「社員の座席に駆けつけて対応」はムリ！ リモートワーク環境で、サイバー攻撃被害を抑える事前準備：ニューノーマル時代のセキュリティ（2/2 ページ）

[村上純一（PwCコンサルティング合同会社），ITmedia]

・部分的に導入していたVPN接続によるリモートワークを全社に展開した

・新たにシンクライアントを整備・配布し、リモートワークを導入した

・一部業務に限定してBYODの利用を受け入れた

　これらに該当する場合、攻撃者から見た場合のアタックサーフェス（攻撃対象領域）が増加しており、エンドユーザー端末を起点とした脅威が増大するため、侵入ポイントごとに想定されるリスクと影響範囲を整理することが望ましい。特にシナリオごとに影響を受ける情報の範囲を事前に把握しておくことが重要となる。

　こうしたリスクシナリオを策定するとともにユーザーに付与されている権限、言い換えれば当該ユーザーアカウントが侵害された場合に影響を受けるデータ範囲が適切かを確認し、アクセス権限の見直し、ガイドラインの策定や教育を行うことも必要となる。

　前述のランサムウェアに関しては、9月に公開されたデータ保護・保全のガイドライン「NIST SP 1800-11」で、ランサムウェアなどによるデータ完全性侵害に対して組織が具備すべきケイパビリティ、レファレンスモデル、テストケースなどが記載されている。リスクシナリオに基づき、現状のセキュリティ対策の妥当性を確認する上で、参考になるだろう。

写真はイメージです（提供：ゲッティイメージズ）

リモートワーク環境では「社員の座席に駆けつける」はできない

　リモートワーク環境下でインシデントが発生した場合、事前に定めているインシデント対応プロセスが正常に機能するか検証することも重要である。従来であればマルウェア感染などが疑われる場合、社員の座席までかけつけて端末を前に対応できた。しかし、リモートワークの場合、電話などでの遠隔対応が必要となる。当事者間の綿密な連携が肝要なインシデント対応で、リモートワークによる対応の遅延は組織に大きな損害をもたらす可能性がある。

　そのため利用者に対しては、セキュリティ教育・啓蒙にとどまらず、有事の際の初動対応を利用者自身が行うことを想定した手順の作成、それが難しい場合は、簡易的なスクリプト・バッチファイルなどを事前配布しておき、実行を依頼する──などの準備も必要になるだろう。

　一方でインシデント対応にあたるCSIRT要員も、リモートワーク環境でのインシデント対応プロセスについて訓練を行い、社内の関係部署、システムベンダー・関係会社などと円滑にコミュニケーションが取れるように連絡先・連絡手段（電話、メール、利用可能なWeb会議など）の整理、コミュニケーションの取り方について習熟することが求められる。

著者：村上純一

PwCコンサルティング合同会社　テクノロジーコンサルティング デジタルトラスト ディレクター。

国内大手のセキュリティベンダーにてマルウェアの収集・分析などに関する研究開発、脅威分析、脆弱性診断、トレーニングなどの業務に従事。その後、創業メンバーとして国産セキュリティベンダーの立ち上げに参画し、執行役員として基礎技術開発、製品開発、各種セキュリティサービス提供、事業経営などに携わり株式上場を経験。また、サイバーセキュリティ領域における各種外部委員活動、BlackHat、PacSec、AVARなど、国際会議での研究発表も行っている。