速かつ簡単に報告できるようにする
当然ながら、現在の「在宅勤務」への移行は急務であるため、これらの手順をすべて直ちに実施することは現実的ではありません。
将来、別の自然災害により企業が突然全従業員に在宅勤務を指示しなければならなくなったときのために、企業は関連するサイバーセキュリティのリスクに備える必要があります。これには、予備計画とより一層の努力が必要です。
<緊急時対応チェックリスト>セキュアなテレワークでビジネスを継続
新型コロナウイルスの感染拡大防止への対策として、多くの企業がテレワークを実施していますが、テレワーク実施時のIT環境の整備やルールの策定、ITセキュリティ・サイバーセキュリティの強化など、IT/セキュリティ担当者が取り組むべき課題が山積しています。
本資料は、急なテレワークの実施に対応するため、セキュリティチームとITチームが取り組むべき項目をチェックリストとしてまとめました。
テレワーク実施時の参考にぜひご活用ください。
https://www.cybereason.co.jp/product-documents/white-paper/4514/
