テレワーク、ステイホームで変わった
サイバーリスクの傾向と対策

本連載は日立ソリューションズでサイバーセキュリティのビジネスに携わりながら、早稲田大学グローバルエデュケーションセンターで非常勤講師として人材育成も務める扇 健一氏に、ニューノーマル時代のIT環境における脅威とその対策について解説していただき、ビジネスにつなげるヒントを提供していく。今回はコロナ禍で変化したサイバーリスクについて、その傾向と対策を解説する。

変化した働き方とセキュリティリスク
不安を生む私物デバイスやPCの利用

 テレワーク、今この原稿を執筆している状況がまさにそれである。まさかこんなに長くテレワークを続けることになるとは思ってもみなかった。テレワークは業務の状況によっては多くのメリットをもたらす一方で、働き方の変化により新たに出てきたセキュリティ上のリスクというデメリットも生じている。

 会社から支給されている業務用PCへの私物デバイス接続、業務用PCから個人契約クラウドへの接続、私物PCから会社契約クラウドへの接続などによる情報漏えいやマルウェア感染だけではなく、オンライン会議画面のハードコピーや撮影による情報流出、テレワーク環境を狙った迷惑メールからのマルウェア感染、詐欺など、リスクを書き出すときりがないほどだ。

 さまざまなメリットがあるテレワークだが、セキュリティに関してはデメリットの方が多いように思う。今回は私物のデバイスや私物PCが業務に利用されることのリスクについて掘り下げていきたい。

 ICTに詳しくない業界の知人から、テレワーク時、自宅で業務用PCに私物デバイスを接続し、情報を私物PCにコピーしたり印刷したりするという話を聞く。また自宅のデスク上にデバイスが散乱しており、業務用PCに私物デバイスを誤って接続してしまう話もよく聞く。

 先日、その知人から私物PC上に「マルウェアが見つかりました。ライセンスを購入すれば駆除できます」というメッセージが表示されると相談を受けた。調べてみると、そのメッセージ自体がマルウェアであり、クレジットカード番号などを盗むフィッシングマルウェアだと分かった。ほかにも調査を進めると、数年の間に三つほどのマルウェアに感染していた。

 子どもがいろいろなWebサイトを閲覧する際に、気付かぬうちにマルウェアがダウンロードされてしまい感染したようだ(これをドライブバイダウンロード攻撃という)。このように私物のデバイスやPCはマルウェアの温床になっていることが多いのだ。

私物のデバイスやPCを
セキュリティ脅威から守る

 ではどうすれば私物デバイスやPCを安全に保つことができるのか。これも同じ知人から質問を受けた。「子どもはどうすれば危険なWebサイトを見分けられるのか」「私はどうしたら危険なメールを見分けられるのか」と。

 危険なWebサイトやメールは、セキュリティの専門家であればドメイン情報やコンテンツの内容である程度は見分けがつくが完璧な方法を伝えることは難しい。マルウェア対策製品の導入はもちろんのことだが、それで100%防ぐことはできない。そうなると、マルウェア感染することを前提に考えておいた方がよい。

 マルウェアの一種であるランサムウェアで多くの被害が出ている。ランサムウェアはファイルを暗号化したりPCをロックしたりして、「解除してほしければお金を払え」とユーザーを脅迫してくる。最近では「お金を払え。払わないと盗んだ情報を公開するぞ」と2段階の脅迫をするものも出てきている。

 まずは小まめにPCのシステムバックアップを取得することをお薦めしたい。また重要な情報はPCに保存せず、普段接続しない外部デバイスに保存した方がよい。保存する場合はフリーのソフトウェアやシェアウェア、外部デバイスに付属のセキュリティソフトウェアなどを使って暗号化したりパスワードを掛けたりしてほしい。

 BYODを推進している企業もあるだろう。ただし私物デバイスを利用することは前述の通りリスクが高い。利用を許可するのであれば、例えばインターネットでの調査、Web会議、セミナー聴講、電話、SNS利用など、利用目的を限定する方法もある。またはUEM(Unified Endpoint Management:統合エンドポイント管理)製品をインストールしてもらい、私物デバイス内に業務用の領域を設けて情報が漏えいしないよう管理する方法もある。

そもそも私物デバイスやPCを
業務に利用するのはどうなのか?

 私物デバイスの利用範囲限定や管理が難しいようであれば、業務での利用は禁止した方がよい。ルールだけでは統制が弱いため、システム的に業務用PCへのデバイス接続やプリンター接続を禁止することも検討してほしい。どうしてもデバイスやプリンターを接続する必要がある場合は、指定したデバイスやプリンターに限り利用を許可することもできる。

 ただしテレワークにおいてデバイスや紙での情報交換は時間もかかってしまい社員にとっても不便だろう。今はクラウドの時代なのでデバイスの利用をやめ、BoxやGoogleドライブなどのクラウドストレージやMicrosoft Teamsなどのコミュニケーションツールを使って情報交換することをお薦めしたい。クラウドを使うことで、ビジネススピードは向上し社員のストレスも緩和されるからだ。

master:
早稲田大学グローバル
エデュケーションセンター 非常勤講師

日立ソリューションズ
セキュリティソリューション事業部 企画本部
セキュリティマーケティング推進部 部長
セキュリティエバンジェリスト
扇 健一 氏