・部分的に導入していたVPN接続によるリモートワークを全社に展開した
・新たにシンクライアントを整備・配布し、リモートワークを導入した
・一部業務に限定してBYODの利用を受け入れた
これらに該当する場合、攻撃者から見た場合のアタックサーフェス(攻撃対象領域)が増加しており、エンドユーザー端末を起点とした脅威が増大するため、侵入ポイントごとに想定されるリスクと影響範囲を整理することが望ましい。特にシナリオごとに影響を受ける情報の範囲を事前に把握しておくことが重要となる。
こうしたリスクシナリオを策定するとともにユーザーに付与されている権限、言い換えれば当該ユーザーアカウントが侵害された場合に影響を受けるデータ範囲が適切かを確認し、アクセス権限の見直し、ガイドラインの策定や教育を行うことも必要となる。
前述のランサムウェアに関しては、9月に公開されたデータ保護・保全のガイドライン「NIST SP 1800-11」で、ランサムウェアなどによるデータ完全性侵害に対して組織が具備すべきケイパビリティ、レファレンスモデル、テストケースなどが記載されている。リスクシナリオに基づき、現状のセキュリティ対策の妥当性を確認する上で、参考になるだろう。
リモートワーク環境下でインシデントが発生した場合、事前に定めているインシデント対応プロセスが正常に機能するか検証することも重要である。従来であればマルウェア感染などが疑われる場合、社員の座席までかけつけて端末を前に対応できた。しかし、リモートワークの場合、電話などでの遠隔対応が必要となる。当事者間の綿密な連携が肝要なインシデント対応で、リモートワークによる対応の遅延は組織に大きな損害をもたらす可能性がある。
そのため利用者に対しては、セキュリティ教育・啓蒙にとどまらず、有事の際の初動対応を利用者自身が行うことを想定した手順の作成、それが難しい場合は、簡易的なスクリプト・バッチファイルなどを事前配布しておき、実行を依頼する──などの準備も必要になるだろう。
一方でインシデント対応にあたるCSIRT要員も、リモートワーク環境でのインシデント対応プロセスについて訓練を行い、社内の関係部署、システムベンダー・関係会社などと円滑にコミュニケーションが取れるように連絡先・連絡手段(電話、メール、利用可能なWeb会議など)の整理、コミュニケーションの取り方について習熟することが求められる。
Copyright © ITmedia, Inc. All Rights Reserved.
Special
PR注目記事ランキング