fbpx

テレワークを行う従業員が最低限実施すべきセキュリティ対策

好きな所から読む

テレワーク対応を業務環境として容易する企業が増加している一方で、社内インフラがテレワークに対応出来ていない、セキュリティ上の懸念があるとのことから、一部の経営者はリモートアクセスを許容することやテレワーク体制を採用することを躊躇しています。例えば、従業員が沖縄やバリのコーヒーショップで公衆無線LANを使って会社のデータにアクセスすることは、セキュリティの責任者にとって最悪の悪夢です。しかし、コロナウィルスも広がっている中で、今後もテレワーク体制の整備、そのためのセキュリティ対策強化やペーパーレスの推進は今後も続くでしょう。

データや端末を安全に保つためのセキュリティ対策

企業はデータを安全に保ちながら、働く場所や環境を柔軟に変えられる方法を見つける必要があります。顧客データを安全に保つためにファイアウォール等のインフラレベルの対策が行われている企業は多く存在しますが、実際のところ昨今の労働環境の多様さを踏まえると、決して対策に見合った安全が実現出来ているとは言えません。

端末がオンラインである限り、私たちは危険にさらされています。ノートパソコンからキッチン家電、ホームアシスタントまで、毎日のように新しいデバイスがオンライン化されていますが、そのほとんどはメーカーによる長期的なサポートを受けられません。Have I Been Pwned (HIBP) によると、1億3,000万以上の個人アカウントが400以上のサービスで、合計90億回以上も侵害されています。そして、この数字は恐ろしいように見えても、その表面を掻きむしっているに過ぎません。発見されていない、あるいは公表されていない違反、標的型攻撃、日常的なソーシャル・エンジニアリングを見逃しているのです。知られていることは氷山の一角に過ぎません。

この記事では、テレワークを進める企業が、テレワークを行うここの従業員が会社のデータを保護するために取るべき最低限のステップに焦点を当てました。これらのセキュリティ対策は誰にでも有効ですが、従業員が自宅から業務をしたり、出張したりしているテレワーク推進・導入企業にとっては特に重要です。また、個別具体的なテレワーク対策を実装していくことで、気づけばゼロトラストセキュリティを全社で実現していたという幸運もあるかもしれません。

セキュリティ対策は、リモートチームを設定する際に考慮すべきことの一つに過ぎませんが、絶対に欠かす事のできない要素です。この記事を準備を有効活用し、是非テレワーク時のセキュリティ対策をもれなく推進してください。より多くの企業が安心してテレワークを実現する事を祈っています。

端末上に保持されるデータの暗号化

暗号化は、端末上のデータへの不正アクセスを防ぐのに役立ちます。これは、本人や権限がある人以外には端末上のデータが読み取られないように情報を暗号化します。このセキュリティ対策は、デバイスを紛失したり盗まれたりした場合に特に重要になります。パスワードやPINコードがなくても、見知らぬ人がデータにアクセスするのを防ぐことができるからです。

公式がサポートしているOSのバージョンを利用する

オペレーティングシステムの開発者が最後のいくつかの主要なバージョンしかサポートしていないにもかかわらず、セキュリティ脆弱性は頻繁に発見されており、サポートされているかどうかにかかわらず、すべてのバージョンとすべてのバージョンに影響を与える可能性があります。サポートされていないバージョンでは、公開された脆弱性に対するセキュリティパッチが適用されず、あなたのデータが危険にさらされます。サポートされているバージョン、理想的には最新のバージョンを使用していることを確認することが重要です。
MacOSのアップデート画面

OSを最新の状態に保つ

セキュリティの脆弱性が開示されてから解決するまでの平均時間は2ヶ月以上です。これは、最良のケースを想定したシナリオであっても、公開までの期間はかなりのものであり、これ以上プロセスを遅らせないことが最善となります。セキュリティパッチをできるだけ早く入手するためには、お使いのデバイスで自動アップデートがオンになっていることと、頻繁にアップデートを適用していることを確認してください。尚、ほとんどの最新のデバイスでは、自動アップデートがデフォルトで有効になっています。

ソフトウェアを最新の状態に保つ

オペレーティングシステムの次の層は、ブラウザやオフィススイートなど、OS上で動作するソフトウェアです。これらもまた、脆弱性がある可能性があります。上記と同じ理由で、アプリケーションを最新の状態に保つことが重要です。ほとんどの最新のソフトウェアは、自動的にアップデートをチェックして適用するか、または適用を促すようになっています。それ以外の場合は、定期的に最新バージョンを使用しているかどうかを確認するようにしてください。

iPhoneのiOSアップデート画面

自動ログインを無効にする

自分だけがアクセスできるように設定されていない限り、端末の情報は実質公開されており、端末のデータは不正アクセスの対象になりやすいものです。このため、自動ログインが無効になっていることを確認し、電源を入れたりスリープ状態から再開したりする際には、パスワード、ピン、または生体認証に代わるものを活用することが求められます。パスワードまたはピンを他の人と共有するのは目的に反しますので、自分だけのものにしておきましょう。尚、最近のほとんどのデバイスでは、自動ログインはデフォルトで無効になっています。

自動ロックを有効にする

コワーキングスペースや、仕事をしていた喫茶店で端末から離れるときは、ロックをかけておくべきです。しかし、間違いは人間のすることであり、忘れてしまうこともあります。そんな時、自動ロック機能があれば、意図しないアクセスからデバイスを守ることができます。
macOSで即座にスクリーンセーバーを有効にする
モバイルデバイスの場合は30秒、ラップトップの場合は5分など、便利ではありますが不合理に長くならない時間を設定するようにしてください。尚、自動ロックは、ほとんどの最新のデバイスでデフォルトで有効になっています。

推測されにくいパスワードを使用する

端末を利用する際のパスワードが推測しやすいものであれば、その他のセキュリティ対策が全て無意味なものになってしまいます。同じ数字の繰り返し(例: 000000)、連続した数字(例: 123456)など、推測されやすいパスワードの利用は絶対に避けるようにしてください。一般的なパスワードのリストをチェックして、推測しやすいものを使わないようにしましょう。

SplashDataによる、最もよく使われるパスワードのトップ25

その他にも、生年月日、ナンバープレート、ドア番号など、端末を利用する人に関連するデータを利用するパスワードは避けましょう。安全なパスワードは、本人以外にはランダムに見えるはずです。

パスワードマネージャを使用する

一般的に、他人に自分のパスワードやピンを知られたり、推測されたりすることは避けたいものです。また、誰かがそれらのうちの1つにアクセスした場合、それ以外のデバイス、アプリケーション、またはウェブサイトにアクセスされ、多くのデータに不正アクセスされる事は避けたいものです。データを安全に保つためには、すべてのパスワードとピンは一意で、適切な難易度を持ち、定期的にリセットする必要があります。そして、これを手動で管理するのは非常に面倒です。

パスワードマネージャーは、このような作業をすべて代行してくれます。強力なパスワードを作成して記憶したり、家族や友人と安全に共有したりすることができます。ほとんどのものは、安全なメモやクレジットカードの詳細、その他の種類の機密情報の保存にも役立ちます。中には、二段階認証の採用を容易にするものもあります。パスワード・マネージャーは、パスワードの衛生管理のために必要な面倒な作業の多くを自動化し、簡素化します。これは必需品です。

ここではBitwardenをお勧めします。無料プランと有料プランの両方に堅牢な機能を備えていること、OSSであること、ユーザーが望むなら自分でサーバー上に構築できること、セキュリティの監査ログが公開されていることなど、多くのセキュリティ上大事な遠く帳がございます。

OSSのパスワード管理ツールBitwarden

二段階認証を有効にする&認証アプリを使う

二段階認証とは、アプリやサイトへの身元確認に2つの異なる要素を使用することを意味します。1つ目の最も一般的なものはパスワードです。2 つ目の要素にはさまざまな形式がありますが、通常はワンタイムパスワード(OTP)です。

2 つ目の要素には、安全なものと安全でないものがあることを知っておくことが重要です。例えばSMSは人気のあるオプションですが、政府がSMSの番号と個人が一意であることを明示的に開示していないので、完全には安全でないと行けるかもしれません。なのでベストプラクティスは、Google AuthenticatorやAuthyのような認証アプリを使用することです。

どの2段階認証の手段を使うにしても、二段階認証を有効にすることで、詐欺、データ損失、または個人情報の盗難の可能性を大幅に減らすことができます。パスワードのみだと、攻撃する人は他人になり済ませる可能性が非常に高くなります。逆に認証アプリやセキュリティキーなど、OTPを利用していれば、攻撃社は他人になりすますことはほぼ不可能です。

Appleの2段階認証

二段階認証を有効にすることは、パスワードマネージャ、電子メール、オンラインバンキング、ファイルや文書のホスティングなど、機密データを保持するすべてのものに不可欠です。疑わしい場合は、有効にしてください。可能な限りあらゆる場所で有効にすることが重要です。

いつでも端末を探せるようにし、リモートからも端末を管理・制御する

デバイスの紛失や盗難などの状況によっては、リモートでデバイスの位置を特定して管理できることが非常に重要になります。特に管理できるようにしておく事は、攻撃者がどれだけの時間や決意を持っていても、自分のデータにアクセスすることを困難にします。まだ端末で有効にしていない人は、コロナウィルス対策としてテレワークを始める際に、是非実施してみてください。

Appleの提供するFindMyiPhone

利用をやめる端末からデータを完全に削除する

端末を貸し出したり、中古で打ったり、破棄したりするときは、端末上に残ったデータを完全に消去して工場出荷時の設定にリセットすることが重要です。そうすることで、一時的または恒久的にデバイスを制御できなくなった後にもデータにアクセスされるのを防ぐことができます。もし将来的に必要になると思う場合や、わからない場合はバックアップを取っておきましょう。一度端末を工場出荷時の状態に戻すと、端末上のすべての情報が削除され、二度とアクセスできなくなることを覚えておいてください。

公共、または信頼されていないネットワークでVPNを使用する

VPNは、インターネット上の別のネットワークに安全かつ暗号化された接続を確立し、そのネットワークを介してトラフィックをルーティングします。これにより、オンラインでのプライバシーと匿名性が大幅に向上します。これにより、ネットワーク上の攻撃者があなたのトラフィックを盗み見したり、あなたが何をしているかを傍受したりすることが非常に困難になります。また、ウェブサイトがあなたの本当の場所を知ることを防ぐことができますし、インターネットプロバイダがあなたの活動を監視したり、接続上のトラフィックシェーピングを使用したりすることもできます。

あなたの国でVPNを利用することが違法ではない場合、公共のネットワークでVPNを是非使用してください。コワーキングスペース、コーヒーショップ、レストラン、空港などのような信頼できない環境では、さらに一歩進んで常にVPNを使用することを推奨します。

対策漏れの最終確認に。テレワーク用セキュリティ対の確認項目 一覧

上記に記述してきたような、テレワークを行う際のセキュリティ対策チェックリストをまとめました。ご自身で使用したり、チームでリンクを共有したりして、テレワークを行う際に全員がベスト・セキュリティ・プラクティスに従っていることを確認してください。

1. 参考にすべき記事

  1. テレワーク従業員向けのセキュリティ対策及びその準備(この記事)
  2. Have I Been Pwned (HIBP)
  3. よく使われるパスワードの一覧

2. 端末を暗号化する

  1. Windows:BitLockerを有効にする
  2. macOS: FileVaultを有効にする
  3. Linux: dm-cryptなどを活用する
  4. Android: Android 6以降はデフォルトで有効
  5. iOS: iOS 8以降はデフォルトで有効

3. 端末のOSはサポート対応されているもののみを使う

  1. Windows: 定期的にこのリストを活用する
  2. macOS: セキュリティ・アップデートは、最新のメジャーバージョンとそれ以前の2つのバージョンを対象としています。(例:現在のバージョンがmacOS Catalinaの場合、macOS High Sierraとそれより新しいバージョンがサポートされている)
  3. Linux: ほとんどのアクティブなディストリビューションは十分にサポートされています。
  4. Android: セキュリティ・アップデートは、現在のバージョンと直近の2つの主要なバージョンを対象としています。例えば、現在のバージョンがAndroid 10の場合、それはAndroid 8とそれより新しいバージョンがサポートされていることを意味します。
    1. お使いのデバイスに定期的にセキュリティパッチが適用されていることを確認してください。少なくとも数ヶ月ごとにそれらを取得しているはずです。そうでない場合は、アップグレードを検討するか、LineageOSがあなたのデバイスを公式にサポートしているかどうかを確認してください。
  5. iOS: セキュリティ・アップデートは、最新のメジャーバージョンとそれ以前の3つのバージョンを対象としています。(例:現在のバージョンがiOS 13の場合、iOS 10とそれより新しいバージョンがサポートされていることを意味します)。

4. オペレーティングシステムを最新の状態に保つ

  1. お使いのデバイスのオペレーティングシステムが最新の状態になっているかどうかを確認してください。(注意: ほとんどの最新のデバイスでは、自動アップデートがデフォルトで有効になっています。)

5. ソフトウェアを最新の状態に保つ

  1. お使いのデバイスでソフトウェアが最新の状態になっているかどうかを確認します。(注: ほとんどの最新のソフトウェアは、自動的にアップデートをチェックして適用するか、または適用するように促されます。それ以外の場合は、定期的に最新バージョンを使用しているかどうかを確認してください)。

6. 自動ログインを禁止する

  1. デバイスの自動ログインを無効にします。(注意: ほとんどの最新のデバイスでは、自動ログインはデフォルトで無効になっています)。

7. 自動ロックを有効にする

  1. デバイスの自動ロックを有効にします (注意: ほとんどの最新のデバイスでは、デフォルトで自動ロックが有効になっています)。

8. デバイスで推測しにくいピン/パスワードを使用する

  1. 推測しやすいものを使っていないかどうかを確認するために、共通パスワードのリストをチェックしましょう。
  2. 複雑なピンやパスワードを選択します。生年月日、ナンバープレート、ドア番号などの入力は避けてください。

9. パスワードマネージャを使用する

  1. パスワードマネージャーをダウンロードする。Bitwarden / 1Password / LastPass

10.  2段階認証を有効にする

  1. 第二段階認証には安全なものを選びましょう。推奨:SMSは避けて、認証アプリを選ぶ。
  2. パスワードマネージャ、電子メール、オンラインバンキング、ファイルおよびドキュメントのホスティングなど、重要なアカウントの二段階認証を有効にします。

11. デバイスの検索とリモートワイプを有効にする

  1. Windows:設定>アップデートとセキュリティ>マイデバイスの検索で有効にします。
  2. macOS: お使いのデバイスでiCloudを設定します。設定」>「あなたの名前」>「iCloud」>「マイMacを探す」で有効にします。
  3. Linux:サードパーティ製のアプリケーションが必要ですが、特に推奨するものはありません。
  4. Android:お使いの端末にGoogleアカウントを設定します。そうするとデフォルトで有効になります。
  5. iOS:お使いのデバイスでiCloudを設定します。設定 > あなたの名前 > iCloud > マイiPhone/iPadを検索で有効にします。

12. 処分したデバイスを拭く

  1. Windows: Microsoftのガイドに従ってください。聞かれたら、「すべてを削除」を選択します。
  2. macOS: Appleのガイドに従ってください。
  3. Linux: Archのガイドに従ってください。そして、distroを再インストールしましょう
  4. Android: 設定>システム>リセットオプション>すべてのデータを消去(工場出荷時リセット)に進みます。
  5. iOS: 設定 > 一般 > リセット > すべてのコンテンツと設定を消去します。

13. 公共または信頼されていないネットワークでVPNを使用する

  1. あなたの国でVPNが合法かどうかをチェックしましょう
  2. VPNをダウンロードしましょう、Mullvadがおすすめです。

14. テレワーク時に従業員が気をつける事

  1. 送信者のことを知らず、信頼していない場合は、メールの添付ファイルを開かないようにしましょう。
  2. ダウンロードしたファイルを実行しないでください。
  3. Windows ストア、Apple ストア、Google Play など、ベンダーの公式ストアやリポジトリからのアプリケーションを優先します。
  4. ブラウザや他のプログラムのプラグインは、そのソースが信頼できるものであることを確認しない限り、避けてください。
  5. ブラウザやオペレーティングシステムの警告を適切に確認せずにクリックしないでください。

結局、アクセスしている人が総理大臣だろうが、どこかの学生であろうが、関係ありません。それが個人のデータであろうと、企業のデータであろうとも、関係ありません。個人情報を非公開にするためのベストプラクティスに従うことで、端末を安全に保つことが最も重要です。組織規模や単位は重要ではないのです。

幸いなことに、オンライン環境におけるデータの保全を実現するために必要なセキュリティ対策はそれほど複雑なことではありません。たった一度だけの行動と一握りのシンプルな習慣が、長いテレワーク環境への対応を推進します。データセキュリティに関して、銀の弾丸は絶対にありません。しかし上記のステップを踏むことで、テレワーク時など様々な労働環境においても、安全性とプライバシーの両方を向上することができます。この記事が少しでも多くの企業のテレワーク対応を安全に推進できれば本望です。

SNSでもご購読できます。

コメントを残す

*