ESET/マルウェア情報局

安全性と生産性を維持しつつテレワークに移行するための効果的なアプローチとは? 

  • この記事をはてなブックマークに追加
  • 本文印刷

本記事はキヤノンマーケティングジャパンが提供する「マルウェア情報局」に掲載された「新型コロナウイルス(COVID-19)の感染拡大で進むテレワーク、効率的に行うには?」を再編集したものです。

 新型コロナウイルス(COVID-19)の感染拡大は、世界保健機関(WHO)によってパンデミックと宣言され、複数の国で同時に感染が加速しています。アメリカ合衆国は、ヨーロッパの28ヵ国について渡航禁止を宣言し、多くの国が学校や大学を閉鎖し、大規模な集会やイベントを自粛または中止にしています。

 GoogleやMicrosoftなどの大手企業は、従業員にテレワークを励行または義務付けています。現代のハイテク企業では、テレワークに必要なインフラストラクチャとポリシーはすでに整備済みであり、従業員の大多数がすでにラップトップを使用しているでしょう。

 ただ、多くの小規模な企業や組織では、状況が大きく異なる場合があります。テレワークはおそらく一部の従業員のみに制限されており、現実的には、テレワークでは主に電子メールでのやり取りや、業務の主幹業務システムとは関係のない作業に制限されているのではないでしょうか。教育業界はこのような例に当てはまります。大学はこれまでもリモート学習のための機能を提供してきましたが、高校などの教育機関では、主に、教員と生徒が教室で学習する体制になっています。学校の運営や管理部門も注意が必要です。これらの部門の多くは、ラップトップではなくデスクトップデバイスを使用している可能性が高く、モバイルワーカーになる可能性が低いのです。

 効果的なテレワークを行なうためのアプローチは、組織を要件別にいくつかのグループに分割し、各グループのニーズに対応することです。単純すぎるアプローチように思えるかもしれませんが、今回のような緊急性を考慮すると不可欠な方法です。教育機関の例では、学生、教員、管理者、運営者がいます。生徒が積極的にリモート学習に参加しなければ授業は運営できません。教師には少なくとも仮想のカンファレンス機能が必要であり、管理者にはネットワークアクセスが必要です。これは最低限の要件です。

 生産性を高めるためには、すべてのリモートワーカーに必要な共通の要件があります。長年にわたるテレワーク経験から、特に下記の最後の2つの要素は必要だと私は考えています。

 ・コンピューター
 ・十分な回線速度のあるインターネット接続環境
 ・チャットおよび会議アプリケーション
 ・専用のワークスペース(推奨)
 ・電話(オプション)
 ・自発性と規律
 ・厳格なルーチン業務

 電話がオプションである理由は、現在の環境では、多くのチャットアプリケーションで直接通話できるため、電話が必須ではないためです。電話は、テレワークで必須のデバイスというよりは、ビジネスで必要になる場合があるものと言えるでしょう。

 重要なことは、企業や組織は、テレワークに関連するサイバーセキュリティーリスクの増大に備えて、自社と従業員への対策を進める必要があることです。解決するべき課題について以下に説明します。

会社のデバイスの物理的なセキュリティー

 従業員が、セキュリティー対策が講じられ安全性が保たれているオフィスを離れて作業する場合、会社のデバイスは大きなリスクにさらされます。私は、テレワークする場合に、公共図書館で仕事をすることが多くあります。この図書館には、誰でも利用できるワークスペースがあります。このような場所では、次のような手段で、デバイスを紛失や盗難から保護する必要があります。

 ・フルディスク暗号化を行なっておけば、万一デバイスが盗まれた場合でも、会社のデータにアクセスされることはありません。

 ・パソコンを使用していないときにはログアウトしましょう。これは、自宅でも公共の場所でも同じです。好奇心旺盛な子供が、上司や顧客に間違って電子メールを送ってしまうことはよくあります。また、自分の家の近くにあるコーヒーショップで、あなたのパソコンの画面が覗かれる機会も制限されます。

 ・強力なパスワードを使用しましょう。起動するときには、パスワードを入力するようにし、一定の時間が経過すると、画面がロックされるようにします。パスワードを記した付箋をパソコンに張り付けることはやめましょう。

 ・デバイスを放置したり、目立つ場所に置かないようにましょう。車の中であれば、トランクに入れておきましょう。

自宅のテクノロジー環境における注意事項

 従業員が会社のデバイスを自宅のネットワークに接続する前に、自宅の環境における脆弱性を確認するように依頼してください。脆弱性のあるIoTデバイスについては、製造メーカーから継続的に情報が開示されています。この機会に、従業員は強度の高いパスワードを使用し、ファームウェア/ソフトウェアは常に最新バージョンに更新してください。

 会社のデバイスをホームネットワークに接続することを許可する前に、クラウド型のホームモニタリングアプリの使用を促進または義務化することを検討してください。アプリによるスキャンまたは監視により、既知の脆弱性、古いソフトウェアやファームウェア、または、デフォルトのパスワードを使用しておりパスワードを変更する必要があるデバイスを特定できます。

会社のネットワークとシステムへのアクセス

 従業員が社内のネットワークにアクセスする必要があるか、クラウドベースのサービスや電子メールにアクセスする必要があるかを確認します。また、従業員がテレワークをする場合に、オンサイトの場合と同じレベルで、機密データへのアクセス権限を許可する必要があるかどうかも判断しましょう。

 ・社内ネットワークへのアクセスが必要な場合:

 ◦この場合、組織が所有するデバイスからのみアクセスを許可することをお勧めします。それによって、セキュリティ部門およびITチームが直接管理しているデバイスからのみ、社内ネットワークにアクセスできることになります。

 ◦リモートワーカーが社内ネットワークに接続できるようにする場合には、常にVPNを使用してください。これにより、リモートからの中間者攻撃を防ぐことができます。自宅から作業している場合には、トラフィックが一般のネットワークでやり取りされることに注意してください。

 ◦USBストレージや周辺機器などの外部デバイスの使用を制御します。

 ・従業員個人のデバイスから電子メールやクラウドサービスへのアクセスを許可する

 ◦個人が使用するマルウェア対策やファイアウォールなどに、組織が管理するデバイスと同じエンドポイントセキュリティーポリシーを適用します。必要に応じて、組織が所有するデバイスで使用されているのと同じソリューションのライセンスを従業員に提供してください。追加のライセンスが必要な場合は、プロバイダーに問い合わせましょう。セキュリティープロバイダーは、現在発生している前例のない事態を支援するための、特別な解決策を提供している場合があります。

 ◦データを保存、ダウンロード、またはコピーする機能を制限します。データ漏洩は、会社の機密データが含まれているあらゆるデバイスから発生する恐れがあります。

 ◦仮想マシンを使用してアクセスを提供することを検討しましょう。これにより、従業員は管理された環境で作業でき、従業員の自宅環境における企業ネットワークの露出が制限されます。仮想マシンを使用する場合、セットアップが複雑になる場合もありますが、より安全で長期的に利用できる可能性があります。

 ・多要素認証(MFA)であれば、クラウドベースのサービスでも、完全なネットワークアクセスであっても、許可されたユーザーのみがサービスやネットワークにアクセスできるようになります。できる限り、アプリベースのシステムまたは物理的なハードウェアトークンを使用して、アクセスを認証・許可するワンタイムコードを生成しましょう。ハードウェアのソリューションを実装することが時間的に厳しい場合、アプリベースのソリューションを使用すれば、ハードウェアを調達して配布する必要はありません。アプリベースのシステムは、SMSメッセージよりもセキュリティーが高くなります。特に、ワンタイムコードの受信に使用されるデバイスが組織が管理していないデバイスの場合には、SIMスワップの攻撃を受ける恐れがあります。

コラボレーションツールと承認プロセス

 これら2つの項目を同じ項目で扱うことは不思議に思えるかもしれませんが、これらは、相互に問題の発生を防止するうえで役立ちます。

 ・従業員が互いにコミュニケーションを図ることができるように、チャット、ビデオ、会議システムへのアクセスを提供します。これにより、必要な生産性ツールを利用できるようになり、従業員が同僚との連携して業務にあたることができるようになります。

 ・コラボレーションツールによって、従業員同士が連絡できるようにしておくと、承認されていない指示や取引依頼から従業員を保護することができます。サイバー犯罪者は、従業員がリモートで働いている機会を悪用し、ビジネスメール詐欺(BEC)を仕掛ける恐れがあります。これは悪意のある攻撃者によって、偽の緊急の送金依頼メールが送られてくる攻撃で、正規の依頼であるかどうか直接確認できないようにしています。テレワーク中であっても、「直接」確認できるように、承認プロセスの正式な一部としてビデオ会議/チャットシステムを必ず使用してください。

トレーニング

 最近、別のブログでも頻繁に取り上げていますが、膨大な数の新型コロナウイルス関連の詐欺が横行しており、マスクやワクチンに関する偽情報が詐欺で悪用されています。従業員が、オフィスから離れて自宅などの場所で働く場合、業務とは直接関係のないビデオを見たりウェブページにアクセスしたりするのを咎める同僚の目もないことから、このようなリンクをクリックしてしまいがちです。

 サイバーセキュリティーに関する意識向上のためのトレーニングは、通常、年間を通じて従業員に対して実施する必要があります。サイバー犯罪者が付け込みやすい、人の心理的弱点を確認するためのトレーニングを提供するとよいでしょう。従業員がテレワークを始める前に、また、テレワークを開始した後であっても、できるだけ早く、このようなトレーニングを実行することを検討してください。

サポートと危機管理

 リモートアクセスを緊急で提供する場合でも、サイバーセキュリティーおよびシステムやデバイスの管理機能を犠牲にしてはなりません。特に、健康上の懸念からユーザーが隔離されている場合、円滑に業務を運用するために、リモートからユーザーをサポートすることは不可欠です。テレワークを行なう従業員にむけて、セキュリティー侵害の可能性がある異常な状況や問題を見つけた場合のITサポートや、危機管理のための明確なプロトコルを提示する必要があります。

 もちろん、技術的な観点から考慮しなければならないことがあります。たとえば、Aryeh Goretskyのブログで詳しく説明しているように、RDP(リモートデスクトッププロトコル)の使用は許可しない、もしくは制限するといったことは、検討事項に該当します。

 テクノロジーや機能的なプロセスのほかにも、効果的にテレワークを推進するために重要な要素があります。

 ・コミュニケーション – チームに1日に1回電話し、状況について説明し、すべての従業員が現状と問題を共有できるようにすることを検討してください。

 ・応答性 – テレワークの場合、オフィス勤務の環境とすべてが同じではありません。電子メール、Slack、カレンダーの招待など、コミュニケーションツールに応じて、テレワークを行なう従業員がどれだけ迅速に応答すべきかについての明確なガイドラインを作成しておきましょう。

 ・報告 – 部門の上司は、テレワークを行なう従業員が仕事を完了しているかどうかを確認できる手続きを導入する必要があります。たとえば、グループミーティングを必ず実施したり、チームコラボレーションを行なったり、日次/週次/月次報告を提出させたりします。

 ・業務スケジュール – 始業と終業の時刻を報告する方法について同意を得るようにしましょう。チームグループやメンバーが1日の業務を始めるときに、「おはようございます」とチャットするといった、簡単なものでも良いでしょう。

 ・健康と安全性 – 従業員がオフィスで使い慣れている人間工学に基づいたエルゴノミクスキーボードを自宅でも利用して快適に作業できるようにする必要はありますか? テレワークでも、良好な業務環境を提供しなければなりません。

 ・責任 – 従業員が会社の資産を利用している場合、補償の問題について明確にしておきます。

 ・技術サポート – 連絡先情報を提供してください。テレワークを行なうすべての従業員は、必要なときに支援を得られる方法を知っているおく必要があります。

 ・従業員同士のコミュニケーション – 特に、リモートで勤務する従業員が仮想環境で集まることができるようにします。従業員間のソーシャルなつながりは、モチベーションを高める重要な要素であり、生産性を向上させます。「バディ」や「メンター」スキームを導入することもひとつの方法でしょう。すべての従業員がペアとなって問題を解決したり、課題を共有したり、話し相手になったり、仮想的につながり合えるようにします。

 ・アクセシビリティー – 仮想環境でも、オフィスと同じように、いつでも相談できる体制とポリシーを確立します。いつでも誰かにアクセスでき、簡単に相談できることを確認してください。

 支援やガイダンスをほとんど必要とせずに、すべての従業員が効果的にテレワークに移行できると想定しないでください。従業員の自宅はオフィスではありません。適応するまでにかなりの支援が必要になる場合があります。

 今回の大規模かつ国によっては強制的なテレワークは、(規模が大きすぎるために本来であればどの企業も参加したがらない)社会実験になりつつありますが、この社会実験を経た後の世界はすっかり様変わりしている可能性があります。私たちは以前と同じようにオフィスで働くことになるのでしょうか?

 健康と安全を守りながら、この未曾有の事態を乗り越えましょう。