テレワーク環境に求められるセキュリティ強化

Share

6月21日に内閣府が公表した「新型コロナウイルス感染症の影響下における生活意識・行動の変化に関する調査」によれば、新型コロナ対策で外出自粛が求められた後、全国でのテレワーク実施率は全国で34.6%、首都圏では48.9%にものぼります。

また、今後もテレワークを断続的ではあっても継続したい就業者は34.6%、首都圏で48.9%と、テレワーク実施率とほぼ同数であることから、今後もテレワークは一定の割合で継続するとみて差し支えないでしょう。

しかし一方で、コロナ禍以前からテレワークを推奨して準備していた組織ばかりでなく、 急遽、テレワークに移行したという組織も少なくありません。このように急遽実施されたテレワークでは、業務自体が成立することがまず優先され、必ずしもセキュリティの配慮がなされていたとは限りません。特に、テレワークで使用するクラウドサービスの認証情報を狙うフィッシング詐欺に関する社員教育や、在宅勤務でセキュリティ強度が低いホームネットワークを経由して業務を行うことのリスク対策について準備万端であるといいきれる組織ばかりではなかったでしょう。

そうした環境下でのテレワークはサイバー攻撃の格好の対象ともいえます。政府や警視庁もテレワークのセキュリティに関する注意喚起をおこなっていますが、具体的にどのような点に気をつければよいでしょうか。

テレワークとは

総務省によれば、テレワークは「ICT(情報通信技術)を利用し、時間や場所を有効に活用できる柔軟な働き方」と定義されています。

テレワークの形態は、自宅を勤務場所とする「在宅勤務」、出先や移動中に作業する「モバイルワーク」、本社から離れた営業所やシェアオフィスなどを利用する「サテライトオフィス」の3つに分類できます。

在宅勤務によるテレワークには、子育てや介護で通勤が困難な従業員でも離職せずに済むメリットがある上、最近では、台風やコロナなど、従業員が出社できない状況でも事業を継続するBCP的側面での活用が見られます。政府も「働き方改革」の旗手として期待をよせており各省庁をはじめ、地方自治体においても、導入に対する相談窓口や助成金を用意しています。

テレワークのセキュリティの基本的考え方

テレワークを推進する総務省は、セキュリティの重要性に当初から着目し、2004年から「テレワークセキュリティガイドライン」を刊行しています。改訂が進み、最新版は2018年の第四版です。

ガイドラインでは、テレワークを実現する方法を「リモートデスクトップ」「仮想デスクトップ」「クラウド型アプリ」「セキュアブラウザ」「アプリケーションラッピング」「会社PC持ち帰り」の6つのパターンに分け、脅威を「マルウェア」「端末の紛失や盗難」「重要情報の盗聴」「不正アクセス」とし、起こりうる事故として「情報漏えい」「重要情報の消失」「作業の中断」を挙げています。

図:テレワークにおける脅威と脆弱性について

(画像出典:総務省:テレワークセキュリティガイドライン第4版より一部抜粋)

また、「経営者」「システム管理者」「実務担当者」別に、それぞれの事故やリスクへの具体的な対応策を整理し、「ルール」「人」「技術」3つの分野でそれぞれに弱点がない、バランスがとれた対策が肝要であるとしています。

テレワーク環境下の人を狙ったサイバー攻撃

総務省ガイドラインが示す「ルール」「人」「技術」の中でも、特に忘れてはならない重要ポイントは人の問題です。令和元年度の情報通信白書においても、「ソーシャルエンジニアリング」が再び攻撃の中心になるという予測を紹介しています。先の内閣府の調査でも26.7%の人がセキュリティ面での不安を抱えています。

ソーシャルエンジニアリング対策としては、警視庁が「そのテレワーク、犯罪者が狙ってる!」と題する動画や、短編アニメ「テレワーク勤務時のセキュリティ基本篇」、啓発チラシ「ちょっと待って! そのテレワーク、セキュリティは大丈夫?」などを公開配布しています。

オフィスでみんなが席を並べて仕事していたら、いつもと違うメールが着信しても「こんなメールが届いた」と、隣席の同僚や情報システム部門に気軽に相談することができます。しかしテレワークではそれが簡単ではなくなります。人間心理の隙間を衝くような標的型攻撃メールなどに今まで以上に警戒が必要です。

また、政府のセキュリティ機関である内閣サイバーセキュリティセンター(NISC)は2020年4月、「テレワークを実施する際にセキュリティ上留意すべき点について」と題したテレワークに関する注意喚起を行っています。

NISCの注意喚起では、「政府機関」「重要インフラ事業者」「国民一般」の3つのカテゴリー毎に、セキュリティポリシーやルール整備、ICT環境の準備、安全な接続方法であるVPNやリモートデスクトップなどの技術活用にあたっての留意事項、遠隔会議システムの安全な利活用、機器のアップデートやパスワードの複雑化など、必要なセキュリティ対策がリストアップされています。

さらに、ノートPCの支給が間に合わずに個人端末の使用を許す場合もあり、これまでのような情報システム・IT部門による一括管理は難しくなりました。情報システム部門が個人端末に対してどこまで管理できるかの法的な問題もあります。また、一般社員に向けて、テレワークのセキュリティの留意点を告知したとしても、すべての社員がその内容を理解できているとは限りません。従業員向けの通達の意味が分からない場合、そのまま放置される可能性はどの程度あるでしょうか。それがリスクにつながるのであれば、通達の方法を変更するべきです。全従業員による確実な実施を徹底するため、情報システム部門からの通達内容において、使用されているIT用語は読み手のスキルレベルに対して適切か、耳慣れないと想定される言葉やプロセスは図を使用するなどして誰にでも等しくわかるような説明がなされているか、といった観点の校閲を設けるくらいの心構えが必要です。

アフターコロナのセキュリティチェック

緊急事態宣言解除後、徐々にオフィス勤務に戻る組織も多いでしょう。先に述べたようなセキュリティ対策レベルの低い一般家庭環境で作業していた機器をいきなりオフィスの環境に戻すのは危険です。

NPO日本ネットワークセキュリティ協会(JNSA)が「JNSA 緊急事態宣言解除後のセキュリティ・チェックリスト解説書」を公表しています。

テレワークを継続する組織も、オフィスワークに戻す組織も非常時稼働から通常稼働に移行する前にこうしたチェックリストを参照してセキュリティ点検をするのが望ましいでしょう。

セキュリティ診断もリモートで実施可能

情報システム部門が安全のためにできることがもうひとつあります。それは、リモートワーク環境を構成するVPN機器や認証サーバ、クラウド環境の接続拠点といったアクセスの出入り口における設定不備や、不正アクセスの原因となりうるセキュリティ上の欠陥の有無について、ハードやソフト面のセキュリティ診断を行うことです。

Webアプリケーションの脆弱性診断や、脆弱性が悪用された場合のインパクトを事前に調べるペネトレーションテストといったセキュリティ診断の多くは、インターネットを介して行うことができます。今回の新型コロナ感染症対策でテレワークを経験した企業では、今後もテレワークを希望する人が少なくありません。今後もこうした働き方を継続するのであれば、一度は脆弱性の有無を確認し、安全な環境で業務を行えるよう環境を整備することをお勧めします。

まとめ

・新型コロナウイルス感染拡大にともなってテレワーク実施率は倍増した。
・多くの組織が拙速にテレワークに移行したためセキュリティの課題がある。
・まずは警視庁や内閣サイバーセキュリティセンターの注意喚起を参照。
・総務省の出している詳しいガイドラインに沿って「ルール」「人」「技術」を見直そう。
・アフターコロナに対しては通常業務に戻る前にセキュリティ点検をしよう。
・VPN機器やクラウド環境などテレワーク環境全体のセキュリティ診断を受けよう。

関連情報

●<インタビュー>上野 宣 氏 / ScanNetSecurity 編集長

●<コラム>「ゼロトラストアーキテクチャ」とは?


年二回発行されるセキュリティトレンドの詳細レポート。BBSecで行われた診断の統計データも掲載。
サービスに関する疑問や質問はこちらからお気軽にお問合せください。

Share