「できているつもりで、できていない」――コロナ禍であらわになったセキュリティリスクとは？：ITmedia Security Week 2021冬

テレワークの一般化でセキュリティ対策にほころびが生じつつある。セキュリティ担当者は従業員の自宅インフラにまで目を光らせることができない。間隙を突いてサイバー攻撃者たちのトレンドにも変化が生まれた。

[高橋睦美，ITmedia]

　2020年、仕事を取り巻く環境で起こった大きな変化と言えばテレワークの普及だろう。新型コロナウイルス対策として発出された緊急事態宣言を機に、在宅で業務できる環境を整備し、クラウドサービスの活用を進める企業が増加した。

　宣言解除後もハイブリッドなワークスタイルの一部としてテレワークを活用する企業は少なくないだろう。だが、新たなリスクも浮上している。

本稿はITmedia Security Week 2021春におけるArmorisの鎌田敬介氏による特別講演「あらためて振り返る、テレワークに潜む脅威」を基に編集部で再構成した。

併せて読みたい関連記事

• 攻撃者だって“コスパ”は大事　サイバーディフェンス研究所の技術トップが攻撃者視点で解説
• バズワードに惑わされない　セキュリティ対策の基本は情報の「収集」と「棚卸し」だ
• 阿部恭一×辻 伸弘が語る　“CSIRT沼”から抜け出す「両方向の」組織運用

テレワーク環境のセキュリティ、どこまで考えているかに疑問が残る

Armoris　鎌田敬介氏

　テレワーク環境は、自宅のインターネット回線やスマートフォンのテザリングなどを用いて勤務先のネットワークにVPN接続することが一般的だ。Armorisの鎌田敬介氏（専務CTO）は「ずっと企業の監視の外にいるという状況がリモートワークにおけるネットワークの特徴だ。この状態のセキュリティリスクや脅威について、どれくらい考えられているかは疑問が残る」と述べ、典型的な構成には幾つかの課題があると指摘する。

　まず、会社側から見たときに従業員が自宅でどのようなネットワークを使って仕事をしているかが分からないことだ。10年前の無線LANアクセスポイントやファームウェアがアップデートされていないルーターを使い続けていたり、無線LANの設定をデフォルト状態のまま運用していたりする話をよく聞く。同じマンションにある他の部屋の無線LANやBluetoothの接続名が見えてしまうこともある。

　次に、自宅で利用される端末の管理方法だ。個人の端末を利用するBYOD方式だけでなく、セキュリティ対策をきちんとしているはずの貸与PCであっても穴があるという。同氏がチェックしてみると、任意のアプリケーションのインストールを禁止しているはずなのに回避する方法が見つかるケースも珍しくないそうだ。

　そして、作業中に何かトラブルが起こっても報告や相談がしにくいことも問題として挙げられる。「後でいいや」と放置した結果が大きな問題につながる恐れがある。

　鎌田氏は「従業員の自宅で何が起きているかを細かく把握するのも、コントロールするのも非常に難しいことがテレワークの特徴だ」と語る。同氏が見たコロナ以降に発生したインシデントは、「できていると思っていたけれど実はできていなかった」ことが原因となって情報漏えいやランサムウェアに感染することが多い。

　「これまでテレワークは絶対やらない、クラウドは絶対使わないと言っていた企業が、コロナ禍で急に方針を転換して使い始めた。設定ミスや間違った使い方によって思ってもみなかったことが起きている。社内ネットワークと同じ感覚でクラウドサービスを使い始めてしまうと、さまざまな問題を引き起こす原因になることもある」（鎌田氏）

全員が幸せになれる万能の対策は存在しない

　では、対策はどうすればいいのだろうか。鎌田氏は「この対策をすれば全員が幸せになります」といった万能薬はないとした上で、3つのポイントを挙げた。