イメージ
イメージ
キヤノンマーケティングジャパン presents Solution in my life
カラー
カラー
カラー
Every Monday 8:38 〜8:48
Every Monday 8:38 〜8:48
「ITの浸透により、人々の生活をより良い方向に向かわせる」
そんな概念である“デジタルトランスフォーメーション”と
いう言葉が広がり、
私たちの暮らしは、より豊かに、より便利に、
日々ポジティブに変化しています。
このコーナーでは、暮らし、仕事、社会、私たちの身近な
ところにあるデジタル化の動きを紹介していきます。
2024年度以降はこちら
2021 11.15
テレワークとセキュリティ

null
このコーナーでは「暮らし、仕事、社会」、私達の身近なところにあるデジタル化の動きをご紹介しています。

自宅など職場と離れた場所でITを活用して仕事をするテレワークは、もともと多様な働き方のひとつとして広がっていましたが、
コロナ対策として去年3月以降、導入する会社が急増しています。そんな中、懸念されているのが、情報漏洩などセキュリティの問題です。

そこで今回は、テレワークのセキュリティ問題について、具体的にどんな問題があるのか?
その現状と対策について、キヤノンITソリューションズのセキュリティ エバンジェリスト、西浦真一さんにお話を伺いました。

西浦さんは、リモートワーク実施に伴う課題・リスクについて、このような指摘をされています。
「テレワークに限らず新たな仕組みであったり制度の導入っていうことを行おうとすると、導入目的を明確化して対象範囲を決定して、
導入計画を立てて職員であったり関係する人たちに対して説明を行って、その結果に応じて、セキュリティポリシーであったりそれに伴う各種ルールの策定、
そしてそれに伴う、それを実施するための ICT サービスサーバーであったりサービス、こういったものの整備を行うことが本来重要になってきます。
ただ、昨年のコロナ禍において、そんなことよりまずは緊急避難的にテレワークを実施しなければならないっていう、そんな状況もあったかと思いますので、
こういった十分な段階を踏んで実施できなかった組織が多かったのかなと思っています。
それによって速やかに実現できた反面、弊害が出てきているのかなと考えていまして、
ポリシーやルールが整理できていないことによるシャドーITなどもその一つになってくるかなと考えています」

シャドーITとは、企業など組織内で用いられる情報システムであったり、その構成要素(PC なんかの設備であったり、ソフトウエアなど)、
こういったものは本来、会社が審査した上で導入するのが正しいのですが、従業員であったり部門単位で勝手に導入して使ってしまっているような機器やサービスのことをいいます。
このシャドーIT、実は昔からリスクの一つとして挙げられていたんですが、コロナ下で十分な準備ができないまま導入された、
使わざるをえなかったところもあり、リスクの高い状況のまま、勝手に使われている機器やサービスが多くなっているのが現状だと、西浦さんはお話されていました。
ちなみに、WindowsのPCであれば標準で付いているリモートデスクトップ(RDP)、こちらをテレワークで使われている方が増えているそうですが、
このサービスも今、非常に狙われているそうです。

さらに、テレワークに関するセキュリテーの脆弱さのせいで、どのような事故や事件が起こったりしているのか伺いました。
「例えばテレワークを行うために、社外から業務データに対してアクセスしやすくするためにクラウドサービスなんかを使われている方が多いと思うんですが、
こうしたクラウドサービスの設定が正しくできていなくて意図しない情報公開に繋がってしまった事例が昨年末ぐらいから目立っています。
実際に大手サービスの利用者において、情報公開と言いますか情報露出というものが相次いだこともありまして、
内閣サイバーセキュリティセンターから注意喚起がなされたという事例もあります。

また事件の例で言いますと、昨年の8月に詳細なレポートがリリースされているんですが、大手重工の事件が、ひとつあげられるかなと思っています。
組織内のサーバーが社外に対して不審な通信を行っているのが見つかりまして、その原因について調査を行ったレポートが公開されているんですが、
その原因を見ていきますとテレワークにおいて自宅で業務を行う時にですね、従業員の方が本来であれば社内から社外に対してVPNという完全に暗号化した通信をつないで、
そこから外に出て行って通信を行うというルールになっていたみたいなんですけども、
それを使わずに直接インターネットに出てしまいまして、 SNS サイトを覗いていたようなんですねで、そこでマルウエア(ウイルス)をダウンロードしてしまいまして、
そのマルウエアに感染してしまったPCを社内に持ち込んだがために、そこから広がってしまいサーバーまで被害がつながってしまったといった事例が挙げられます。
このようにテレワーク環境においては意図しないもの、外部からの攻撃なども加えて様々なセキュリティリスクにつながりやすい環境が発生しがちになってしまっているというのが挙げられるかなと思います」

最後に、対策について西浦さんに伺いました。
「大きく分けて三つ対策として考えていただければなと思っています。一つ目が製品サービスを適切な設定で利用するにしていただければなと思います。
RDP(リモートデスクトップ)も正しく使うと非常に便利なサービスになっているかと思うんですね。
ただこれをインターネットから直接アクセスできるようにするっていうのはあまり推奨できる使い方になりません。
どのような製品であっても正しく使わなければ攻撃の糸口になってしまいますのでぜひご注意頂きたいなと思います。
またの脆弱性の対応ですね、特にテレワークを行うためのサービスや機器が今狙われやすくなっていますので、
脆弱性なんかが公表されている場合は速やかにアップデートを検討してもらえればと思います。

また認証情報、パスワードとIDなんかの組み合わせもよく気をつけて頂きたいなという風に思っています。
推測されやすいもの短いものは使わない。そして複雑なパスワードを作ったからといってそれを複数のサービスで使いまわさないというのも重要になっています。
どこかのサービスから情報が漏れてしまってしまうと一斉にその他のサービスも攻撃を受けてしまう可能性があります。
また危害を受けてしまった場合、これを想定した対策も重要になってきます。大事な情報はどこに保存されているのか、
本当に大事な情報は暗号化されているのか、バックアップはできているのかであったり、
万が一、攻撃を受けてしまった時にもそれに早く気付けるように、ログですねサーバーの状態であったりネットワーク機器の状態は是非、定期的に見直してもらいたいなと思っています。
最後に日々の情報収集と教育ですね。脅威を知ることリスクを知ることが非常に重要になってきています。
本来意識せずにですねセキュアな状態が保たれるのが理想的ではあるんですが、現在においては、なかなかちょっとそういうところまでは及ばないところもあります。
特にテレワークに関しますと、社内の組織内で管理されていないネットワークに繋がないといけないというところもありますので
従業員一人一人のですねリテラシーに依存する部分がどうしても大きくなってしまいます。
なので脅威を知って、それに対して何をしなければいけないのかっていうのを知ってもらうのが重要になってきます」

情報の収集、大切ですよね。西浦さんのところでも、サイバーセキュリティ情報局など
Webサイトで情報を発信しているそうなので、ぜひ、チェックして頂くといいかもしれませんね。
また、西浦さんは「正しく怖がり正しく備えることが重要になるかと思います。
リスクや脅威を甘くみるのも良くないですし、怖がってしまって、これは無理だなって対策を諦めてしまうのも良くないかと思います」と、お話されていました。
先程、西浦さんが対策として挙げられていた3点を意識して安全な環境を作っていければいいのではないでしょうか。

西浦さん、貴重なお話、ありがとうございました。

ツイッター Facebook
Top