事例Use case

SECURIE HOME
SECURIE SOHO
SECURIE 活用事例
IoT調査レポート

急スピードで広がったからこそ確認し直したい、テレワークのセキュリティ対策

SECURIE 活用事例 2020.12. 3

ツイート シェア 送る はてブ

AdobeStock_343311399.jpeg
2020年3月、新型コロナウイルスの感染拡大を防ぐために出された緊急事態宣言を受け、国内でも急速にテレワークの導入が広がりました。以前は、育児や介護など何らかの事情を抱えていた従業員向けの例外的な措置という意味合いが強いものでしたが、緊急事態宣言中は、原則的にほぼ全社員がテレワークで業務をすることになり、セキュリティ対策をはじめとするさまざまな課題が浮上しました。

5月末の緊急事態宣言解除とその後の経済活動の段階的な再開を踏まえ、少しずつオフィスに人の姿が戻ってきました。しかし再び新型コロナウイルスが猛威を振るわないとは限りません。この先、何らかの不測の事態が起こったときでも事業を継続していく手段として、テレワークは引き続き重要な役割を担い続けるでしょう。

その中で私たちは、どんな点に注意を払いながら、テレワークの利点を享受していけばいいのでしょうか。ソフトバンクのセキュリティエバンジェリスト、澤入俊和氏にお話を伺いました。

かつてない勢いで広がったテレワークの陰で浮上した課題

Q:この1年で、テレワークの導入が一気に広がりましたね。

澤入:やはり3月の緊急事態宣言発令前後から5〜6月にかけて、テレワークの導入比率は劇的に増加したと思います。その後、オフィスに出社する動きが出てきていますが、それでも部分的に、必要に応じて出社する企業が多いのではないでしょうか。あるいは業務の内容によって、「資料作成は自宅で集中して行い、ブレーンストーミングのようにアイデアを出しあう会議は、集合してオンサイトで行う」と使い分けるケースもあるようです。いずれにせよ、引き続きテレワークを採用する比率は高い状態にあると思います。

Q:その中で浮上してきた課題は何でしょうか?

澤入:今回の事態ではテレワークを活用し、コロナ禍の中でも事業を続けることが最優先とされました。通常のシステム導入時とはまるで違う、いわば「異次元」のスピードでテレワークが導入されたのです。このため、どうしてもセキュリティが後回しになってしまったことは否めません。対策したつもりでいても、設定が追いつかず、漏れや抜けがあったケースもあると思っています。

実際、国内大手企業において、テレワーク環境にあった業務用端末がマルウェアに感染してしまい、そこから社内ネットワークに侵害が広がってしまった事件が報じられています。もちろん対策は行っていたのでしょうが、一部のユーザーの不適切な設定が悪用され、情報の流出につながってしまいました。

Q:とはいえ、企業のIT管理者はテレワーク環境を整えるのにいっぱいいっぱいで、非常に大変だったと聞きます。

澤入:総務省の「テレワークセキュリティガイドライン」にもあるとおり、テレワークには複数の方式があります。VPNを使う場合、私物のPCからリモートデスクトップサービス(RDP)を利用する場合、あるいはセキュアなSaaSを利用する場合などさまざまなやり方があり、同じ企業で複数の方式が混在していることも珍しくありません。

その上、テレワークでセキュリティ上留意すべきポイントは、端末をはじめ、VPN機器の管理やネットワーク経路など多岐にわたります。ユーザー視点で見れば、会社から支給された端末を適切に使うのはもちろん、自宅のネットワーク環境やルーターのセキュリティにも気を配らなければなりません。このように、確認すべきポイントが多岐にわたってしまうことも対策の難しさにつながっています。

Q:一方で、新型コロナウイルス騒ぎに便乗してのサイバー攻撃は増えていますね。

澤入:そうですね。たとえば、今まさに国内で猛威を振るっている「Emotet」ですが、中にはコロナ関連情報を装って送りつけられたものが確認されています。他にも、接触確認アプリに見せかけた偽アプリが流通したり、SMSを用いたフィッシングメール、詐欺メールでも、コロナ関連の情報や給付金に関する情報に見せかけて注意を引きつけ、リンクをクリックさせようと試みる偽メッセージが増えています。流行の話題や人々が関心を持つトピックに寄せてくるのはサイバー犯罪の常で、今回もそのパターンが踏襲されていますね。

AdobeStock_117271287.jpeg

見落としがちな自宅環境も含め、基本的なセキュリティ対策の徹底を

Q:こうした新しい環境の中でできるセキュリティ対策は何でしょうか?

澤入:まずはそもそものルール、ポリシーを決めることが先決です。また、先ほどお話ししたとおり、留意すべきポイントは多岐にわたります。PCやスマートフォンなどのデバイス、リモートアクセスのインフラと認証。そして接続先もオンプレミスだけとは限らず、IaaSやSaaSなどさまざまなクラウドがありますし、自宅のWiFi環境も見なければなりません。どこか1つやればいいというわけではなく、あらゆるポイントをきっちり網羅してやっていくことが重要です。

といっても、それを自力で網羅するのはなかなか大変です。そこで1つの取り組みとしてソフトバンクでは、テレワーク環境向けの無償診断サービスを提供しています。われわれがこれまで得てきたベストプラクティスをベースに、ヒアリングを通じて、どこでどういったリスクが考えられるかを指摘します。基本的な事柄が中心ですが、そこをしっかりチェックし、漏れがないかを今一度確認していただくのがコンセプトです。

テレワークセキュリティ点検ポイント.PNG
Q:会社の環境を守るには、自宅の環境への配慮も必要なんですね。

澤入:端末が私物か、それとも会社支給かはおいておいて、自宅で仕事をするのが当たり前になってきました。つまり、自宅に光回線などを引いて、それを用いて仕事をするケースが一般的になるわけです。その際、ルーター自体のセキュリティや、機器を接続するWiFiのセキュリティにも気を配ることがユーザーとしても必要になってくると思います。

Q:具体的にはどのような事柄に気を配らなければいけないでしょうか?

たとえば私物の端末であれば、そこに業務用のデータが保存されないようになっているか、業務で利用しているSaaSなどからデータをダウンロードさせないようになっているかといったチェック項目があります。スマートフォンからBYODをするケースもけっこう多くなっているのですが、その際に会社の情報を落とせる状態にならないよう、たとえばMDMやEMMといったソリューションを活用して私物の空間と業務空間を分け、きちんと制御していく必要があります。

また自宅のネットワーク環境においてもいくつかチェック項目があります。1つはWiFiルーター自体の管理パスワードです。出荷状態のまま変更せず、そのまま使っているケースが非常に多いのですが、そこをちゃんと管理しなければなりません。また、無線接続の設定においてもWPA2など最高レベルの暗号化を行っているかもポイントで、このあたりは、BBソフトサービスさんのソリューションが役に立つと思います。


★SECURIEなら
「SECURIE(セキュリエ) powered by Bitdefender」は、IEEE 802.11a/b/g/n/acに準拠した無線LANルーターで、無線LANの暗号化にはWPA2を使用。また家庭内のネット機器を保護するための不正侵入防止や脆弱性診断などのセキュリティ機能を搭載しています。

詳しくはこちら
【レビュー】SECURIEの専用ルーター「Bitdefender BOX」の性能をチェック


もう1つ、モバイル環境でも自宅でも、一回つながってしまうとあとはアクセスポイントを意識しない方が多いのですが、実は偽のアクセスポイントにつながっており、中間者攻撃によって情報を盗み見られるリスクもあります。そういったケースに備え、正しい、しかるべきアクセスポイントにきちんと接続しているかをチェックすることも必要だと思います。

Q:テレワーク環境で働いていると、オフィスにいたときのように、トラブルが起きたときに気軽に相談できないのも悩みどころですね。

澤入:確かに、会社にいたときならば、怪しいメールが一斉に届いた時など、隣の島から「変なメールが来たね」といった声が聞こえてきたりして、何となく気づける部分もありました。やはり自宅にいると、会社にいるときほどそうした情報が自然に入ってくることはないでしょう。そこを狙った攻撃も増えてきています。情報システム部やセキュリティ企業からしっかり啓蒙活動や注意喚起を行うとともに、ユーザーの皆さんにもこうした攻撃のリスクを意識していただければと思います。

AdobeStock_301711157.jpeg

自宅のセキュリティを保つことが、業務を、そして自分のプライベートを守る

Q:あらためて、今後心がけるべきことをお願いします。

澤入:まずは情報システムやセキュリティ担当者が、全体的なインフラ設計や指針を見直すことから始めるべきでしょう。最近注目されている「ゼロトラスト」という考え方も参考にしながら、自宅であろうがオフィスであろうが、どこにいても統一されたセキュリティポリシーが適用される環境を目指してシステムを作っていくべきだと思います。また、セキュリティにおいて、人が絡む要素は非常に多くの部分を占めるため、セキュリティポリシーを定め、教育やトレーニング行うことも重要です。

一方ユーザーとしては、そうしたルールをしっかり守ることですね。OSをアップデートする、WiFiやルーターも含めて自宅環境のセキュリティを保つ、私物も含めエンドポイントのセキュリティ対策を取る......そういった対策をしっかり実施することが大切で、それは業務はもちろん、自分のプライベートを守るという上でも大事かなと思います。



★SECURIEなら
SECURIEには、ウイルス対策ソフト「Bitdefender Total Security」が付属。Windows/Mac、Android OS/iOS搭載のスマートフォン、タブレットなど非常に幅広い機器に対応しています。最高水準の検知率を誇るウイルス対策ソフトを台数無制限でご利用いただけますので、テレワークのBYOD利用対策にも最適です。


Q:オフィスに戻る企業も増えてきましたが、この先もテレワークは続くでしょうか?

澤入:私自身は、働き方改革やフレキシブルな働き方には大賛成で、ポジティブな見方をしています。テレワークやリモートワークという仕組み自体は昔から存在してきました。それが、セキュリティ対策ができていないからといって活用されないのは本末転倒であり、非常にもったいない話だと思います。セキュリティが新しい働き方の足かせにならないためにも、しっかりとしたセキュリティ対策を普及していくことがこれからのミッションだと考えています。

もちろん、100%すべてをリモートワークにする必要はないと思います。リモートワークが当たり前になってくると、逆に、あらためてリアルのコミュニケーションの重要性も見出されることになるでしょう。ですから、リモートワークを主体に、その時々に応じて最適な働き方を選択できるようにすることが必要だと思いますし、ソフトバンクという通信事業者として、そうした仕組みを作っていくことが使命だと考えています。


澤入 俊和
ソフトバンク株式会社 法人事業統括 法人プロダクト&事業戦略本部
セキュリティエバンジェリスト

エンジニアとして国際ネットワークや、セキュリティシステムの設計、構築、プロジェクトマネジメントなどを経験後、外資系セキュリティ企業にて、アプリケーションセキュリティ、ネットワークセキュリティ製品のプリセールスに従事。 2018年、ソフトバンク入社。セキュリティ事業の企画、マーケティングプロモーションに携わる。また、講演や記事寄稿などを通したサイバーセキュリティの啓蒙活動にも注力している。

ソフトバンク セキュリティソリューション
https://www.softbank.jp/biz/security/

執筆者

高橋睦美
一橋大学社会学部卒。1995年、ソフトバンク(株)出版事業部(現:SBクリエイティブ)に入社。以来インターネット/ネットワーク関連誌にて、ファイアウォールやVPN、PKI関連解説記事の編集を担当。2001年にソフトバンク・ジーディーネット株式会社(現:アイティメディア)に転籍し、ITmediaエンタープライズ、@ITといったオンライン媒体で10年以上に渡りセキュリティ関連記事の取材、執筆ならびに編集に従事。2014年8月に退職しフリーランスに。