engineer

テレワーク導入時、IT担当者が検討すべきセキュリティ対策

新型コロナウイルス感染症に対する緊急事態宣言が5月25日をもって解除されましたが、それでも東京都では7月2日にも100人以上の感染者が確認されるなど、コロナの勢いが収まる気はありません。こういう状況下で、すぐに終わるだろうと思われたテレワークを続けている方も、また多数おられると思います。 このような状況を鑑み、多数の政府機関がテレワークにおけるセキュリティ対策を紹介しています。その中でも今日は、苦労されているIT担当者の方々に、少しでも手掛かりになるようなテレワーク対策をお伝えします。  

セキュリティポリシーを策定し、ルールとして守る

テレワーク環境を安全にするにあたりもっとも重要なことは、「脅威が存在する」状況であると認めることです。現状に対する認識なしでは、セキュリティ対策にしっかり取り組むことなどできません。実際、警察庁などもセキュリティ対応を呼びかけてるのが現状です。
テレワーク標的か 国内でサイバー攻撃6500件超 2020年4月26日 新型コロナウイルスの感染が拡大し、外出自粛が求められるなか、出社せず自宅などで仕事を進めるテレワークが広がっている。こうした動きに照準を合わせるように、不正サイトに誘導するサイバー攻撃の被害が国内で6500件超に上っていることが26日、分かった。… 「前例のない危険な状況」。警視庁サイバーセキュリティ対策本部の幹部はテレワークの急増に危機感をあらわにする。十分な準備なしに急遽導入に踏み切る事例が多いためで、3月31日にはテレワークの防犯対策をホームページに掲載し、警戒を呼び掛けた。警察庁が検知した昨年のサイバー攻撃関連の疑いがある不審アクセスは1日平均で4192件。前年比約1・5倍と急増しており、テレワークが標的にされる例が目立っているという。 引用: 産経新聞
このように、テレワークを実施している企業の情報を狙っている攻撃はすでに多発しており、またその数を増やすであろうと予想できます。これに対応するには、まずルール、つまり「セキュリティポリシー」を策定することが対策の第一歩となるでしょう。仕事を始める前に計画を練るのと同様に、セキュリティ対策もまた同じ過程を要します。また、統一されたルールを持つことによって、従業員が悩みなしにルールを従い安全に仕事をできる、というメリットももたらせるでしょう。  

暗号化されたネットワーク手段を使う

多くの企業で社外と社内の間の通信を暗号化するためにVPN等を導入していると思います。警視庁は、テレワーカーの通信経路に対し、次のような勧告を出しています。
使用するパソコンから勤務先等の接続先までの通信経路が、VPNで暗号化されているか否かを勤務先のネットワーク担当者に確認してから業務を行う 通信経路が暗号化されていないと情報を盗み見されるおそれがあります。 VPNサービスを利用するときは、運営者が明確であり、かつ情報が健全に取り扱われるものを利用する VPNサービスの中には、通信の盗み見や改ざん、マルウェア(ウイルス)の組み込みがされている場合があるので信頼のあるものを利用しましょう。 引用: 警視庁
総務省もまた、重要情報の盗聴に対する対策として機密性が求められる電子データを送受信する際には必ず暗号化をすることを要求しています。暗号化をすることによって、盗聴を許したとしても、その情報の悪用を防ぐという事です。暗号化をせず通信を行った場合、通信に利用している機器を強固に防衛しているとしても、その対策が破られた瞬間に全ての情報が奪取されます。 しかし、暗号化を施すことによって、例え機器に対する防衛手段が破られたとしても、攻撃者が容易に情報を悪用するのを防げるのです。警視庁はその手段としてVPNを勧めておりますが、実はVPNもまた完全なセキュリティ対策だとは言えません。VPNと他のセキュリティ対策を併用したり、リモート・アクセス・ソリューションを導入したりするなどセキュリティ面を最優先し、自社にあった対策を取ることが重要です。  

容易に突破されない認証方法を従業員に提供する

警視庁は、テレワーカのパスワードに関しても、次のような勧告を出しています。
パスワードは他人に推測されにくい複雑なものにする 簡単なものは、他人に不正アクセスされるリスクが高くなります。 パスワードを他のサービスと使い分け、テレワーク専用にする 他のサービスと同じパスワードを使用していると、そのサービスがサイバー犯罪の被害によって情報が流出した場合、テレワークのシステムに不正アクセスされるおそれがあります。 引用: 警視庁
パスワードに対する対策は、テレワークに限らず全ての情報セキュリティ対策としてよく知られています。しかし、実際にこれを守るのはそう簡単ではありません。パスワードを複雑にしたり、用途別に違うパスワードを設定するなどの対策はユーザの業務における効率を阻む可能性があります。多彩なパスワードを設定したのち記憶に残らず、パスワードを再設定するのにかなりの時間を費やしてしまった、などの例を挙げることができるでしょう。なので、二要素認証(2FA)などの機能を通じ、パスワード単体ではなく他の認証手段を同時に利用するなどの対策を取ることをお勧めします。  

不正なパケットを自動的に発見・遮断するシステムを導入する

テレワークでは、社内ネットワークに接続する際、必然的に外部のネットワークを利用することになります。社内で勤務する場合は、オフィスに設置されたネットワークの安全を確保するだけで一定のセキュリティを得られました。しかし、テレワークの場合はそうはいかない、という事です。そこで、総務省は次のような勧告を出しています。
外部のネットワークを利用する場合は、テレワーク実施者が定められたVPN回線に接続してアクセスするルールやシステムを導入する、あるいは不正な通過パケットを自動的に発見、もしくは遮断する措置のできるシステムが求められます。 引用: 総務省
つまり、テレワーカー以外が社内ネットワークに接続するかを常に監視し、摘発するシステムが必要だという事です。社内ネットワークがいくら安全だといっても、それは社内にいる認証された人々だけが利用する場合のことであり、誰もが潜みこめるとなると、もはや安全とは言えません。よって、社外から社内に接続する場合は、怪しい接近を最初から遮断するソリューションを予め導入しておく必要があります。  

コストをできるだけ削減する

情報セキュリティ対策へのコストを支払うにはに制約があるという理由での反対がある、という方も多いでしょう。しかし、無論自社に対する攻撃だけではなく、他人に対する攻撃への足掛かりにもなりかねない状況で、最低限のセキュリティ対策は必須です。総務省もまた、次のような見解を示しています。
対策の程度は企業により異なりますが、電子メールやWeb等のインターネットに繋がったサービスを使う以上は、他人に迷惑を与えないという意味で、最低限の対策は必要であると考えられます。 引用: 総務省
セキュリティ対策をとるにあたっては、「脅威が存在する」状況であると認めることが重要だとお伝えしました。しかし、そのような状況認識下でも、費用の問題で戸惑う企業もまた、多くいらっしゃると思います。しかし、会社の扉を閉めなければ泥棒が入るから防犯会社と契約するのと同じく、対処をしなければ、もっと大きな被害がいずれは訪れるでしょう。被害が出た後ではなく、被害が出る前に備えるのが重要です。そして、そのための手段を選ぶときには、最も状況にあった、優秀なコストパフォーマンスの製品を選択すべきでしょう。  

最後に

いかがだったでしょうか。前述したとおり、テレワークは確かに人の「健康」を守るため有効な手段です。しかし、それによって企業情報の「健康」が損なわれることは、最大限防がなければなりません。クラウドブリックもまた、暗号化・二要素認証・モニタリング及び遮断といった機能を持つ Remote Access Solutionを通じ、企業情報の健康を守ろうとしております。そして、その二つの「健康」を守るため尽力しておられるIT担当者の方々に、Cloudbric Remote Access Solution が役に立てれば、と思う一方であります。 Cloudbric Remote Access Solution の詳しい情報は、こちらをご覧ください。 ...