あなたのリモートワークはセキュリティ的に大丈夫? トレンドマイクロに聞く、注意すべきポイント
2020/6/17
緊急事態宣言により、急速に普及したリモートワーク。宣言解除後も、政府が発表した「新しい生活様式」の実現に向け、リモートワークを継続している企業さまも多いと思います。その際、気になる点として挙がるのがセキュリティの問題。普段は会社のPCや会社のネットワークだったのが、いきなり別のデバイスや別のネットワークになることに問題はないのでしょうか?
セキュリティ関連製品の開発・販売を行っている業界大手のトレンドマイクロ株式会社にて、セキュリティエバンジェリストを務める岡本 勝之氏によると、急速にリモートワーク体制を整えたがゆえに、適切な対策が追いついていない企業もあるとのことです。
企業やワーカーがサイバー犯罪から身を守るにはどのような対策が有効なのでしょうか。岡本氏にお話を伺いました。
Contents
ざっくりまとめ
・サイバー犯罪者はセキュリティの弱いところを狙ってくる
・急速なテレワーク体制の構築で、セキュリティ対策が追いついていない企業もある
・自宅で仕事をする際は、ルーターの設定を見直そう
・Zoomなど外部のツールは常に最新のバージョンに
・ネットワークに繋がることはそれだけでリスクがあると意識しよう
・新しい挑戦にはセキュリティ対策が必須
そもそもサイバー犯罪って何?
ーまずは初歩的な質問からですが、サイバー犯罪を行う目的としては何が多いのでしょうか?
金銭目的が多いです。色々な手口がありますが、最近ですと「ビジネスメール詐欺」というものが目立っています。例えば、会社の中の偉い人になりすまし、部下に対して「ここにお金を振り込んで欲しい」といった指示を出すのです。
メール等のアカウントは昔から狙われてきました。なりすましで詐欺を働く人も多いですが、奪ったアカウントを他の犯罪者に売るなどしてお金を稼ぐサイバー犯罪者もいます。
他には、クレジットカードの情報を盗み、それを不正利用する事例も多いですね。
情報の抜き取りは個人情報だけが対象になるわけではありません。企業が持っている機密情報、例えば特許など技術的な情報もそれ自体で価値があるので狙われる可能性があります。
金銭目的が多いです。色々な手口がありますが、最近ですと「ビジネスメール詐欺」というものが目立っています。例えば、会社の中の偉い人になりすまし、部下に対して「ここにお金を振り込んで欲しい」といった指示を出すのです。
メール等のアカウントは昔から狙われてきました。なりすましで詐欺を働く人も多いですが、奪ったアカウントを他の犯罪者に売るなどしてお金を稼ぐサイバー犯罪者もいます。
他には、クレジットカードの情報を盗み、それを不正利用する事例も多いですね。
情報の抜き取りは個人情報だけが対象になるわけではありません。企業が持っている機密情報、例えば特許など技術的な情報もそれ自体で価値があるので狙われる可能性があります。
どんな人や会社が狙われやすいの?
ーサイバー犯罪者はどんな人や企業をターゲットにするのでしょうか?
基本的には、セキュリティ的に弱いところが狙われやすいです。なので、「特に重要な情報がないから自社は大丈夫だろう」と考えている企業や組織は要注意です。
たとえば、コンピューターウイルスなど、犯罪目的で作られたプログラムは不特定多数の人にばらまかれ、その中でも脆弱なセキュリティの人のところから進入します。そこからなりすましメールを送るなどして重要な情報を持つ人への攻撃を試みます。デバイスの動作をおかしくして正常に戻すために金銭を要求したり、機密情報を奪ったりします。
基本的には、セキュリティ的に弱いところが狙われやすいです。なので、「特に重要な情報がないから自社は大丈夫だろう」と考えている企業や組織は要注意です。
たとえば、コンピューターウイルスなど、犯罪目的で作られたプログラムは不特定多数の人にばらまかれ、その中でも脆弱なセキュリティの人のところから進入します。そこからなりすましメールを送るなどして重要な情報を持つ人への攻撃を試みます。デバイスの動作をおかしくして正常に戻すために金銭を要求したり、機密情報を奪ったりします。
リモート環境下で企業が対応すべきこととは
ー新型コロナウイルス感染症の影響でリモートワーク体制の構築を急ぐ企業も増えています。セキュリティ上問題はないのでしょうか?
短期間での移行を余儀なくされている分、セキュリティが不完全な状態の企業も多いのではないかと予想しています。
基本的に社員の方々は企業ごとに定めているポリシーに従って働くことになります。なので企業側は、早急にリモートワークに対応したセキュリティポリシーを作らなくてはいけません。前々から計画していた企業はとくに問題ないと思いますが、急なリモートワークで対策が間に合わないままになっている企業も一定数あると考えています。
短期間での移行を余儀なくされている分、セキュリティが不完全な状態の企業も多いのではないかと予想しています。
基本的に社員の方々は企業ごとに定めているポリシーに従って働くことになります。なので企業側は、早急にリモートワークに対応したセキュリティポリシーを作らなくてはいけません。前々から計画していた企業はとくに問題ないと思いますが、急なリモートワークで対策が間に合わないままになっている企業も一定数あると考えています。
リモートワークの際の注意点は?
ー自宅で仕事をする際には何に気をつけるべきなのでしょうか?
個人宅のセキュリティ対策として、できることは限られていますが、まずはルーターの設定を見直すのが良いと思います。とりあえず設置していて、初期設定のままの方もいると思います。
そのうえで、さらに対策をしたい場合はルーターに接続するウイルス対策の装置を検討すると良いでしょう。会社でインターネットに接続するのと同じぐらいのセキュリティレベルにすることはなかなか難しいですが、最低限、外からの攻撃を防いだり、現段階でなにかが侵入してきてないか検知することは可能です。
ー他にもリモートワークをする上で気をつけるべきポイントはありますか?
まず企業は、先ほども触れましたが、従業員の業務、取り扱う情報、セキュリティリスクなどを考慮し、リモートワークに対応したガイドラインを早急に作らなければいけません。
例えば、リモート先から企業内のネットワークへのアクセスがあった場合、パスワードだけでなく追加の認証手順を設定するのも良いでしょう。パスワードのみでアクセスできる状況だと、そのパスワードが盗まれた場合、ハッキングや情報漏洩などの問題に直結します。
他にも、仮想プライベートネットワーク(VPN)ライセンスを準備したり、何かあった時のためにデータをバックアップする体制を整えたりするのもセキュリティの観点上有効です。
従業員は、大前提として会社が出しているガイドラインに沿って業務を行い、自分で勝手に判断をして動かないことが大切だと思います。
例えば、会社からPCが支給されている場合は、それ以外のデバイスで仕事をしないようにしたり、逆に会社のPCでは業務以外のネットサーフィンなどは控えるべきです。会社からのデバイスの支給はなく、私物を使わざるを得ない場合でも、会社が提供するセキュリティソフトウェアを使ったりと、セキュリティポリシーに則って業務を進めるようにしましょう。
ーZoomなど、他社が提供するアプリケーションを使って業務をしている会社さまも多いと思います。その際の注意点はありますか?
すべてのアプリケーション、ツール、ソフトには何かしらの脆弱性が発見されることがあるので、どのツールを使えば大丈夫だと断言することはできません。
できることとしては、常に最新のバージョンへアップデートしておくことがあります。ツールを提供している開発会社は日夜、セキュリティ上の脆弱性を調べ、その対策を行っています。なので、ツールを使う側としては最新のセキュリティ対策が反映されるようアップデートすることが大事です。
ーその他、個人として気をつけるべきことは何かありますか?
大前提として、ネットワークに繋がること自体にリスクがあることは分かっているべきだと思います。
例えば自宅の場合では、家で使っているネットワーク自体が攻撃される危険性がありますので、セキュリティ的に問題がないのか意識していただく必要があります。
また、サテライトオフィスや喫茶店など外で仕事をする際、接続するネットワークが安全かどうか意識する必要もあります。大手キャリアが提供しているフリーWi-Fiは比較的安全ではあると思いますが、提供者が不明なネットワークだとセキュリティ的に怪しい場合もあります。
個人宅のセキュリティ対策として、できることは限られていますが、まずはルーターの設定を見直すのが良いと思います。とりあえず設置していて、初期設定のままの方もいると思います。
そのうえで、さらに対策をしたい場合はルーターに接続するウイルス対策の装置を検討すると良いでしょう。会社でインターネットに接続するのと同じぐらいのセキュリティレベルにすることはなかなか難しいですが、最低限、外からの攻撃を防いだり、現段階でなにかが侵入してきてないか検知することは可能です。
ー他にもリモートワークをする上で気をつけるべきポイントはありますか?
まず企業は、先ほども触れましたが、従業員の業務、取り扱う情報、セキュリティリスクなどを考慮し、リモートワークに対応したガイドラインを早急に作らなければいけません。
例えば、リモート先から企業内のネットワークへのアクセスがあった場合、パスワードだけでなく追加の認証手順を設定するのも良いでしょう。パスワードのみでアクセスできる状況だと、そのパスワードが盗まれた場合、ハッキングや情報漏洩などの問題に直結します。
他にも、仮想プライベートネットワーク(VPN)ライセンスを準備したり、何かあった時のためにデータをバックアップする体制を整えたりするのもセキュリティの観点上有効です。
従業員は、大前提として会社が出しているガイドラインに沿って業務を行い、自分で勝手に判断をして動かないことが大切だと思います。
例えば、会社からPCが支給されている場合は、それ以外のデバイスで仕事をしないようにしたり、逆に会社のPCでは業務以外のネットサーフィンなどは控えるべきです。会社からのデバイスの支給はなく、私物を使わざるを得ない場合でも、会社が提供するセキュリティソフトウェアを使ったりと、セキュリティポリシーに則って業務を進めるようにしましょう。
ーZoomなど、他社が提供するアプリケーションを使って業務をしている会社さまも多いと思います。その際の注意点はありますか?
すべてのアプリケーション、ツール、ソフトには何かしらの脆弱性が発見されることがあるので、どのツールを使えば大丈夫だと断言することはできません。
できることとしては、常に最新のバージョンへアップデートしておくことがあります。ツールを提供している開発会社は日夜、セキュリティ上の脆弱性を調べ、その対策を行っています。なので、ツールを使う側としては最新のセキュリティ対策が反映されるようアップデートすることが大事です。
ーその他、個人として気をつけるべきことは何かありますか?
大前提として、ネットワークに繋がること自体にリスクがあることは分かっているべきだと思います。
例えば自宅の場合では、家で使っているネットワーク自体が攻撃される危険性がありますので、セキュリティ的に問題がないのか意識していただく必要があります。
また、サテライトオフィスや喫茶店など外で仕事をする際、接続するネットワークが安全かどうか意識する必要もあります。大手キャリアが提供しているフリーWi-Fiは比較的安全ではあると思いますが、提供者が不明なネットワークだとセキュリティ的に怪しい場合もあります。
withコロナ時代のセキュリティのあり方
ー今後、企業としてサイバー犯罪対策についてどのように進めると良いでしょうか?
新型コロナウイルス感染症の影響によりリモートワークが当たり前になったり、デジタルトランスフォーメーションが進み、これまで以上にネットワークを活用する機会が増えています。そんな状況では、セキュリティ対策の重要性はますます高まるのだと思います。オフィスのように従業員が全員同一のネットワーク環境下で仕事をする環境では、社外と社内を分けることがセキュリティ対策の基本になっていました。しかし、クラウドの利用やリモートワークが当たり前になると、社内と社外の境界線は曖昧になり対策の考え方も変わります。そこにサイバー攻撃がつけいる隙が生じます。
とくに新しい機能を実装するにあたり、セキュリティ対策を組み込むのは、もはや必須だと思います。新しい開発を行う際は、後からではなく、その要件の一つとしてセキュリティ対策を組み込むべきです。
これからの時代において、新しい挑戦とセキュリティ対策は表裏一体だと考えています。
新型コロナウイルス感染症の影響によりリモートワークが当たり前になったり、デジタルトランスフォーメーションが進み、これまで以上にネットワークを活用する機会が増えています。そんな状況では、セキュリティ対策の重要性はますます高まるのだと思います。オフィスのように従業員が全員同一のネットワーク環境下で仕事をする環境では、社外と社内を分けることがセキュリティ対策の基本になっていました。しかし、クラウドの利用やリモートワークが当たり前になると、社内と社外の境界線は曖昧になり対策の考え方も変わります。そこにサイバー攻撃がつけいる隙が生じます。
とくに新しい機能を実装するにあたり、セキュリティ対策を組み込むのは、もはや必須だと思います。新しい開発を行う際は、後からではなく、その要件の一つとしてセキュリティ対策を組み込むべきです。
これからの時代において、新しい挑戦とセキュリティ対策は表裏一体だと考えています。
クラウドを守り、クラウドで守るセキュリティ対策を
ー御社の今後の展望を教えてください。
クラウドのセキュリティ強化はこれからますます求められる分野だと思いますので力を入れていきたいですね。具体的には、クラウド環境自体を守ることと、クラウドを活用して企業や従業員の大事なデータを守ることの大きく2つに取り組みたいと考えています。
サイバー攻撃の手口が巧妙化していく中で、攻撃パターンを検出し、最適な防御策を選択するためには、多層的に守ることが重要、そのためにクラウドは活用できると考えています。
今後も、お客様が求めるセキュリティ対策を提供できるよう努めていきます。
クラウドのセキュリティ強化はこれからますます求められる分野だと思いますので力を入れていきたいですね。具体的には、クラウド環境自体を守ることと、クラウドを活用して企業や従業員の大事なデータを守ることの大きく2つに取り組みたいと考えています。
サイバー攻撃の手口が巧妙化していく中で、攻撃パターンを検出し、最適な防御策を選択するためには、多層的に守ることが重要、そのためにクラウドは活用できると考えています。
今後も、お客様が求めるセキュリティ対策を提供できるよう努めていきます。
岡本 勝之(トレンドマイクロ株式会社 セキュリティエバンジェリスト)
製品のテクニカルサポート業務を経て、1999年よりトレンドラボ・ジャパンウイルスチーム(2007年より日本国内専門の研究所として設立されたリージョナルトレンドラボへ移行)で、シニアアンチスレットアナリストとして、特に不正プログラムなどのネットワークの脅威全般の解析業務を担当。現在はセキュリティエバンジェリストとして、それまでの解析担当により培った脅威知識を基に、セキュリティ問題、セキュリティ技術の啓発に当たる。
製品のテクニカルサポート業務を経て、1999年よりトレンドラボ・ジャパンウイルスチーム(2007年より日本国内専門の研究所として設立されたリージョナルトレンドラボへ移行)で、シニアアンチスレットアナリストとして、特に不正プログラムなどのネットワークの脅威全般の解析業務を担当。現在はセキュリティエバンジェリストとして、それまでの解析担当により培った脅威知識を基に、セキュリティ問題、セキュリティ技術の啓発に当たる。
