こんな時だからこそ、テレワークを安全に!-セキュリティブログ
テレワークの普及は以前から予測されていましたが、現在進行中の新型コロナウイルス(COVID-19)の発生に対応して、世界中の多くの企業が急遽テレワークを導入しています。 その結果、リモート環境から企業内ネットワークにサインインする従業員や、SaaS(Software as a Service)を利用する従業員が増加しています。このように必要に迫られた急激な変化の際には、さらなるセキュリティリスクが生じる可能性があります。
トレンドマイクロの「2020年セキュリティ脅威予測」では、テレワークに向けたポリシーやシステムの整備と接続されたホームデバイスによってもたらされるリスクに企業がどのように警戒しなければならないかを述べています。テレワークやクラウドの普及により、これまで外からの侵入を防ぐ「境界線防御」を基本としていた企業において、セキュリティの境界線が曖昧にならざるを得ません。
例えば、外部で従業員が利用しているデバイスの感染が、サプライチェーン攻撃の起点となる可能性があります。企業のセキュリティ部門や従業員においては、テレワークによるセキュリティリスクを最小限に抑えるため、以下のようなすぐ役立つ実践的な対策を考慮してください。
■企業が確認すべきポイント
二要素認証
多くの主要なWebサイトおよびサービスが二要素認証(2FA、Two-factor Authentication)を実装しています。リモートからの企業内ネットワークへのサインインや、クラウドサービスの利用には、パスワードのみに依存しないような追加の認証手順を設定することが望ましいです。(例えば、認証用のモバイルアプリや生体認証を使用するなど)
パスワードのみの認証は過去に何度もハッキング、漏えい、または窃取といった被害事例が発生しています。また、電子証明書やIPアドレスなどにより特定端末の利用者のみがアクセスできるようにするなどのアクセス制限も有効です。
テレワークに向けたポリシーやシステムの整備
従業員の業務、取り扱う情報、セキュリティリスクなどを考慮し、会社のポリシーに沿ってテレワークに関する明確なガイドラインを確立します。BYODでもセキュリティを担保する方法もあるのですが、従業員に会社から貸与するデバイスを使用させることで、基本的なセキュリティ対策とデータの損失や盗難に対する保護を一律に行うことができるという利点があります。
VPNライセンスとネットワーク帯域の確保
企業はテレワークの増加に対応するため、十分な仮想プライベートネットワーク(VPN)ライセンスとネットワーク帯域を確保する必要があります。リモート接続で十分なパフォーマンスが得られない場合、そもそもの業務効率に影響があるばかりか、従業員がポリシーから逸脱しセキュリティが疎かになる可能性があります。
VPNの使用制限
VPNへのアクセスを規制し、ユーザにログインの定期的な更新(例えば、ユーザごとに1日あたり最大12時間のアクセスを許可し、その後は自動的に一度ユーザをサービスからログオフさせるなど)を要求します。
とある大手企業ではCOVID-19対策として全社的にテレワークとなりましたが、勤怠管理の為にVPNに接続する必要があり、混雑でつながらないという事態になったといいます。急遽、対応しなければならなかったとはいえ、VPN対策はセキュリティとは違う観点で注意が必要です。
データのバックアップ
データをバックアップする場合は3-2-1のルールに従います。2つ以上の異なるストレージ形式でデータのコピーを少なくとも3つ作成し、少なくとも1つのコピーをオフサイトに配置します。(例えば、会社が貸与する外部SSDまたはHDDを使用するなど)
企業がテレワークを行う上で検討すべき「技術的対策」のポイントについては「テレワークにおけるセキュリティの注意点と対策」から確認することができます。その他、テレワークから安全に再び職場での業務に移行するためのポリシーについては、こちらのガイド(英語)でも詳細を確認することができます。
■従業員に求められること
会社から貸与されるデバイスを利用する
テレワークにおいても、会社のセキュリティポリシーに従うことが必要です。その意味でも会社から貸与されるデバイスを利用することが望ましいです。会社貸与のデバイスは会社のセキュリティポリシーに沿った対策が施されているはずです。導入されているセキュリティ対策製品を正しく使用し、OSのアップデートは指定されたタイミングで必ず行ってください。
また、会社から貸与されたデバイスを私的用途で使用したり、家族または第三者に使用させたりしないよう注意が必要です。
使用するネットワークに関しても、会社のポリシーに従ってください。自宅のインターネット回線は会社のようには守られていないことが多いので、会社貸与のモバイルルータなどがある場合にはそちらを優先して利用するのがよいでしょう。
私物デバイスを利用する際の心がけ
会社から使用が認められたものではない限り、私物デバイスは会社のセキュリティポリシーに準拠していない可能性があるため使用しないことが望ましいです。私物デバイスの使用が避けられない場合は、可能な限り会社のセキュリティポリシーに準拠することが必要です。会社が提供するセキュリティソフトウェアを使用し、会社のデータ保護対策に従う必要があります。
また、テレワーク中に業務と私的なアクティビティを混在させないよう注意する必要があります。
テレワーク環境としてホームネットワークを利用する際の心がけ
テレワーク環境として自宅のホームネットワークを利用する場合、ホームネットワーク自体のセキュリティも必要になります。ホームネットワークのセキュリティに関しては次の項でまとめます。
業務継続の観点からは、シームレスな生産性の確保が重要です。通信速度は生産性に大きな影響がありますので、テレワーク中は動画のストリーミングのような帯域を消費しやすい行動を控えてもらうよう他の家族に協力を求めることも必要になってくるかもしれません。
また無線LANを使用している場合、電子レンジなど電波干渉の可能性がある機器が自宅や近隣で使用されることで通信速度が不安定になることもありえます。接続品質安定のためには、電波干渉の可能性の少ない5GHz帯を使用する、無線ではなく有線接続する、などの方法も検討してください。
指定のVPNを使用する
多くの会社ではリモートから企業内ネットワークにアクセスするためにVPNを用意しています。業務用のデバイスで専用VPNを使用し、利用しているネットワークとオフィス間の通信を安全にします。フィッシング攻撃など、VPN関連の認証情報を盗む攻撃に注意してください。
ネットワーク分離
テレワーク環境でネットワーク分離が可能な場合、例えばゲスト用ネットワークから業務用のデバイスを分離するなどが望ましいでしょう。これにより、同じテレワーク環境に接続されている他のデバイスが汚染されている場合も、その影響を受けないようにできます。仮想ローカルエリアネットワーク(VLAN)機能を備えたルータまたはスイッチを利用している場合は、機能を有効にして業務専用のVLANを割り当ててください。
バックアップソリューションを準備する
バックアップオプション(例えば、会社が貸与する外付けSSDまたはHDDを使用するなど)を使用すると、ネットワークの切断やサーバの障害などの問題が発生した場合、業務を継続する上で役立つかもしれません。
macOSユーザの場合、Time Machineをアクティブにしてバックアップを作成できます。ただし、私用のUSBメモリなどに情報を保存することは別の意味で様々な危険を引き起こすので使用は避けましょう。
ネット詐欺に注意する
テレワークでは、会社のネットワークやクラウドサービスへのアクセスの際、認証情報を使用する機会が増えます。ネット詐欺の中でも、このようなテレワークで使用される認証情報の詐取を狙うフィッシングに注意が必要です。
サイバー犯罪者は詐欺行為のため、COVID-19パンデミックによる集団的な不安や、誤った情報が流れる現在の状況を利用します。これらの詐欺行為は、メール、悪意のあるドメイン、偽のアプリ、ソーシャルメディアを介して送信され、配送通知、COVID-19情報、さらにはCOVID-19に効く薬などといった文言で偽装します。信憑性を高めるため、受信者の言語に翻訳された不正なメッセージも見られます。
このような詐欺対策の1つは、詐欺の手口を認識し注意することです。まず、本文からURLに誘導される場合、そのURLが正規のものであるか確認してください。また、本文内で文法の間違いが目立つ、送信者情報が不明である、などの違和感があった場合はいったん立ち止まり、メールの正当性を確認してください。また、パスワードを含む個人情報などを入力させる画面があった場合にも、いったん立ち止まり、URLなどの正当性を再確認してください。
他のユーザが被害に遭わないよう、こうした詐欺を受けた場合は直ちに組織の然るべき部門に報告してください。
■ホームネットワークセキュリティの基本
自宅のホームネットワーク経由でテレワークを行う場合、そのホームネットワーク自体のセキュリティが保たれていることが必要です。この際、ホームネットワークを利用する他の家族経由で脅威が持ち込まれる可能性があることも考慮すべきです。以下では、ホームネットワーク全体とそれを利用する家族全員のセキュリティを保つための基本について述べます。
自宅のルータを保護する
サイバー犯罪者はユーザーが変更を忘れがちな初期設定の認証情報を試すことでルーターを侵害しようとします。初期設定のままの場合、または過去に他の誰かに認証情報を教えたことがある場合は、そのパスワードは変更すべきです。
第三者が推測しづらく、辞書攻撃を受けにくい、十分な長さのパスワードをお勧めします。同様に、脆弱性攻撃を防ぐためには、ルーターのファームウェアを常に最新バージョンに更新することが重要です。
こうしたルーターの更新、設定変更などは一般にブラウザ経由でアクセスできる管理画面を通じて行うことができます。ファームウェアの更新は自動になっているか確認してください。
また、設定が可能であれば、ホームルーターのアカウントを「セットアップと設定変更にのみ使用されるスーパーユーザーアカウント(ローカルアカウント、リモートは無効)」「ルータの管理を許可された既定のユーザのアカウント(ローカルアカウント、リモートは無効)」の2つに制限しておくとよいでしょう。
ルータ自体および接続するデバイスへの攻撃を防ぐためのセキュリティ機能を組み込んだルータを導入することも一案です。例として、トレンドマイクロでは「Trend Micro Smart Home Network (SHN)」を家庭用ルーターベンダーに提供しています。
また、インターネットサービスプロバイダ(ISP)が提供するルータを使用している場合、上記のような設定を自由に行えないこともあります。ファームウェアのアップデートなどは自動的に行われていると考えられますが、不安点がある場合にはご利用のISPに問い合わせてください。
ホームネットワーク自体の保護
現在では、ほとんどのホームネットワークで無線LANを使用していると思います。無線LANは家中どこでも接続できて便利な反面、無線が到達する範囲にいる他者が侵入してくるリスクは無視できません。ホームネットワークを保護するために、必ず通信は暗号化する必要があります。
暗号化方式は「WPA2」もしくは「WPA3」を推奨します。使用する事前共有キー(パスワード)についても、既定のパスワードから推測されにくい強固なものに変更してください。認証のためのパスワードが破られてしまうと、どんなに強度の高い暗号化方式を選択しても意味はありません。これらのポイントはモバイルルータを使用する場合も同じです。
また、使用中のホームネットワークに不明なデバイスが接続されていないか確認し、存在する場合には削除できるようにしてください。
各セキュリティベンダーからホームネットワークの安全性をチェックする、または保護まで可能な製品やサービスが提供されています。例としてトレンドマイクロでは、PC版診断ツール「オンラインスキャン for Home Network」、アプリ版診断ツール「スマートホームスキャナー™」、ホームネットワークセキュリティ対策製品「ウイルスバスター for Home Network」を提供しています。
パスワードの強化
パスワードは最後の砦です。推測されにくい強固なパスワードを設定すると共に、認証情報の突破を狙うアカウントリスト攻撃を防ぐためにも、パスワードの使い回しは避けましょう。
パスワード管理ツールを使用することで、複数のWebサイトおよびサービスアカウントで複雑なパスワードを簡単に利用できます。管理ツールの例として、トレンドマイクロでは「パスワードマネージャー」を提供しています。また、業務関係のパスワード管理は会社のポリシーに従ってください。
最近ではクラウドサービスによるSSO(シングルサインオン)なども数多く登場していますので、このようなサービスを利用することで、強固なパスワードでの管理とユーザー負担の軽減を両立します。
接続デバイスの保護と管理
自宅では、子どもがオンライン授業を受けていたり、他の家族もテレワークで作業していたりする可能性もあります。不正サイトや不適切なサイトをブロックおよびフィルタリングできるだけでなく、ネットワークやデバイスをハッキングなどの脅威から一括して保護できるホームネットワークセキュリティ製品を利用することで、より安全なホームネットワークを実現できます。
デバイス管理(ネットワークにつなげるデバイスの選択や脆弱性有無の診断)、ソーシャルメディアやアプリ利用の制限、デバイス利用時間の制限を可能にするセキュリティ製品の導入も検討できます。このようなホームネットワークセキュリティ製品の例として、トレンドマイクロでは「ウイルスバスター for Home Network」を提供しています。
使用するPCの保護
OSを含む使用するすべてのソフトウェアを最新バージョンに更新し、セキュリティパッチを迅速に適用することでマルウェア感染のリスクを減らしてください。またホームネットワークに接続するPCすべてに適切なセキュリティ対策製品を導入しましょう。Windows Defenderも十分に機能しますが、トレンドマイクロでは個人向けセキュリティ製品の例として「ウイルスバスター クラウド」を提供しています。
スマートフォンの保護
スマートフォンやタブレットなどのモバイル端末のセキュリティは忘れられがちですが、PC同様の対応が重要です。使用する端末が最新のOSに更新されていることの確認を忘れてはいけません。
また、公式アプリストア以外の利用は避けてください。特にAndroid OSでは注意が必要です。また、アプリをインストールする前に、アプリが求める権限や提供元などに注意してください。
そして、スマホにもセキュリティアプリをインストールし、不正サイトへのアクセスや、不正アプリをインストールしてしまうリスクを下げてください。個人向けスマートフォン/タブレット用セキュリティ対策製品の例として、トレンドマイクロでは「ウイルスバスター モバイル」を提供しています。
安全なネット利用の重要性について話し合う
ホームネットワークを利用する家族全員がインターネットの公共性とその潜在的な危険を理解することが重要です。デバイスの設定や使用する際のセキュリティ対策とともに、ネットを安全に利用する責任があることを伝えます。
ホームネットワークで必要なセキュリティ対策の考えについては以下の記事も参照してください。
自宅や実家のネットワーク環境を見直してみよう!
ホームネットワークを安全に保つためのセキュリティチェックリスト
安全なテレワーク環境を整えることは容易ではありません。特にテレワークに不慣れな人の場合、関係するすべての人々のサポートが必要です。今回説明した対策を基に、企業と従業員の負担を軽減し、テレワーク環境をサイバー脅威から効果的に保護するのに役立てていただければ幸いです。
本記事は、トレンドマイクロ様の許諾により「トレンドマイクロ・セキュリティブログ」の内容を元に作成しております。
ソース:https://blog.trendmicro.co.jp/archives/24321