ブログ(トレンド&インサイト)

リモートワークとセキュリティ意識

自宅で働く人が増えるにつれて、IT(情報技術)とIS(情報セキュリティ)双方のスタッフに問題が生じています。そのいくつかは、技術やアプリケーションの変更により解決できますが、問題によってはリモートワークを行う従業員自身の意識の向上やセキュリティに配慮した行動が求められます。また、これは、社員とのよりよい関係を構築するチャンスでもあります。自宅での作業に慣れていない社員は、どうやって自分自身や仕事に関する情報を守ればいいのかわかりません。さらに、リモートワークの急速な促進により、ネットワークの境界が(図1の中央に表示される円から、すべてのリモートワーカーを含む大きなクラウドへ)拡張していることに対して懸念を持つIT/IS担当者もいるでしょう。


図1:リモートワーカーとエンタープライズネットワーク

いま大切なのは、経営者とセキュリティ担当者が安全なリモートワークに慣れていないユーザーを助けること、そしてビジネスを守ることです。その中で、IT/IS担当者ができることは何でしょう?

本ブログでは、今までのセキュリティ意識向上トレーニング以上に役立つ、リモートワーカー向けのヒントをご紹介します。リモートワークに慣れているユーザーにとっても、今回ご紹介するようなポイントの再認識は意味があると確信しています。

コミュニケーション

コミュニケーションは大切な第一歩です。社員を会話に参加させると同時に、いくつかの概念に対する気づきを与えます。まず、企業のどの資産が最も大切で、価値があるものであるかを認識させます。例えば知的財産、財務記録、顧客情報などの機密情報です。企業によってはもっと多くの情報が該当すると思いますが、このあたりから取り掛かるのが良いでしょう。情報のほか、コンピュータも潜在的に価値ある資産です。例えば攻撃者が侵入し、何もめぼしい情報を見つけられなかったとしても、そこに居座り、PCのリソースを使ってクリプト・マイニングやボットネット構築のために利用するからです。

認証情報

攻撃者が、システムに侵入するためによく利用するのが認証情報です。認証情報の悪用には、過去の侵害において入手した認証情報を再利用するクレデンシャル・スタッフィングなどのさまざまな方法があります。多要素認証がオプションとなっているEメールサービスや共有リソース・アクセス(Google Drive や OneDriveなど)といったビジネスサービスを使用している場合、多要素認証を必須とし、ユーザーに多要素認証の重要性 - いかに侵入のハードルを上げることになるかを伝えましょう。多要素のひとつとしてトークンの利用が可能な場合は、それがハードトークンであれ、アプリケーションベースのトークンであれ、SMSに依存しない限りは、多要素認証は、特に企業データやリソースに対するリモートアクセスに関するセキュリティにおいて重要な要素になります。SMSメッセージは、攻撃者が多要素認証回避のためにハイジャックすることがあるため推奨されません。

VPN

従来、ほとんどの企業はリモートワークを限られた社員にしか適応してこなかったため、現在VPNはユーザー過多の過負荷状態にあります。しかし、すべてのユーザーがVPNを利用する必要はないのです。デスクトップ・アプリケーション、Eメール、あるいはWebベースのアプリケーションしか使っていないのであれば、VPNは必要ありません。ここで脅威に対する理解が役立ってきます。業務を遂行するだけであり、任意のサイトをブラウジングするようなことのない限り、Google Business SuiteやMicrosoft Office 365のようなクラウドベースのEメールや、Webベースのリソースは機密情報を保護します。これもまたコミュニケーションおよび教育のよい例です。母数を把握さえすれば、IT/IS担当者はVPNインフラの負担を軽減しながらビジネス保護を実現できるのです。

マルウェア対策

言うまでもなく、マルウェア対策は必須事項です。多くの企業はMTA(Mail Transfer Agent)を経由でマルウェア対策を行っており、Eメールは攻撃によく利用されますが、だからといって、デスクトップ上でのマルウェア対策をしなくていいわけではありません。この点は特に、社員が会社のものではなく自分自身のデバイスを通じてクラウド・プロバイダーにあるリソースにアクセスする場合に重要になります。しかし、マルウェア対策だけで済むわけではありません。社員が、自身とシステムをクリーンに保つ必要があります。たとえマルウェア対策ソフトウェアをインストールしていても完全に守られるわけではないことを、社員自身に理解させる必要があります。例えば、添付ファイルやURLが安全なものであるか、電話による送金要求が正しいものであるかの判断などです。もし自信がなければ、ヘルプデスクへ連絡するようにさせましょう。

シャドウIT

シャドウITは多くの組織にとっての課題です。ITによって承認されたリソースは、社員によって利用可能でなければならず、社員はリモートからそのリソースにアクセスする方法を知っていなければなりません。この方法により、ファイル共有サイトなどの未承認リソースを利用する人たちを減らすことができます。シャドウITを利用する理由は、承認されたリソースがあることを知らないか、承認されたリソースが目的を満たしていないか、あるいはそのリソースへのアクセス方法が複雑すぎるかのいずれかです。これらの懸念点を考慮した上で、シャドウIT問題を削減したり、解消したりする必要があります。コミュニケーションは重要です。助言的なトーンで伝えるよう心がけましょう。セキュリティは何かを可能にするものであるべきで、何かを制限するものであってはなりません。何かを正しく行うことが面倒になると、人は回避方法を見つけて、セキュリティを最初からなかったものとしてしまいます。

まとめ

リモートワークは生産性向上にも役立つものです。リモートワーカーの生産効率はオフィスにいる同僚よりも高いということが、研究によってわかっています。業務を行うにあたって苦労する必要もなければ、情報セキュリティ・リスクの増加を招く必要もありません。現在のこの困難な状況下で、IT/IS担当者は社員を助け、導く必要があります。まず、企業が提供しているVPNが利用されていることを確認します。そのうえで、どういう場合にVPNを利用すべきであり、どういう場合にはVPNを使用するべきでないかを伝えます。Office365やGoogle Business SuiteなどのサービスにおけるEメールは暗号化されるため、VPNは不要です。しかし、多要素認証は必須になります。さらに、マルウェア対策などが実施されている理由と、対象となる脅威を理解させる必要があります。マルウェア対策に関しては、フィッシング攻撃の攻撃などの背景から常に最新のシグネチャにアップデートさせておきます。最後に、シャドウITリソースを使用しないよう徹底します。企業によって提供される、もしくは承認されているリソースを簡単に利用できることを、社員にきちんと伝えておくことが重要です。

 

本ブログは、米FireEyeが公開した April 09, 2020「Discussing Security With Remote Workers」(英語)の日本語抄訳版です。

日本語版:Reviewed by Noriko Yokokawa

 

関連リンク