ニューノーマル、誰も悪者にしないために従業員ができる「テレワークセキュリティ術」は？

[宮田健，ITmedia]

　新型コロナウイルスという言葉が日本でも浸透して、もう半年になろうとしています。個人的にも、まさかここまでの影響が起こるとは思っていませんでした。ITの世界において新型コロナウイルスは、良くも悪くも常識を大きく変える要因となりました。ITは「テレワーク」を実現する技術として、世界経済を回す一助となっています。これに異論はないでしょう。

　しかし、テレワークは私たちの生活を便利にするだけでなく、サイバー犯罪者の格好の餌食になりえる取り組みともいえます。ニューノーマルに強制的に移行させられた結果、置いてきぼりになったセキュリティの責任が、私たち“個人”に降りかかってくる可能性もゼロではありません。

　本来ならば会社が面倒を見てくれるはずですが、多くの組織は新型コロナウイルス対策やテレワーク対応で手が回っていません。このままでは、セキュリティインシデントが起きたときに、組織内の個人が一方的に悪者になってしまう可能性もあります。

　そこで、本来ならば組織が面倒を見てほしいものの、こんな時代ですから私たちも歩み寄ろうという精神で、テレワークにおける“今日からできるセキュリティ対策”を紹介したいと思います。どれもさほど手間は掛からない上に、お金や個人情報。そして家族をはじめとする自分自身の大事なものも守れるはず。ぜひ、ご一読を！

特集：ビジネスを守る ニューノーマル時代のサイバーセキュリティ

新型コロナの影響で企業の在り方が大きく変化する中、サイバー攻撃も世界各国で急増しています。この特集ではセキュリティインシデントの実態を紹介し、ニューノーマル時代にふさわしいIT環境構築のヒントを伝えます。

最重要項目：「認証情報」をとにかく守れ！

攻撃者の視点：

「あの会社、どうやらメールはGoogleのサービスを使っているみたいだ。ということは、名刺で見たメールアドレスがIDで、そのパスワードさえ分かれば全部のメールが見えるよね。どうせパスワードは漏えい済みのアレを使い回しているだろうから……」

　テレワーク時代において、最も重要なのは「認証情報」といえるでしょう。ここでいう認証情報とは、ネットワーク越しにあなたがあなたであると証明するもの。IDやパスワードがこれに相当します。

　これまでであれば、認証情報の一つとして「オフィス内にいる」ことが判定材料になりました。社内ネットワークにつながっているということは、オフィス内に入れる人であるということです。入館カードを持っていて、しかも社内にある管理された社用PCを使っていると分かれば、IDとパスワードだけでも良いかもしれません。

　しかし、テレワークが当たり前の時代では、あなたはオフィスの外で仕事をすることになります。オフィス内のシステムではなく、GmailやMicrosoft 365などのクラウドサービスを使うのも当たり前になりました。そんな状況で、IDとパスワードだけがあなたを証明する認証情報だった場合、重要なパスワードが漏れただけで誰もがあなたになりすませてしまいます。

　特に、これをお読みのほとんどの方はパスワードを使い回しているというのが現状でしょう（かくいう私も使い回しを排除できていません……）。そうなると、なりすましのリスクは非常に高いと考えるべきです。

　まずはなるべくパスワードの使い回しを避けること。全て同じパスワードを使ってしまっているという方は、少なくとも会社内で利用しているパスワードと、個人のパスワードは必ず違うものにしましょう。もしサーバの管理者パスワードと同じものを使ってしまうと、トラブルがあったときに責任をまぬかれることができなくなります。これはぜひ、いますぐ対応してください。

パスワード管理ソフトの利用も

• ネット上で身を守るための「パスワード管理ソフト」　不正ログイン対策に今からできること - ITmedia NEWS
• テレワークかどうかは、もはや関係ない？　三菱重工のインシデント報告から学べる「IT管理者あるある」な反省点 - ITmedia エンタープライズ

認証情報が漏れてしまうと、高度な攻撃ができてしまう

攻撃者の視点：

「メールボックスにアクセス完了。おっ、どうやらすごい額の取引をしているさなかだ。請求書が届いているから、この振込先をちょこっと変えて、経理部に差し替えを依頼してみよう……」

　メールボックスへのアクセスができてしまえば、過去のメールから取引内容をチェックし、内部の人事組織も分かってしまうかもしれません。悪意ある者が取引内容を基に、経理部の人間に対して「この取引の振込先を変えてください、至急です！」などのメールをそれっぽく送れてしまいます（もちろん、その痕跡の削除もできるはず）。これが「ビジネスメール詐欺」と呼ばれるものです。

• 最新ビジネスメール詐欺　だましの手口は「メールアドレスで嘘をつく」 - ITmedia NEWS
• あなたのメールも“完コピ”される――JALすらハマった「ビジネスメール詐欺」の恐ろしさ - ITmedia エンタープライズ

　これを防ぐ方法は、パスワードの使い回しをしないこと。そして「2段階認証」が使えるならば、必ずそれを設定することです。加えて2段階認証で使われる6桁のコードなど、認証要素を入力する画面も必ずログイン対象のサービスであることをしっかり確認しましょう。2段階認証も、そのコードをサイバー犯罪者に奪われてしまっては意味がありません。

　経理部や経営層は、テレワークにおけるイレギュラーな対応依頼があっても、ポリシーを守って粛々と対応することが望まれます。「CEO詐欺」にもぜひ気を付けてください。

社用PCで個人SNSにログインしない！

攻撃者の視点：

「Facebookで見かけたあの人、名刺SNSを見るとけっこういい役職に就いているな。じゃあマルウェアをDMで送れば、もしかしたら開いてくれるかも……」

　ここからは応用編です。テレワーク時代、個人と組織のIT的境界は非常にあいまいになっています。多くの人はSNSでつながっており、プロフィールなどは全員に公開されている場合も多いでしょう。攻撃者はもしかしたら、あなたをきっかけとしたサイバー攻撃を狙っているかもしれません。

　最近では、SNSのDM機能を使ってひそかにマルウェアに感染させ、その後PCが会社のネットワークに接続されたときに他のPCへ感染を広げるというような狙いを持つ攻撃者もいます。昨今ではネットワーク内を横展開するEmotetや、辞書を用いてパスワードを総当たりするランサムウェアなど、感染力の強いマルウェアも登場しています。そのきっかけがテレワークで増えているともいえるでしょう。

　これを防ぐためには、まず社用PCでは個人のSNSなどにログインしないことが重要です。自宅のPCを使う場合でも、会社で指示されたVPNを活用する、暗号化のなされていない公衆無線LANならば必ずHTTPSを利用してWebにアクセスするなど、決められたポリシーを守る必要があります。

テレワークにおけるセキュリティの注意喚起

　Windows 10ならば標準でついているDefenderでも構いませんので、基本的なマルウェア対策が行われていること。OSやWebブラウザ、基本アプリのアップデートが必ず行われていること、必要がなければOffice類のマクロを実行させないことなどが、いますぐできる対応といえます。

• 猛威を振るうEmotet……これは単なる「種まき」だ？　辻伸弘氏の危惧する近未来 - ITmedia エンタープライズ

こんな時代だからこそ、ビデオ会議は“マナー”を守って

攻撃者（？）の視点：

「あれっ、いまウチの父さん、プロモーションに○○事務所のアイドルを起用するって言った？　友達が大ファンだったはずだから教えてあげようっと！」

　ビデオ会議のマナーが取り沙汰されています。これに便乗するなら、個人的には家族に「自宅で行っているビデオ会議が聞こえたとしても、SNSには書かないでほしい」と伝えるというマナーを浸透させたいと思っています。

　もしあなたが非常に興味深いプロジェクトに配属され、プロモーションなどで有名なタレントを起用するなど、関係者でしか知り得ない話を“自宅で”ビデオ会議していたとしたら、家族が思わずTwitterなどに書いてしまいたくなるかもしれません。これも、テレワークのリスクの一つです。

　その観点で考えると、マナーを強制できないカフェやテレワークスポットなどでのビデオ会議には、細心の注意を払う必要があります。

組織の皆さまへ：セキュリティを現場まかせにできる時期は過ぎましたよ

　今回は“今日からできるセキュリティ対策”として、いますぐできることだけをピックアップしました。もちろん、テレワーク対策とは本来、こういったことを何も考えなくても現場で実施できるような仕組み作りが必要です。

　とはいえテレワークは降ってわいた災難のようなもので、十分な時間がないまま走り出しているというのが現状。だからこそ、私たちも歩み寄り、セキュリティインシデントが発生しないようにしなくてはなりません。とはいえ、取りあえず現場が回っているから大丈夫というわけではなく、今からでもセキュリティ対策を考える必要があります。

　このままではトラブルが発生したときに現場のせいになってしまうかもしれません。そうならぬよう、現場の私たちも、組織のみなさまももう一度このタイミングで、さらなる対策を考えてみてはいかがでしょうか。