テレワークで使う「家庭用ルーター」が危ない! セキュリティ対策をあなどってはいけない理由(1/2 ページ)
新型コロナ対策として、企業がテレワークを導入してから数カ月。家電量販店やネット通販で買った家庭用ルーターを使って仕事をしている人は少なくないだろう。だが、セキュリティ対策を行わずに使い続けると、サイバー攻撃などの被害につながるかもしれない。
新型コロナウイルス感染症対策として、国内でも多くの企業がテレワークを採用しています。いずれはオフィス勤務に戻す企業も多いと思いますが、中には日立製作所や富士通のように、今後はテレワーク主体で業務を進めると宣言する企業も出てきています。育児や介護といった家庭の事情を抱える従業員を中心に、部分的にテレワークを継続する企業もあります。
テレワーク中でもオフィスで働く時と同様、IT環境のセキュリティ対策は不可欠です。内閣サイバーセキュリティセンター(NISC)はこのほど公開した文書で、「新しい生活様式」に向けたセキュリティ対策の指針を紹介しています。
具体的には(1)テレワーカーの増加や対象業務の拡大があった場合はセキュリティリスクを再評価すること、(2)支給端末・支給外端末に関わらず、利用端末のOSや関連アプリケーションをアップデートすること、(3)社員がインターネット回線や公衆通信回線経由で社内システムに接続している場合は対策を見直すこと――などです。
この文書はとても参考になりますが、テレワーク時の要注意ポイントに触れていないように思います。それは「家庭用ルーター」のセキュリティです。
「テレワーク時には、VPNを用いてエンドツーエンドで暗号化しているから安心と考えがちです。しかし、そもそもルーターが不正アクセスを受けてしまうと、通信先を改ざんされたり、場合によっては通信自体できなくなって業務が止まってしまう恐れがあります」と、IoTに特化したセキュリティサービスを提供するゼロゼロワンの萩原雄一CEOは警鐘を鳴らします。
セキュリティの役割の一つは、企業が業務をつつがなく継続できるようにすることです。しかし、テレワークの広がりに伴って、事業継続性が家庭用ルーターのセキュリティに左右される状況になっています。
格安ルーターのサポート体制に要注意
新型コロナの影響で勤務先が急きょテレワークの導入を決めたため、家電量販店や中古ショップ、通販サイトなどで販売されている安価なルーターを急いで購入したという人は多いでしょう。テレワーク環境整備を支援するため社員に補助金を支給する企業も出てきたほどです。
問題は、このとき、きちんとサポート期間内にあり、アップデートを適用して最新の状態を保ったルーターが使われているかどうかです。
「ルーターのサポート体制はメーカーによってまちまち。きちんとファームウェアをバージョンアップし続けている企業もあれば、そうでないところもあります。安価だからとオークションサイトなどで調達したルーターを業務に使うのは危ないです」(萩原さん)
萩原さんがこう述べるのには根拠があります。ゼロゼロワンが開発しているIoT機器の情報を可視化する検索エンジン「Karma」で調査してみると、脆弱(ぜいじゃく)な状態でインターネットにつながっていたり、あるいはせっかくファームウェアをリリースしてもそれが適用されていなかったりと、メーカーが想定しない状況で運用されている機器が想像以上に多いことが分かってきたそうです。
関連記事
- 新型コロナ収束後はマルウェアが感染拡大? テレワークからオフィス勤務に戻る時が危ない理由
新型コロナウイルスの感染が広がり、企業でテレワークが普及しています。ですが、これから緊急事態宣言が解除され、テレワークから従来の働き方に戻ることになった場合も、セキュリティ面では油断禁物です。その理由とは……? - 「通勤という概念なくす」 富士通がオフィス半減、テレワーク全面導入へ その働き方の全容とは?
富士通が2022年度末までにオフィスの規模を半減する。今後は約8万人の国内グループ社員を対象に、在宅勤務を標準とした働き方に移行する。新しい働き方を効率よく運用するために、富士通はどんな取り組みを行うのか。 - 日立、在宅勤務を標準に 手当の充実やリモート環境の整備図る 感染症や災害に強い体制へ
日立製作所は新型コロナウイルスによる緊急事態宣言解除後も在宅勤務を標準化する方針を発表した。2021年4月をめどに各種手当の充実やリモートワーク環境の整備を図り、災害時などでも通常通り活動できる事業体制を目指す。 - 「手遅れになる前に何とか……」 IoTセキュリティ特化の新会社に、設立意図を聞く
ココン技術研究所からスピンアウトした、IoTセキュリティ特化の新会社「ゼロゼロワン」の設立の背景には「手遅れになる前に、何とかしないといけない」という思いがあったという。同社の萩原CEOに現状を聞いた。 - 「おとり」サーバが捕獲した“IoT狙う攻撃” 見えてきた敵の手口と小さな希望
いま一体どんなIoT機器をターゲットにどのような攻撃がなされているか、攻撃動向を把握する手の1つが「ハニーポット」です。2015年からIoTハニーポットを用いて、攻撃を「ゲット」してきた研究者が成果を発表しました。
Copyright © ITmedia, Inc. All Rights Reserved.