一昔前まで、在宅勤務は一部の人に限られた贅沢な働き方でした。ですが今では、新型コロナウイルスの感染拡大で世界中の人が外出を自粛しており、在宅勤務は不可欠なものになっています。
しかし、この状況に便乗したサイバー犯罪や詐欺も増えています。
そのため、自宅勤務中のセキュリティについてしっかりと検討することはとても重要です。
在宅勤務には、企業側と従業員側の両方が理解しておくべきセキュリティ上の課題が数多くあります。ただし、きちんと対策を施しておけば、ほとんどの脅威を簡単に防ぐことができます。
ここでは、在宅勤務中にセキュリティをしっかりと維持するための10の対策をご紹介します。
1.総合セキュリティ製品を導入する
一般に推奨されている、最も効果が高くシンプルな対策の1つは、総合セキュリティ製品を導入することです。
とある試算では、サイバー犯罪の結果として企業が被る被害額は、世界全体で年間15億ドルとも言われています。さらに、今年度はこの数字がさらに増加すると思われます。なぜなら、サイバー犯罪者が家庭のインターネットネットワークや企業のVPNを悪用して機密ファイルにアクセスしようとしているためです。
このような攻撃で、企業や従業員が、ランサムウェア攻撃、DDoS攻撃、マルウェア、スパイウェアなどの危険にさらされる可能性があります。
セキュリティ製品は、以下のような多数の脅威を自動で対処する保護機能が含まれているため、簡単に身を守ることができます。
- ゼロデイ攻撃(セキュリティ上の欠陥が修正される前にその弱点を利用するウイルス)
- マルウェア、スパイウェア、ウイルス
- トロイの木馬およびワーム
- フィッシング詐欺(メールで送信されるものを含む)
総合セキュリティ製品は、ネット経由の脅威を強力にブロックできるだけでなく、保護技術を定期的に更新することで新種の脅威にも対応します。
また、他の操作を邪魔することなくバックグラウンドで実行されるため、実行中も邪魔になることはありません。
2.仕事用のデバイスを家族に使わせない
自分は大丈夫、技術に詳しい従業員なら大丈夫、と思いがちですが、子供や家族に業務用のコンピューターを使われてしまう可能性があることを忘れてはいけません。
そのため、仕事用のノートパソコンやモバイル機器などの端末を家族に使わせないよう従業員に注意喚起することが重要です。また、第三者が機密ファイルにアクセスできないようデバイスをパスワードで保護する重要性も伝えましょう。
3.スライド式のWebカメラカバーを導入する
今後は、Webカメラを使った電話会議やビデオ通話に参加する機会が増えていくでしょう。
実際に世界各地で自粛中の人々の多くがWebカメラチャットを活用しはじめ、同僚と「飲み会」をしたり、空き時間に語学レッスンに参加したり、離れて住んでいる家族とビデオ通話したりしています。
ただし、高い技術力を持つサイバー犯罪者に、簡単にWebカメラに不正アクセスされてしまい、プライバシーが侵害される危険があるので注意が必要です。さらに、自宅の仕事場に機密文書を置いている場合、Webカメラを「ハイジャック」され、盗み見られてしまう可能性もあります。
Webカメラが外付けの場合、使用していないときは必ず電源をオフにしてください。Webカメラが内蔵されている場合は、さらにしっかりと対策する必要があります。Webカメラを使った攻撃がいつ発生するかわからないからです。
現在ではスライド式のWebカメラカバーが販売されており、サイズや形、色などニーズにあわせた様々な製品をインターネットで探すことができます。ほとんどの製品は取り付けもとても簡単で、Webカメラにぴったり合わせて接着することができるす。
ビデオ会議ソフトウェアを使用している場合、「背景ぼかし」機能を利用できるソフトウェアもあります。この機能を使用すると、自宅の部屋の背景に自分や顧客に関する大事なデータが見えていても、会議の参加者から隠すことができます。
4.会社のVPNのセキュリティが安全かを確認する
在宅勤務中は、会社の仮想プライベートネットワーク(VPN)に接続する機会も増えるでしょう。しかしVPNを利用することで、不正侵入やサイバー攻撃につながる「バックドア」の危険も生じます。
何よりもまず大切なのは、在宅勤務に関するセキュリティポリシーを従業員に周知し、それを遵守してもらうことです。
それをふまえた上で、VPNをより安全に利用するための対策を講じましょう。
- 可能な限り強力な認証方法を使用する :多くのVPNは単にユーザー名とパスワードを使用して認証しますが、スマートカードを使用するより強力な認証にアップグレードできないか検討することをおすすめします。
- VPNアクセスの暗号化方式を強化する :たとえば、ポイントツーポイントトンネリングプロトコル(PPTP)のみを使用している場合は、レイヤー2トンネリングプロトコル(L2TP)へのアップグレードを検討しましょう。
- 従業員が安全性の高いパスワードを利用していることを確認する :VPNがどれだけ強力でも、従業員のパスワードが破られれば、サイバー犯罪者もVPNに簡単にアクセスできてしまいます。これを防ぐには、全員のパスワードを更新して、より強力で安全なパスワードに変更してください。
- 従業員が必要なときにだけVPNを使用するようにする :従業員が仕事用のノートパソコンをプライベートにも使用している場合は、プライベート利用中はVPNをオフにするよう使用ルールを定めましょう。
- 従業員が安全なネットワークを利用しているか確認する :在宅勤務中、従業員が自宅のネットワークとインターネットサービスを利用するケースも考えられます。残念ながら、そこから不正侵入されてしまう危険があります。ワイヤレスルーターとパーソナルファイアウォールの設定方法、自宅のネットワークのセキュリティをどのように守れば良いかなどを、従業員に周知してください。
さらに、この記事で前述したように、VPNにも対応したセキュリティ製品の導入も必要です。
5.一元管理されたストレージソリューションを使用する
企業がクラウドやサーバーでストレージサービスを利用している場合、必ず全員の従業員がこのサービスを利用する必要があります。
従業員がストレージサービスを知らないか、使い慣れていない場合、またはファイルを自分のデバイスにローカル保存している可能性がある場合は、できるだけ早く連絡して、会社が一元管理しているサービスを利用するよう連絡してください。
そうすることで、不正侵入の被害にあい、デバイスに保存したファイルが破損したり消去したりしても、重要なデータをバックアップから復旧できる可能性が高くなります。
また、一元管理されたストレージソリューションをファイアウォールで保護すれば、重要なデータをより安全に利用できるようになります。
6.自宅のワイヤレスネットワークを保護する
自宅のWi-Fiネットワークのセキュリティを強化することも重要です。
在宅勤務時には自宅のWi-Fiネットワークを保護するよう、必ず従業員に周知しましょう。
自宅のWi-Fiネットワークのセキュリティを強化し、不正侵入から身を守るためには、次の対策が有効です。
- 使いまわししていない強力なパスワードを設定する :これを行うには、ルーターの設定ページ(ブラウザーで「168.1.1」と入力)に移動し、現在のユーザー名とパスワードを入力して、設定ページでパスワードを変更します。簡単に推測できないようなパスワードを選択してください。英字の小文字、大文字、数字、記号を組み合わせたものが理想的です。
- SSIDを変更する – SSIDはワイヤレスネットワークの名前です。これも、ルーターの設定ページで変更できます。推測しにくい暗号のようなものにしてください。氏名、住所など、個人を特定できるようなものは使用しないでください。
- ネットワーク暗号化を有効にする :これは通常、ワイヤレス設定ページのセキュリティ設定で行うことができます。WEP、WPA、WPA2など、さまざまなセキュリティ方式から選択できます。(2006年以降の)新しいハードウェアを使用している場合、最も強力なWPA2を選択しましょう。
- MACアドレスでアクセスを制限する :ネットワークに接続するすべてのデバイスには、一意のMACアドレスが割り当てられています(各デバイスのアドレスは、コマンドプロンプトで「ipconfig/all」と入力して確認できます)。デバイスのMACアドレスがわかっている場合は、ワイヤレスルーターの設定に追加して、該当のデバイスだけがWi-Fiネットワークに接続できるように設定することができます。
- ファームウェアをアップグレードする :ワイヤレスネットワーク機器のベンダーが、修正パッチやソフトウェアアップデートをリリースすることがあります。その中に重要なセキュリティアップデートが含まれている場合があるため、定期的にルーターの設定ページにアクセスして、最新バージョンのファームウェアがインストールされていることを確認してください。
7.ビデオ会議中のセキュリティに注意する
在宅勤務が浸透すると、業務中にビデオ会議ソフトウェアを利用する機会も増えてくるでしょう。
ただ、最近、一部のビデオ会議サービスでセキュリティ上の問題が発生したことがニュースになりました。
人気のビデオ会議プラットフォームZoomは、ソフトウェアのセキュリティ上の欠陥に対して緊急に対処していることを認めており、同社はプライバシーとセキュリティを向上するための対策を次々に講じています。いわゆる「Zoom爆撃」が相次いでいるためです。これは、招待されていない人が他人のビデオ会議にアクセスして入り込み、参加者にいたずらや嫌がらせをしたりする行為です(このような被害事例がすでに多く発生しています)。ビデオ会議ツールとしてZoomを主に利用している場合は、このような危険があることを忘れないでください。
ビデオ会議に不正侵入され会議の内容を監視されると、業務や顧客に関する機密情報が漏えいする可能性があり、企業にとって大きなリスクになります。また、サイバー犯罪者から激しい嫌がらせや攻撃を受けた従業員に心の傷が発生する可能性もあります。
Zoomへの攻撃が確認されたことにともない、FBIはビデオ会議ソフトウェアを使用する上での注意事項を公開しました。
注意事項には以下のような項目が含まれています。
- 会議への参加にパスワードを設定するか、待合室からのゲストアクセスを制限して、会議を広く公開しないでください。
- ビデオ会議サービスを選ぶ場合は、セキュリティを考慮してください。たとえば、エンドツーエンドの暗号化が必須の場合、サービスの提供元がそれを提供しているか確認しましょう。
- 最新のパッチとソフトウェアアップデートをインストールして、ビデオ会議用ソフトウェアを最新の状態にしてください。
Zoomはエンドツーエンドで暗号化されていないのではという声もあります。より安全なサービスを探しているなら、Webex、Microsoft Teams、Google Duoなどを利用してください。
8.安全性の高いパスワードを使用する
在宅勤務時に忘れがちなセキュリティ対策のひとつは、すべてのデバイスを強力なパスワードで保護することです。
「使用するデバイスとアプリのすべてにパスワードを使用してください。長く複雑なパスワードを設定し、同じパスワードを使い回さないでください。数字、記号、大文字と小文字を組み合わせて12文字以上のものを設定してください」
また、ノートパソコンやその他のデバイスにアクセスするたびにパスワード入力画面を表示することをお勧めします。これで、デバイスを紛失したり盗まれたりしても、第三者が簡単に機密ファイルにアクセスできなくなります。
9.オンラインバンキングのセキュリティを強化する
送金や支払いなどの処理を行っている場合、手続きの簡単さや速さはもちろん、安全性を気にする方も多いでしょう。オンラインバンキングサービスに不正侵入される被害は、在宅勤務中に最も避けたい危険のひとつです。
それには何よりもまず、オンラインバンキングの際に信用度の高いソフトウェアやサービスだけを使用することが重要です。自分が知っているサービスや使い慣れたサービスのみを使用してください。あるサービスの信頼性がわからない場合は、使用する前にオンライン検索でレビューや詳しい情報を確認してください。信頼できる企業なら、さまざまな疑問や不安に対応できるよう、担当者の連絡先情報をWebサイトに公表しているはずです。
銀行のWebサイトにアクセスするときは、HTTPSプロトコルを経由してログオンしていることを確認してください。つまり、URLが「http://」ではなく「https://」で始まっていることを確認してください。また、ほとんどのインターネットブラウザーでは、Webサイトが認証済みのセキュリティ証明書を使用しているとURLバーの左側に鍵マークが表示されます。
さらにこの機会に、銀行口座のセキュリティを強化することをおすすめします。強力なパスワードを使用して、忘れないようにしましょう。もし銀行が対応していれば、カードリーダーを導入して、すべてのオンライン決済で物理的な決済カードを必要とするように設定してください。モバイルバンキングに切り替えるのもおすすめです。多くのサービスではログイン時に認証済みの指紋が必要になるため、セキュリティの向上につながります。
この世界的な危機に便乗した犯罪が増えており、フィッシング詐欺やサイバー犯罪の被害に遭う危険が高まっています。メール、SNS広告、電話などの様々な手段で個人情報が盗まれるかもしれません。多額の買い物や寄付の誘いを餌に、銀行の口座情報を聞き出そうとする可能性もあります。相手の身元が絶対的に安全だと確信が持てない場合は、銀行の口座情報を教えたり、一方的に請求書を送り付けてくる相手に送金したりしないでください。
サイバー犯罪者は同僚や顧客、銀行などになりすまして機密情報を聞き出したり、送金させたりすることがあるので注意が必要です。この時期は特に警戒が必要です。相手が誰であっても、本人確認の手間を惜しまないようにしましょう。
10.メールのセキュリティに注意する
この時期、メールは業務中でも重要なコミュニケーション手段になるでしょう。ただし、その一方で、メールは悪用や不正侵入にもっともよく利用される通信の1つでもあります。
英国の国立サイバーセキュリティセンター(NCSC)は、メールの使用方法など、在宅勤務中のスタッフに向けた推奨事項を数多く発表しています。
蔓延しているフィッシング詐欺に対する注意を喚起するだけでなく、メールアカウントの保護についても以下の対策をアドバイスしています。
- メールは必ず会社のVPN経由でアクセスしてください。すでにVPNを使用している場合は、すべてのパッチが適用されていることを確認してください。
- オフィスや自宅から離れているときにデバイスを盗まれる(または紛失する)可能性もあります。デバイス自体が暗号化されていることを確認してください。暗号化することで、デバイスのメールデータが紛失したり盗まれたりした場合でもデータを保護できます。ほとんどの最新デバイスには暗号化機能が組み込まれていますが、暗号化の有効化と設定が必要になる場合があります。プライベートのデバイスを使用して会社のメールなどの機密ファイルにアクセスする場合のガイドラインもNCSCから公開されています。
- また、急増している新種のフィッシング攻撃にも注意してください。NCSCはフィッシング攻撃を見分けて対処する方法のガイドラインを公開しています。
Related links