2020/10/29
テレワークでのセキュリティ
死ぬほどたくさん牡蠣を食べたい季節の到来です。
今回は弊社のとあるスタッフが「テレワークでのセキュリティ」をテーマに話しました。
弊社では、新型コロナウイルス感染対策としてリモートワークを推奨しています。
そのため、必ずしもスタッフがオフィスで作業をしているわけではありません。
テレワークでのセキュリティについては各々がしっかりと対策を講じているとは思いますが、何か抜けていてはいけないので、今日はお茶会の時間を使って「テレワーク環境のセキュリティについて啓発」を行いたいと思います。
在宅勤務はそのまま自宅を就業場所とすることです。
モバイルワークは移動中に顧客先やカフェなどを就業場所とする働き方のことを指します。
最後にサテライトオフィス勤務ですが、所属しているオフィス以外のオフィスなどで働くことです。
大きく分けて下の三つのようなリスクが考えられます。
それぞれの事例について少し説明しますと、
マルウェアの場合
送られてきたメールの添付ファイルを不注意に開いたり、悪意のあるサイトにアクセスしたり、USBメモリを介してマルウェアに感染。無断であちこちのサーバーに攻撃が行われ、重要情報が盗まれます。
その結果、個人情報が漏洩、賠償義務が発生。はたまたその一件がニュースで取り沙汰され、取引先や顧客からの信頼が失墜、最悪取引停止に。
ランサムウェアの場合
マルウェアの一種なので、侵入経路は一緒です。
しかし感染後、大事そうなデータを暗号化して人質にし、金銭を要求されるなどの被害が。そうすると情報が復旧できず、業務に影響が発生。感染発覚がニュースになって会社の信頼が失墜、そして取引停止へ…。
不正アクセスの場合
VPN機器に脆弱性があった時、セキュリティホールを抱えたまま使用を続けると、そこから社内に侵入され、社内ファイルサーバーなどにアクセスし情報を搾取されます。その結果、顧客情報が漏洩…後の流れは先の二つと同じです。
というケースや、様々なサービスで同じパスワードとIDを使いまわしているせいで、どこかから流出したものを入手した攻撃者が色々なサイトにリスト型の攻撃を仕掛けて侵入、情報を搾取。最終的には同じようなバッドエンドに…。
特にリモートの場合、出先でパソコンを盗まれたり、どこかに忘れてきたり、またショルダーハッキングなどで情報を盗まれてしまうということも考えられるので気をつけるようにしましょう。
他にも色々な事例が紹介されているので、気になる方はこちらをご覧になってみてください。
「ルール」「人」「技術」 のバランスを取りながら対策するのが最もベーシックな考え方です。
この三つのどれか一つにでも欠陥があると、他の対策をいくら強化していてもそこから情報が漏洩してしまう恐れがあるので、満遍なく力を入れる必要があります。
ルール
オフィスはセキュリティ環境が整っているという前提で利用している場所ですが、オフィスとは違う環境で作業する時、それとは別に注意するべき点をルール化しておくことが重要です。
そうすることで従業員は都度、自分で判断をして必要な対策を考えなくとも、ルールを守ることで仕事に注力できるようになり効率が上がります。
人
ルールや技術が整っていても、結局は人が遵守/運用するものなので、効果を発揮するかどうかは人に依存します。
技術
技術はルールや人では対応しきれない「認証」「検知」「制御」「防御」といった部分を補完して自動的に行なってくれるものです。有効に利用して対策するようにしましょう。
続いてはこの三つを気にかけながら、テレワークのセキュリティで注意すべき点を具体的に見ていこうと思います。
以下の内容は基本的に IPA テレワークを行う際のセキュリティ上の注意事項 と 総務省テレワークセキュリティガイドライン(第4版) と 総務省 中小企業等担当者向けテレワークセキュリティの手引き(チェックリスト)(初版) から、テレワーク勤務者向けの情報を抜粋しつつマージしたものです。
テレワークを始める前に
テレワークで使用するパソコン等は、できる限り他人と共有して使わないようにしましょう。どうしてもそれができない時には、業務用のユーザーアカウントを別途作成して、ユーザー環境は分けてください。
弊社では、そういうことが起こらないように個人にパソコンを支給しています。
また、ウェブ会議のサービス等を新たに使い始める際には、事前にそのサービス等の初期設定の内容を確認。特にセキュリティ機能は積極的に活用しましょう。
自宅で作業する時
自宅のルータは、メーカーのサイトを確認のうえ、最新のファームウェアを適用(ソフトウェア更新)するようにしてください。
公共の場で行う場合
カフェ等の公共の場所でパソコン等を使用する時はパソコンの画面を覗かれないように。デジタルデータ/ファイルだけではなく、紙の書類等の管理にも気をつけましょう。
また、公共の場所でウェブ会議を行う際には、話し声が他の人に聞こえないように注意です。
公衆Wi-Fiを利用する場合も、パソコンのファイル共有機能をオフにする。必要に応じて信頼できるVPNサービスを利用する。ということを徹底してください。
修正プログラムの適用
利用するパソコン、スマートフォン等のOSや各種ソフトウェアに修正プログラムがあったら適用し、最新のバージョンを維持するようにしてください。
ただし、場合によっては必ずしも最新バージョンにすれば良いということでもないので、要判断です。
セキュリティソフトの導入および定義ファイルの最新化
利用するパソコン、スマートフォン等にセキュリティソフトを導入し、セキュリティソフトの定義ファイル(パターンファイル)を常に最新の状態になるように設定しましょう。
定義ファイルが最新の状態になっているか定期的に確認するのも大切なことです。
パスワードの適切な設定と管理
パスワードは可能な範囲で複雑な長い文字列を設定するのが推奨されています。大小英字、数字および記号を混在させて、最低でも8文字以上で。パスワードを初期設定のままで利用しないように。
また、他のシステムやインターネットサービスで同じパスワードを使い回さないで済む工夫をしましょう。
不審な(メール | SMS | SNSでのファイル | URL)に注意
日々届くメールの中には、ウイルスを組み込んだファイルが添付されていたり、ウイルスを仕掛けたサイトやフィッシングサイトへ誘導するURLが記載されている可能性があります。
標的型攻撃メールのように、実在の組織や人物を騙ったり、ごく自然な日本語表現で違和感がなかったりなど、一見では不審を抱きにくいものも昨今増えているので、受信したメールの正当性が判断できない時には、不用意にクリックせず、上長またはシステム管理者へ相談し、必要に応じてメールの送信者となっている組織へ確認を取るようにしましょう。
USBメモリ等の取り扱いの注意
所有者が不明、もしくは自身が管理していないUSBメモリ等の外部記憶媒体はウイルス感染の可能性があるため、パソコンに接続しないようにしてください。
さらに、パソコンからUSBメモリ等にウイルスが感染するリスクもあるので、自身が管理していないパソコンには不用意に自身の外部記憶媒体を接続しないようにすることも大事です。
社内ネットワークへの機器接続ルールの遵守
ウイルス感染したパソコンや外部記憶媒体を社内ネットワークに接続することで、ウイルスをネットワーク内に拡散してしまう危険性があります。
個人所有の持ち込みパソコンや外部記憶媒体等を不用意に社内ネットワークに接続しないように注意し、社内ネットワークに接続する必要がある場合は、必ずアンチウイルスソフトを有効にしましょう。
ソフトウェアをインストールする際の注意
ソフトウェア(フリーソフト等)をインターネットからダウンロードしたり、自身のパソコンにインストールする場合は、作成元、配布場所、セキュリティ的な問題がないか、評判など不審な兆候がないかよく調べること。
パソコン等の画面ロック機能の設定
第三者に見られたり操作されたりしないよう、パソコンやスマートフォン等には画面ロックを設定してください。
席を離れる際には、パソコンは画面ロックをかけ、スマートフォンは放置しないようにしましょう。
ここまでの話は基本中の基本です。網羅してやるようにしてください。
加えて、総務省の出しているチェックリストがあるので、そちらを実践してもらえるとさらに良いと思います。
たくさん項目があって大変かもしれませんが、基本的なことなので、皆様よろしくお願いします。困った時は人に相談するようにしましょう。
今回は弊社のとあるスタッフが「テレワークでのセキュリティ」をテーマに話しました。
弊社では、新型コロナウイルス感染対策としてリモートワークを推奨しています。
そのため、必ずしもスタッフがオフィスで作業をしているわけではありません。
テレワークでのセキュリティについては各々がしっかりと対策を講じているとは思いますが、何か抜けていてはいけないので、今日はお茶会の時間を使って「テレワーク環境のセキュリティについて啓発」を行いたいと思います。
テレワークの定義
テレワークとは、情報通信技術(ICT)の利活用により、時間・空間を有効に活用する多様な就労・作業形態を指し、具体的には以下のようなものを表しています。- 在宅勤務
- モバイルワーク
- サテライトオフィス勤務
在宅勤務はそのまま自宅を就業場所とすることです。
モバイルワークは移動中に顧客先やカフェなどを就業場所とする働き方のことを指します。
最後にサテライトオフィス勤務ですが、所属しているオフィス以外のオフィスなどで働くことです。
セキュリティリスク
リモート環境やテレワークに限った話ではないのですが、リモートで働くことにより若干リスクが上がるので、注意が必要です。大きく分けて下の三つのようなリスクが考えられます。
- 情報漏洩 (不正アクセス / マルウェア / 盗難 / ネットワーク盗聴)
- 重要情報の消失 (物理的紛失 / ランサムウェア / コンピューターウイルスなど)
- 作業中断 (物理的紛失 / ランサムウェア / 事故対応)
それぞれの事例について少し説明しますと、
マルウェアの場合
送られてきたメールの添付ファイルを不注意に開いたり、悪意のあるサイトにアクセスしたり、USBメモリを介してマルウェアに感染。無断であちこちのサーバーに攻撃が行われ、重要情報が盗まれます。
その結果、個人情報が漏洩、賠償義務が発生。はたまたその一件がニュースで取り沙汰され、取引先や顧客からの信頼が失墜、最悪取引停止に。
ランサムウェアの場合
マルウェアの一種なので、侵入経路は一緒です。
しかし感染後、大事そうなデータを暗号化して人質にし、金銭を要求されるなどの被害が。そうすると情報が復旧できず、業務に影響が発生。感染発覚がニュースになって会社の信頼が失墜、そして取引停止へ…。
不正アクセスの場合
VPN機器に脆弱性があった時、セキュリティホールを抱えたまま使用を続けると、そこから社内に侵入され、社内ファイルサーバーなどにアクセスし情報を搾取されます。その結果、顧客情報が漏洩…後の流れは先の二つと同じです。
というケースや、様々なサービスで同じパスワードとIDを使いまわしているせいで、どこかから流出したものを入手した攻撃者が色々なサイトにリスト型の攻撃を仕掛けて侵入、情報を搾取。最終的には同じようなバッドエンドに…。
特にリモートの場合、出先でパソコンを盗まれたり、どこかに忘れてきたり、またショルダーハッキングなどで情報を盗まれてしまうということも考えられるので気をつけるようにしましょう。
他にも色々な事例が紹介されているので、気になる方はこちらをご覧になってみてください。
セキュリティ確保のために必要な要素
それではセキュリティを確保するにはどうすればいいのでしょうか。「ルール」「人」「技術」 のバランスを取りながら対策するのが最もベーシックな考え方です。
この三つのどれか一つにでも欠陥があると、他の対策をいくら強化していてもそこから情報が漏洩してしまう恐れがあるので、満遍なく力を入れる必要があります。
ルール
オフィスはセキュリティ環境が整っているという前提で利用している場所ですが、オフィスとは違う環境で作業する時、それとは別に注意するべき点をルール化しておくことが重要です。
そうすることで従業員は都度、自分で判断をして必要な対策を考えなくとも、ルールを守ることで仕事に注力できるようになり効率が上がります。
人
ルールや技術が整っていても、結局は人が遵守/運用するものなので、効果を発揮するかどうかは人に依存します。
技術
技術はルールや人では対応しきれない「認証」「検知」「制御」「防御」といった部分を補完して自動的に行なってくれるものです。有効に利用して対策するようにしましょう。
続いてはこの三つを気にかけながら、テレワークのセキュリティで注意すべき点を具体的に見ていこうと思います。
テレワークのセキュリティで注意すべき点
先ほども言ったように、オフィスはセキュリティ環境が既に整っている前提の場所ですが、テレワークでは自分自身で気をつける必要があります。以下の内容は基本的に IPA テレワークを行う際のセキュリティ上の注意事項 と 総務省テレワークセキュリティガイドライン(第4版) と 総務省 中小企業等担当者向けテレワークセキュリティの手引き(チェックリスト)(初版) から、テレワーク勤務者向けの情報を抜粋しつつマージしたものです。
テレワークの基本として気をつけること
テレワークを始める前に
テレワークで使用するパソコン等は、できる限り他人と共有して使わないようにしましょう。どうしてもそれができない時には、業務用のユーザーアカウントを別途作成して、ユーザー環境は分けてください。
弊社では、そういうことが起こらないように個人にパソコンを支給しています。
また、ウェブ会議のサービス等を新たに使い始める際には、事前にそのサービス等の初期設定の内容を確認。特にセキュリティ機能は積極的に活用しましょう。
自宅で作業する時
自宅のルータは、メーカーのサイトを確認のうえ、最新のファームウェアを適用(ソフトウェア更新)するようにしてください。
公共の場で行う場合
カフェ等の公共の場所でパソコン等を使用する時はパソコンの画面を覗かれないように。デジタルデータ/ファイルだけではなく、紙の書類等の管理にも気をつけましょう。
また、公共の場所でウェブ会議を行う際には、話し声が他の人に聞こえないように注意です。
公衆Wi-Fiを利用する場合も、パソコンのファイル共有機能をオフにする。必要に応じて信頼できるVPNサービスを利用する。ということを徹底してください。
日頃から気をつけること
修正プログラムの適用
利用するパソコン、スマートフォン等のOSや各種ソフトウェアに修正プログラムがあったら適用し、最新のバージョンを維持するようにしてください。
ただし、場合によっては必ずしも最新バージョンにすれば良いということでもないので、要判断です。
セキュリティソフトの導入および定義ファイルの最新化
利用するパソコン、スマートフォン等にセキュリティソフトを導入し、セキュリティソフトの定義ファイル(パターンファイル)を常に最新の状態になるように設定しましょう。
定義ファイルが最新の状態になっているか定期的に確認するのも大切なことです。
パスワードの適切な設定と管理
パスワードは可能な範囲で複雑な長い文字列を設定するのが推奨されています。大小英字、数字および記号を混在させて、最低でも8文字以上で。パスワードを初期設定のままで利用しないように。
また、他のシステムやインターネットサービスで同じパスワードを使い回さないで済む工夫をしましょう。
不審な(メール | SMS | SNSでのファイル | URL)に注意
日々届くメールの中には、ウイルスを組み込んだファイルが添付されていたり、ウイルスを仕掛けたサイトやフィッシングサイトへ誘導するURLが記載されている可能性があります。
標的型攻撃メールのように、実在の組織や人物を騙ったり、ごく自然な日本語表現で違和感がなかったりなど、一見では不審を抱きにくいものも昨今増えているので、受信したメールの正当性が判断できない時には、不用意にクリックせず、上長またはシステム管理者へ相談し、必要に応じてメールの送信者となっている組織へ確認を取るようにしましょう。
USBメモリ等の取り扱いの注意
所有者が不明、もしくは自身が管理していないUSBメモリ等の外部記憶媒体はウイルス感染の可能性があるため、パソコンに接続しないようにしてください。
さらに、パソコンからUSBメモリ等にウイルスが感染するリスクもあるので、自身が管理していないパソコンには不用意に自身の外部記憶媒体を接続しないようにすることも大事です。
社内ネットワークへの機器接続ルールの遵守
ウイルス感染したパソコンや外部記憶媒体を社内ネットワークに接続することで、ウイルスをネットワーク内に拡散してしまう危険性があります。
個人所有の持ち込みパソコンや外部記憶媒体等を不用意に社内ネットワークに接続しないように注意し、社内ネットワークに接続する必要がある場合は、必ずアンチウイルスソフトを有効にしましょう。
ソフトウェアをインストールする際の注意
ソフトウェア(フリーソフト等)をインターネットからダウンロードしたり、自身のパソコンにインストールする場合は、作成元、配布場所、セキュリティ的な問題がないか、評判など不審な兆候がないかよく調べること。
パソコン等の画面ロック機能の設定
第三者に見られたり操作されたりしないよう、パソコンやスマートフォン等には画面ロックを設定してください。
席を離れる際には、パソコンは画面ロックをかけ、スマートフォンは放置しないようにしましょう。
ここまでの話は基本中の基本です。網羅してやるようにしてください。
加えて、総務省の出しているチェックリストがあるので、そちらを実践してもらえるとさらに良いと思います。
まとめ
テレワーク環境でのセキュリティで一番重要なことは、テレワーク勤務者が自身でセキュリティ管理することを自覚し対策を理解することです。たくさん項目があって大変かもしれませんが、基本的なことなので、皆様よろしくお願いします。困った時は人に相談するようにしましょう。
