働き方改革で思わぬ落とし穴？テレワークのセキュリティを考えてみる

働き方改革の取り組み、始まっていますか?

最近、政府主導で始まった働き方改革、残業削減やテレワークなどが広がってきたようです。特にテレワークは、時間や場所の制約に縛られてきたワークスタイルを変え、企業にも社員にもメリットをもたらします。総務省の調査によると、資本金50億円以上の企業では約45%が導入済みだとか。しかしその一方で、情報漏洩やマルウェア感染などのさまざまなセキュリティ上の課題もあるのが実情です。

サイバーセキュリティの脅威は、日々変化しています。もしかしたら、ベテラン・エンジニアの方でさえ知識が古くなっているかもしれません。

テレワーク、モバイルワークをこれから取り入れようと思う企業も、既に始めている企業も、あらためて、テレワークを利用する際のセキュリティ上の注意点を確認してみませんか?

最初の一歩、見落としやすいアップデートの真実

テレワークで公共のWi-Fiスポットを利用される人もいるでしょう。五輪を直前に控え、飲食店、カフェ、公共施設では無料Wi-Fiの整備が進んでいます。有料のWi-Fiスポットも至る所で見られるようになりました。

社外のネットワークに接続する際の最重事項は、なんといってもセキュリティの3原則を守ることです。

OSをアップデートして最新の状態に
セキュリティ対策ソフトを最新の状態に
パスワード管理を適切に(強くする、使い回しをしない)

OSやセキュリティソフトのことは会社任せになっているかもしれません。しかし、実はここに大きな落とし穴があるのです。

企業では、OSやセキュリティソフトのアップデートが出てもすぐにインストールしないことはよくあります。アップデート・プログラムにバグがあったり、そうでなくても業務システムやWebアプリケーションと衝突して使えなくなったりすることを避けるため、しばらく様子を見るわけです。

しかし、深刻な脆弱性の修正が含まれている場合、数日間アップデートが遅れるだけでウイルスの攻撃から守られない可能性もあります。現に昨年、某大手セキュリティベンダーの企業向けセキュリティソフトの脆弱性が公表されたその日に、その脆弱性を狙ったゼロデイ攻撃が観測されています。

Windowsなら、毎月第2水曜日がアップデートのリリース日です。深刻な脆弱性アップデートが含まれていれば、アップデートが完了するまで社外のWi-Fiスポットの利用は控えたほうがよいかもしれません。

公共Wi-Fiって、どうつかえば安全?

「FREE_Wi-Fi_and_Tokyo」のステッカー

これまで、公共のWi-Fiで危険なことは「通信内容の盗聴」と言われてきました。Wi-Fiスポットは不特定多数の人が一緒に利用するネットワークです。このスポット内はLAN環境と同じで、内部の通信が暗号化されていない場合、LAN内の通信を傍受して簡単に読み取れてしまいます。

もし、暗号化キーが設定されていないWi-Fiがあったら、それはビジネス用途で利用すべきではありません。そこには、ウイルスに感染したPCが接続されているリスクもあります。これは基本中の基本ですね。

東京都では、右図のように、無料Wi-Fiスポットの存在場所を知らせるステッカーを街中で数多く見かけるようになっています。こちらの無料Wi-Fiスポットは、Windows10PCでは以下のような見え方をします。

Windows10でのWi-Fiスポットの見え方

「FREE_Wi-Fi_and_Tokyo」は「オープン」と表示があります。これは暗号化キーが設定されていないという意味です。「セキュリティ保護あり」とあるWi-Fiスポットは暗号化キーを入力しなければ、接続できません。スマートフォンでは錠前のマークで表示されています。

セキュリティ保護のないWi-Fiスポットを利用する場合、IDやパスワード、個人情報入力、買い物などは避けたほうが無難です。そして、もちろんテレワークに利用するには不向きであると考えたほうがよいと思います。

VPNを使って通信を暗号化すると安全?

テレワークを推進している企業なら、社外からオフィスのメールや業務システムに接続するために、VPN(仮想プライベートネットワーク)を使っている企業も多いと思います。VPNは会社のサーバとの通信を行う仮想の専用回線をつくる技術で、通信内容の漏洩を防いでくれます。もし、どうしても無料Wi-Fiスポットを使わざるを得ない場合は、必ずVPNで接続した上で仕事をするようにしましょう。

また、Office 365やG Suite(G-Mailの企業版)など、クラウドサービスも普及してきました。クラウドサービスについても、無料Wi-Fiスポットなどセキュリティが弱い場所からのアクセスを制限することが大切です。クラウドサービスへのログインIDやパスワードは、オフィスのセキュリティカードと同じです。公共のWi-Fiスポットだけでなく、ネットカフェの共有PCや他人のPCからクラウドへのログインを行うのは危険な行為です。

また、テレワークに限ったことではありませんが、公共Wi-Fiスポットを使う場合、一般向けのVPNサービスを利用する方法もあります。日本ではあまり普及していませんが、海外でモバイルワークするビジネスマンにとって、VPNの利用は常識ともいわれています。自身がマルウェア感染や情報漏えいの原因にならないための意識が浸透しているのかもしれませんね。

個人向けVPNサービス

海外には無料のVPNサービスも多数あります。しかし、安全性に問題があると報告されているサービスもあるので、しっかり評判を調べた上で選びましょう。

ワンポイント知識(1)
無料Wi-Fiスポットを利用する場合、「メールアドレス」や「SNSアカウント」を用いて利用登録をするよう求められることがよくあります。これは、安全性を確保するため、観光促進の商業的な利用をするためと言われています。しかしリスクを考えると、SNSアカウントによるログインは避けたほうがいいでしょう。お勧めするのは、無料Wi-Fi登録専用のフリーメールアカウントをGmailなどで作っておき、そのメールアドレスを使うことです。