2020年7月1日水曜日

テレワーク当たり前時代のセキュリティリスク

COVID-19の感染拡大に伴い、多くの企業がテレワークへと移行しました。ただ、状況変化があまりにも急激だったため、十分な準備が出来ていないという組織も多いと思います。感染の恐怖にせかされる形で家で働くようになったものの、セキュリティリスクについて、十分に評価できていない組織も多いのではないでしょうか。今回は、テレワークが当たり前になるWithコロナ時代の状況に潜むセキュリティリスクについて、考えてみます。



働き方改革で先行してる?

テレワーク自体は、働き方改革の旗頭のもとに国が推進していたため、一部の組織では取り入れられていました。このブログでも、ちょうど一年前に「【実録】 テレワークやってます(1) とある一日」として書いているように、弊社でも、一部でテレワークで働いてました。ただ、働き方改革と言われても、なかなか導入が進んでいなかった組織がほとんどであると思われます。そもそも、今困っていないという状況では、変化は起きにくいものです。しかし、今回は社会全体レベルの強力な推進力により、一気に進みました。先行していたはずの組織でも、ほとんどの従業員がテレワークとなるようなレベルは想定していなかったはずです。その点では、自分の組織は、「働き方改革」に伴って、テレワークを進めていたから、セキュリティ対策は万全と考えるより、今の状況に対する、リスクの正当な評価が出来ていないと考える方が安全ではないでしょうか。

どのようなリスクがあるのか

テレワークといっても、さまざまな形態があるため、網羅的にこれが危ないと一覧を作るのは、困難ですが、以下のポイントに注目してまとめてみます。

(1) PC/スマートデバイスのセキュリティリスク
(2) 利用サービスのセキュリティリスク
(3) 作業場所のセキュリティリスク
(4) 通信経路のセキュリティリスク
(5) その他のセキュリティリスク

(1) PC/スマートデバイスのセキュリティリスク
まずは、PC等の作業端末です。テレワークの場合、会社から支給された端末ではなく、私有の端末を使うこともあるかも知れません。その端末のOSは最新ですか?Windows 7のサポートは既に終了しています。また、ブラウザは、最新ですか?セキュリティ対策ソフトの定義は最新でしょうか。プライベートの端末を使う場合には、会社支給のものに比べて、格段にリスクが高いと考えるべきです。今回のように急遽テレワークに移行し、私有の端末も許可している場合には、端末の状況が把握しにくいため、可能であれば、一律のルールを定めて、それを守っていることを確認するか、適切なセキュリティ対策を施した端末を支給するべきです。私有端末を許す選択をする場合には、利用者のモラルによるところが多いため、十分な啓蒙や教育が必要になるでしょう。

(2) 利用サービスのセキュリティリスク
テレワークでは、テレビ会議のサービスを始めとした、様々なクラウドサービスを使うことが多くなる傾向があります。これらのサービスの利用に当たっては、そのサービス自体の信頼性の問題もありますが、導入の仕方、利用者の使い方についても、よく確認する必要があります。今はテレワークの急激な普及に伴い、「〇〇をつかってみた」という情報が多く出ています。それらは、利用者視点にたったもので、有益なものもありますが、サービス提供側も含めた複数の情報をもって、導入や運用について考え、普及させなければいけません。不慣れなクラウドサービスの利用者が、不適切な範囲でファイル共有してしまえば、すぐにセキュリティインシデントにつながります。高度なサービスはテレワークを効率的にしますが、使い方が悪ければ、意図せずに巨大なセキュリティホールになり得ます。適切なサービス選定と、利用者への教育は、必須です。

(3) 作業場所のセキュリティリスク
普段、オフィスワークばかりしていると、家で仕事をするスペースがそもそもないということも多いでしょう。多くはリビングでノートパソコンというようなスタイルではないでしょうか。ただ、その環境は生活をするためには最適化されていても、仕事をするようには最適化されていないでしょう。離席している間に子供がPCに触ってしまうというようなことも起こるかも知れません。パートナーも家でテレワークという状況では、どちらもテレビ会議ということも考えられます。会議中の機密情報が、意図せず聞こえてしまうかも知れません。自宅でのテレワークは、生活空間の中に、仕事のスペースを共存させる必要があります。そこにはリスクがあるということを認識するべきです。

(4) 通信経路のセキュリティリスク
テレワークの場合、通信は、家庭で使っているネットワークを使うことになります。無線LANを使う場合は、パスワードは適切でしょうか。簡単に家族に使わせるために、簡単なパスワードにしている場合もあります。また、ルータのファームウェアは、最新でしょうか?家庭用ルータの脆弱性は、見つかり次第、メーカーが修正しますが、利用者が更新しなければ、脆弱なままです。家庭で使う分には、それほど重要な情報がないかも知れませんが、テレワークをしている場合、ビジネスの機密情報が、脆弱性を含んだルータでそのままインターネットに繋がっているということになります。このような状況は非常に危険であると言えます。
また、自宅から会社にあるサーバに接続する場合、VPNを経由することもあるでしょう。VPNクライアントは最新ですか?安全な通信のつもりが、そうでない状況かも知れません。また、VPNでつなぐということは、社内LANに直接つながるということです。その端末は完全に安全対策を施しているでしょうか。

(5) その他のセキュリティリスク
その他、セキュリティリスクは様々なところにあります。会社からテレワーク用にデータを入れたUSBメモリを持ち帰る途中に紛失するかも知れません。また、リビングに置いていた端末が、外出から帰宅したら、盗まれていたというようなこともあるかも知れません。仕事をするために特化したオフィスではなく、生活をするために特化した自宅で、仕事をするということで、どのようなリスクがあるのか、各人が意識的に考える必要があります。

まだ、十分でないという認識で、継続的な情報収集を

これまで想定されていたテレワークは、多くがオフィスワークをしている状況で、一部がオフィス外から仕事をするというパターンが多いでしょう。社内のインフラや、社員の認識も同様です。想定より多くの社員がテレワークという状況には慣れていません。ただ、現時点の世界の状況を見ると、「今は非常時だけど、来年には元通り」というわけにはいかないようです。今後もしばらくは、「テレワーク当たり前」の時代が続きます。であれば、それを受け入れて、リスクを正しく評価し、対応していく必要があります。
そのためには、現在の組織の対応が十分でない前提で、継続的な情報収集と検証・対応をしていく必要があります。以下にいくつか、テレワークに伴うセキュリテイについての情報源を並べておきます。

- 総務省 新型コロナウイルス感染症対策としてのテレワークの積極的な活用について
総務省の情報です。こちらに「テレワークにおけるセキュリティ確保」として、各種リンクがあります。中でも、「働き方改革」で進められていた時から、改訂を重ねている

テレワークセキュリティガイドライン(第4版)

が、「テレワーク」というものについての理解を進めるのに良いと思います。テレワークをパターン化して組織でどのような形を取ることが出来るか、また、経営者、システム管理者、勤務者のそれぞれの立場での考え方など、システムの構造だけでなく、人的な構造についてもまとめられています。「テレワークってこんなもの」と感覚的に理解しているものの、十分な準備が出来ていない状況で、テレワークに突入してしまった組織では、一度基本に立ち返って確認するための一助になるものと思います。ただし、2018年4月時点の文書なので、COVID-19に伴うパンデミックを踏まえた情報はありません。

- IPA テレワークを行う際のセキュリティ上の注意事項

情報システム管理者には、IPAの方が馴染みやすいかも知れません。こちらの情報は、2020年4月から掲載され、現在も随時更新されています。現在の状況を踏まえて実質的な対応をするのに役立ちそうです。

- 警視庁 テレワーク勤務のサイバーセキュリティ対策!

警視庁も情報を出しています。こちらは実際の「テレワーク勤務者」により分かりやすい情報や、コンテンツを提供しています。動画やチラシはそのまま啓蒙活動に使えます。

これら以外にも、セキュリティサービスを提供する会社などが情報を提供していますので、参考にするのが良いと思います。

弊社でも、テレワークの状況下で、滞りなく業務を回すことを支援する、Gluegent Flowを提供しています。こちらは、「テレワーク応援キャンペーン」として、25%オフで提供しています。また、今回考えたテレワークでのセキュリティリスクを軽減するサービスとして、Gluegent Gateを提供しています。このサービスは、IDaaSとして様々な機能を持ちますが、適切な利用者に適切なアクセス環境をサービスすることができます。混乱の中で様々な環境でテレワークを実施しているかも知れませんが、これらの環境と統一されたルールに準拠するように管理することができます。

弊社でも、まだほぼテレワークでの仕事を続けています。自社のテレワークに不安を抱えている、あるいは、まだ、実施できていないが、本格的にテレワークの環境を整えようとしているという方は、ぜひご相談ください。ご連絡から導入まで、すべてリモートでの対応も可能ですので、遠慮せずにお問い合わせください。
(ま)