コロナ関連フィッシングに警戒を、テレワーク時のカギは「アカウント情報」

テレワークの安全性は「認証」で守る

さて、新型コロナウイルス対策の一環として、テレワークを導入する企業が急増しました。東京五輪に向けて進めてきた準備を前倒したケースもあるようです。

テレワーク導入にあたって、多くの企業が懸念しているのがセキュリティ対策です。境界防御で保護されていた企業ネットワーク内とは異なり、自宅やコワーキングスペースからダイレクトにクラウドサービスにアクセスする環境では、アクセス制御やマルウェア検知といったセキュリティ対策を一律に実施するのは困難です。

「どの端末にアクセスを許可し、その際、どのような対策を講じる必要があるのか」「誰がどのデータを扱っていいのか」といった事柄を曖昧にしたまま、なし崩し的にテレワークに移行すると、思わぬ事故が起こりかねません。

特に、テレワークを安全に行う上で重要な要素の1つが「認証」です。ネットワーク越しにアクセスしてくる相手が誰なのかを確認することが、セキュリティの第一歩になります。もしIDとパスワードを盗み取られて不正アクセスされてしまうと、業務に関するデータが持ち出されたり、そこを足がかりに広範囲に侵害を受けたりする恐れもあります。

そこで、IDとパスワードをしっかり管理し、必要に応じて二要素認証を導入して強化するとともに、アクセス制御を厳密に行い、必要以上の範囲にアクセスできないよう制御することが重要です。

テレワーク導入を基本的なセキュリティ対策見直しのきっかけに

テレワーク環境では、フィッシング詐欺に注意すると同時に、セキュリティ上抑えておくべき事柄があります。 以下、紹介しましょう。

テレワークに利用するデバイスを適切に選択する

会社によっては支給が間に合わず、個人で利用していたPCをテレワークに利用することもあるでしょう。その際にはIT部門と相談しながら、OSやアプリケーションを最新のものにしてパッチを適用し、脆弱性を塞ぐとともに、OSのセキュリティ機能やエンドポイントセキュリティソフトを利用して対策を強化することが大切です。

利用するアプリケーションやWebサービスにも配慮が必要です。テレワーク導入でにわかにWeb会議システムの活用も広がっていますが、例えば「Zoom」には、会議IDの規則性を推測することで、パスワードの設定されていない会議に第三者が参加できる脆弱性が見つかったこともあります(英語https://research.checkpoint.com/2020/zoom-zoom-we-are-watching-you/)。

活用するアプリケーションにセキュリティ上の問題がないか、また利用する際に不用意な設定にならないか、十分に注意を払うことが重要です。

安全にWi-Fiを利用する

公共の場所で提供されているWi-Fiもそうですが、パスワードなしで誰でも利用できるWi-Fiでは、通信が暗号化されず、近くにいて同じWi-Fiを利用している人が通信内容を盗聴し、IDやパスワードまでも盗み見できてしまいます。自宅のWi-Fiの設定はどうなっているでしょうか？ あらためてWi-Fiのパスワードを確認し、合わせてファームウェアをアップデートするなど必要な対策を実施する、いいタイミングと言えるかもしれません。

また企業全体の視点では、テレワークを1つのきっかけにして、「自社にとって重要なデータは何か、本当に守らなければならないものは何か」を定義し、セグメントを分け、誰がそのデータにアクセスしてもいいかというルールを定めることが重要です。そして、許可したユーザであっても、ゼロトラストの考え方に基づいて、2要素認証などの手段で認証を行った上でアクセスさせることが大切です。

もう一点、あちこちで漏れ聞こえてくる話ですが、いざ全社的にテレワークを実施してみたら本社側のネットワーク帯域がいっぱいになったり、VPNゲートウェイ機器の負荷が高まって使い勝手が悪かったり、というケースも起こっています。自社のネットワークがきちんとスケールするか、できない場合はどのように増強・冗長化するかも頭の中に入れておかなければならないでしょう。

降って湧いたテレワークの波。IT管理者にとっては大騒ぎかもしれませんが、基本的なルールを見直し、対策を徹底する機会と捉え、取り組んでみてはいかがでしょうか。