近年のクラウドソリューションやコラボレーションツールの進化に加え、新型コロナの流行によってリモートワークが推進されたことから、従業員が働く場所を選べるようになりました。例えば、自宅、図書館、さらにはビーチなど労働環境を柔軟に選ぶことができますが、働く環境が従来のオフィスから移行したことによって、セキュリティとロジスティックの安全面の懸念が表面化しました。十分に安全対策がとられていない従業員が個人所有する端末とネットワークから機密情報へ接続するケースが増え、データへの侵害が発生することでプライバシーに関するコンプライアンスが機能しなくなる可能性があります。
カナダ連邦政府は、従業員の分散型配置について、セキュリティ上の脅威を認識し厳格なプライバシー保護を提案する法案を2020年11月に提出しました。組織のサイバーセキュリティのリスクを最小限に抑えるためには、リモートワーカーがこのような法律を遵守してオンラインの安全を保つ努力を維持すること必要不可欠です。
どこからでも仕事ができるという自由は、企業が対応しなくてはならない従業員の特典であることは否定できません。ここでは従業員がオフィス以外の場所からリモート環境で働くことで生じるリスクについて、また企業が機密情報を安全に保つためにできることがあります。
目次
オンライン接続とコラボレーションのリスクを認識
新型コロナウイルスの流行拡大により、オフィスの閉鎖と在宅勤務が義務化された結果、職場の接続環境に対する考え方が大きく変わりました。人事、プライバシー、セキュリティの専門家を対象としたFenwickによる調査の結果、現在、約90%の従業員が、オフィスのネットワーク環境ではなく自宅のWi-Fi環境において知的財産、機密情報、個人情報を扱っていることがわかりました。さらに、従業員の多くは企業が所有するデバイスと同等には保護されていない個人用のデバイスやモバイルデバイスから、このような情報にアクセスしていました。安全でないネットワークに接続された保護されていないデバイスからの接続が増え、企業のインフラ環境に弱点が生じてハッカーから保護することが難しくなります。
特に注意が必要なのは、ビデオ会議用のソフトウェアです。ハッカーは、ビデオ会議用のソフトウェアに侵入して個人的な議論を盗聴し、重要な情報を盗み出す可能性があります。ハッカーの多くは、可能性のある会議IDのリストをスキャンして会議に接続しようとする、総当たり方式(ブルートフォース)でビデオ通話を妨害します。また、現在利用しているソフトウェアの脆弱性を利用し、より難易度の高い方法で侵入を試みる者もいます。Agoraのビデオ会議用ソフトウェアには、最近までこのような脆弱性が見られました。
ハッカーは通常、フィッシング詐欺を通じて無防備な従業員をターゲットにしてネットワークの脆弱性にアクセスしようとします。マルウェアに感染させるケースや、身代金目的でデータを保持した場合、さらに大きな影響を受ける可能性があります。多くの従業員は、このような危険を避けるための適切なトレーニングを受けていなければ、自分が標的となったときにどのような対応をするべきかわかりません。
リモートでの作業には細心の注意を
自宅やその他のリモート環境から接続している場合でも、オフィスと同じレベルの注意を払うことが重要です。ここでは、リモートワーカーに必要な安全とセキュリティの基本に関する5つのポイントをご紹介します。
1.フィッシング詐欺に注意
ハッカーが無防備な従業員をターゲットにして重要機密にアクセスするときに実施する、最も一般的な手法がフィッシング詐欺です。実際、最近の世論調査では、カナダのITエグゼクティブの63%以上が、組織のセキュリティにおいて、ランサムウェアとフィッシングが最大の懸念事項であると回答しています。フィッシング詐欺を見分けるヒントをご紹介します。
・アカウントへのログイン、支払い、個人情報の確認、怪しいリンクをクリックするなどの行為を、すぐに行うように促すようなメール、チャット、電話を受け取った場合
・リンクがメール内の実際のテキストと一致していない場合(リンクにカーソルを合わせると確認可能)
・メッセージが稚拙な場合や、企業ロゴに怪しい点が見られる場合
・差出人の名前とメールのドメインが一致しない、あるいはドメインにエラーがある場合
2.企業の方針と基準を順守
ファイルの共有、文書の保存、その他のオンラインコミュニケーションに関して、会社のポリシーと機密保持契約を理解していることを確認しましょう。厳しいセキュリティの基準を順守し、会社が承認したクラウドアプリケーションを使用し、セキュリティで保護されていない手段で会社の機密情報を誤って公開しないようにします。また、これはビデオ会議のソフトウェアの使用にも有効な対策です。万が一、ハッカーに盗聴された場合に備えて、ビデオ会議システムやメッセージ機能を使って共有する機密情報の量を制限します。
3.個人用と仕事用のデバイスを区別
仕事を家に持ち帰ることがあってもワークライフバランスを維持し、プライベートと仕事を区別するように努力しなくてはなりません。テクノロジーツールを使用する場所を区別することで、プライベートと仕事を区別しやすくなります。最適なセキュリティの対策をとることに慣れていない家族(特に子ども)と、会社のデバイスを共有することを避けましょう。また、個人のアカウントと会社のアカウントを区別し、個人的なチャネルで情報を共有しないようにします。
4.セキュリティ・ソフトウェア、ツールの活用
どこにいても仕事ができるようになった今、パスワードで保護された自宅のWi-Fi以外の場所から接続するときは、安全なネットワークであるかを確認しましょう。また、利用したことのないネットワークに接続するときは、必ずVPNを利用してデータを暗号化し、インターネット上で安全にファイルを共有するようにしましょう。可能であれば、会社が用意した環境を利用するか、ITチームへ確認しましょう。また、ウイルス対策ソフトやファイアウォールを導入してファイルやシステムをスキャンして定期的に有害なウイルスから保護するなど、事前に対策をとることで感染のリスクを減らしましょう。
5.リモートワークではセキュリティを最優先に
新型コロナの蔓延をきっかけに、リモートワークの動きが活発化し、どこにいても柔軟に仕事ができるようになり、働く環境に対する見方が変わりました。リモートワークは多くの人々の生活に定着しつつあります。一方で、都市や国をまたいだ遠隔地から働く従業員が増え、ノートPCやモバイル機器などのエンドポイントデバイスのセキュリティを維持することが難しくなっています。さらに、保護されていないネットワークに接続することで生じるリスクによって、リモートの仕事環境は脆弱性が高まる一方です。より多くの職場が、完全リモートの環境で働く利点を取り入れるには、安全で効率的な仕事環境を促進する手段についてはさらに検討が必要です。潜在的なサイバー脅威に対する認識を高めることによって、デバイスとホームネットワークのセキュリティ標準を強化し、より安全に、効率的に働く環境を実現することができます。
最新情報を入手
日々のニュースからの情報収集は重要です。またデジタルの安全性を維持するための情報やマカフィー製品に関する最新情報、および最新の消費者向けおよびモバイルセキュリティの脅威に関する最新情報を入手するには、Twitterで@McAfee_Home(US)または@McAfee_JP_Secをフォローし、ポッドキャストHackableをお聞きください。
※本ページの内容は2021年3月24日(US時間)更新の以下のMcAfee Blogの内容です。
原文:How to Stay Connected and Protected in a Remote Work Environment
著者:Jean Treadwell