自宅から仕事をするテレワークが広がっている。企業としては生産性が気になるところだが、セキュリティ対策は大丈夫だろうか?
米American City Business Journals(ACBJ)のオンライン版であるBusiness Journalsが「Are remote workers a security risk to your business?」と、テレワークのセキュリティで気を付けるポイントを紹介している。
寄稿するのは、セキュアなソフトウェア開発や設計への取り組みを行うSecurity Development Lifecycle(SDL)やペネトレーションテストを提供するCasaba Securityの共同設立者Jason Glassbergさん。専門家としてテレワークにおけるセキュリティのポイントを端的に3つにまとめている。
Jason Glassbergさんは、自宅など遠隔で仕事をするテレワーク、どうしても従業員の管理に気を取られがちだ。だが、「テレワークはアカウントの乗っ取り、データ漏洩などのリスクが増すことが考えられるため、サイバーセキュリティに注意を払うべき」と警告している。
新型コロナウイルス対策でテレワークを導入したという企業も多いだろうが、これからの働き方として根付くことも考えられる。しっかり抑えておきたい。
1)Wi-Fiネットワーク
従業員が自宅のWi-Fiネットワークを使って仕事をする場合は要注意だ。ほとんどの場合で企業のWi-Fiと同レベルのセキュリティ対策を講じていないからだ。ファイアウォールを入れていない、ルーター、モデム、パスワードが初期設定のまま、という人は多いだろう。
また、IoTデバイスなど他のデバイスも同じネットワークを使っている可能性も高い。パスワードの再設定を行うなど対策をしたい。カフェなどの公衆Wi-Fiを利用したいという従業員もいるかもしれない。公衆Wi-Fiは傍受などのリスクが多いと記事で警告している。禁止するなり、利用時のガイドラインを設定しておこう。
2)リモートデスクトップ
遠隔からデスクトップにアクセスできるリモートデスクトップは便利だが、乗っ取られると企業のあらゆる情報にアクセスできてしまう。米国ではRDP(リモート・デスクトップ・プロトコル)の攻撃が急増しているとのこと。RDPセッションをハッキングする手法を開発しているだけではなく、ダークウェブでアクセスを販売しているケースもあるという。
3)個人デバイスからのアクセス
従業員の私用デバイスから企業のネットワークにアクセスできるようにしている場合は、注意が必要だ。もし私用デバイスがマルウェア、スパイウェアなどに感染していたら簡単に企業ネットワークに感染が広がる可能性があるからだ。私用デバイスに対する対策を講じるとともに、企業のデバイスについても私用での用途に制限を設けておきたい。
記事では、従業員がリモートで作業するデバイスに対してコントロールできるようにしておく、オンラインは全てVPNを用いるようにすることがポイントだとしている。またデバイスのモニタリングができれば、ある程度のリスクは管理できるとしている。
なお、日本の総務省では「テレワークセキュリティガイドライン」を作成している(マイナビニュース内記事)。こちらもぜひ参照されたい。