新着情報

リモートワークで実施すべき8つのサイバーセキュリティヒント(CompTIA米国本部ブログより)

2020/03/24

米国本部ブログ:Eight Cybersecurity Tips for Working Remotely


COVID-19(コロナウイルス)の大流行が日常生活に支障をきたし続ける中、何百万人もの従業員が自宅などのオフィス以外からのリモートワークを始めざるを得なくなりました。多くの従業員にとって、これは新たな活動であり、オフィスにいるときほどIT機器やデータのセキュリティを維持するということができていないかもしれません。

ラスベガスを拠点とするITセキュリティ・コンサルタントであり、CompTIAのITセキュリティ・コミュニティのメンバーでもあるSemel Consulting社の社長であるMike Semel氏は、自社のビジネス、そして潜在的な顧客のビジネスを確実にセキュアにするためのヒントをCompTIAと共有しました。

Q: COVID-19の懸念により、リモートで仕事をすることが急速に拡大している企業のセキュリティ上の最大の懸念は何ですか。

セキュリティリスクを考慮せずに接続をする人が増えることです。例えば、社員の個人的な自宅のコンピュータを、最初にコンピュータを十分なセキュリティチェックを実施することなくVPNを介してネットワークに接続すると、マルウェアが企業のシステムに入り込み、企業が保有する機密性が高いデータ、商標や特許などの専有データ、規制されたデータなどにアクセスするための資格情報を盗むことができる可能性があります。

Q: サイバー犯罪者が、従来型のオフィスワーカーの経験不足を利用しようとしているのではないかと懸念しているのでしょうか。

サイバー犯罪者は賢く、ソーシャル・エンジニアリングのスキルを使ってオフィスワーカーを悪用し、人々に自分が上司や役員だと信じ込ませてきました。彼らは今もそれを止めようとはせず、そのスキルを使って、現金の振り込み、ギフトカードの購入、機密情報の共有、給与の振り込みをリダイレクトするように働きかけをしたりします。現金や機密情報に関連するような依頼の場合には、その依頼が正当なものであるのか、必ず依頼者本人に確認をするようにした方がよいでしょう。

Q: サイバー犯罪者が新たにリモートワークを始めた人たちを騙すために使っている新しいスキームや手口にはどのようなものがありますか。

サイバー犯罪者は、様々なニュースに乗じて人々を騙そうと画策します。最近、レストランやオンラインショップが、自分用や、家にいる友人や家族に贈ったりするためのギフトカードを宣伝しているのを見ました。これを「上司」からのカード購入の依頼に変えて、「自宅で働く社員をサポートしたいから」という理由でカード番号を送るように仕向けるのは、簡単なことです。そのような依頼を受けた場合には、ぜひ一度直接確認をするようにしてください。

Q: 企業は、このような試みを阻止するために、どのような適切なセキュリティ・ソリューションでセキュリティを維持しているのでしょうか。

過去に詐欺やハッカーの被害にあっていることから考えると、多くの企業は適切なセキュリティ対策が十分であるとは言えないかもしれません。しかし、現在、テクノロジーに精通していない多くの社員がリモートワークを余儀なくされていることから考えると、どの企業もより一層のセキュリティ対策を導入するために努力しなければなりません。
多くの企業では、すでに経営層や営業担当者が出張の際にリモートで仕事をできるように設定されています。企業のシステムは、ファイアウォールの外からもセキュアにアクセスできるように設定されていました。しかし、現在は状況が違います。サポートスタッフ、経理スタッフ、マネジメント層、マーケティングアシスタント、受付担当者など、オフィスで仕事をしていた多くの社員が、PCと電話を渡されて自宅から仕事をするように依頼されています。

IT部門とMSPは、全員がコミュニケーションを取るために酷使されているのが現状です。当初急いでリモートワークを実施してから数日後、数週間後には、すべてのビジネスはセキュリティを再評価し、ギャップを埋めるために必要なシステムとプロセスを実装する必要があります。

Q: 企業は、新たにリモートワークを始める社員に対して、セキュリティ手順に関する適切なトレーニングを行っていると思いますか。

人々は恐れています。ニュース報道や子供のことに気を取られながらも、自身がセキュアに仕事をできているかを恐れているのです。今は、基本的なコンピュータセキュリティのトレーニングを行うのに適した時期です。電話、電話会議、ビデオ会議中を含め言葉で発せられる情報を含め、企業情報の物理的なセキュリティをより重視するべきです。そして、システムから離れるときには、ログアウトすることを忘れないようにさせてください。

Q: 新しいテレワーク環境への投資は短期的なメリットしかないと考えている企業へのアドバイスをお願いします。

これを一時的な不便だと考えるのではなく、緊急事態が発生した際もスタッフの一部または全員がリモートワークをを続けてビジネスを運営できるかどうかを確認するためのテストだと考えてください。本当に物理的なオフィスが必要なのか?今と同じくらいの大きさのオフィスが必要とされているか?多くの顧客、取引先、患者も同様に混乱しているため、この点を評価するのは難しいですが、このような異常な状況を利用して長期的なビジネス上の意思決定を行うことができるかもしれません。

20200324_blog.png

1. 送受信中データのエンドツーエンドの暗号化を確実にするために、セキュアな接続を使用してください。これはオフィスのVPNや自宅からウェブ接続のリンクを検証するセキュリティフィルタリングのVPNを介すことで実施できます。

2.家の中で、他の人が画面に映っているものが見えるような場所でコンピュータを使用しないでください。リビングで仕事をするような場合には、家族に画面が見えないようしてから電源を入れてください。

3.家族で共有しているコンピュータから、重要な医療システムや業務システムにアクセスしないようにしましょう。ハッカーがセキュアではない自宅のコンピュータにキーロガーをインストールした場合、機密性が高いビジネスシステムのパスワードを取得することができます。

会社から支給されたコンピュータを使用するか、IT部門やベンダーに自宅のコンピュータを検査してもらってから使用してください。

4.許可されていない閲覧者からすぐにそれらを保護することができない限り、文書をプリントアウトしないでください。プリントアウトしなければ、心配する必要はないということを覚えておいてください。

5.機密性の高い、または規制されたビジネス文書の印刷物を捨てないでください。シュレッダーにかけましょう。

6.患者、取引先、社員の機密情報に関して電話で話をすることは、他の誰かがその機密情報にアクセスできることを覚えておいてください。

7.現金の振込、ギフトカードの購入、給与振込の振替、機密情報の提供などを要求する電子メールの詐欺に気を付けましょう。リクエストをしている人に直接確認をすることを心がけてください。

8.コンピュータの前から1分離れるとき、それが10分、20分になることもあるで、必ずログオフするようにしてください。