現在、オフィスに限定されず、自宅やコワーキングスペース、本社以外の拠点といったさまざまな場所で働ける機会が増えています。このような働き方は、自宅からオフィスまでの移動時間を減らし、流動的な人材確保も実現しました。
反面、テレワークやハイブリッドワークではセキュリティーリスクが増加しており、その対策が重要です。社内システムを運用するシステム管理者はもとより、利用する従業員全員がセキュリティー意識を高めることも必要です。
ハイブリッドワーク環境における新たなセキュリティー課題
テレワークやハイブリッドワークでは、ノートPCを持ち運ぶリスクや、オフィス以外のネットワーク環境へ接続するリスクなどが生じます。そのためオフィスで仕事をする時よりも強固なセキュリティー対策が必要となります。
従業員が認識すべきこと
ハイブリッドワークでは、社内データの取り扱い方や持ち出しが新たなセキュリティー課題となっています。社内情報が保存されたデバイスやデータを保存したPCやUSBメモリーなどを外部に持ち出すことは、紛失や盗難の危険が常に伴います。そのため、ノートPCや外部機器にデータを保存しない運用を徹底することがポイントです。データの保存先としては信頼できるクラウドストレージや自社サーバーを活用するのが良いでしょう。
また外出先のカフェやホテルなどで無料提供されている公衆無線LANにもセキュリティーリスクがあることを認識しておくべきです。
システム管理者が徹底すべきこと
新たなセキュリティー課題に対してシステム管理者ができることは主に3つあります。
1つ目は、ウイルスの脅威からPCを保護することです。OSの更新プログラムを適正にアップデートしOS起因の脆弱性を突く攻撃から守ることや、セキュリティーソフトを導入しパターンファイルを常に最新にしておくことを徹底することが大切です。
2つ目は、従業員によるソフトウェアのインストールを禁止することです。悪質なソフトウェアの侵入を防止しつつ、承認されたソフトウェアの脆弱性が発見されたときに素早い対応ができます。例えばWindowsでは、「ソフトウェアの制限のポリシー」を設定すれば、実行するソフトウェアの管理が可能です。また管理者権限のない「標準ユーザー」としてログインさせることで、インストールやセキュリティー設定の変更などを制限することができます。
3つ目は、従業員が社外秘の情報や機密情報を持ち出すデバイスはすべて暗号化することです。例えば、Windows Proエディションに標準搭載されている「BitLocker」を使えばドライブの暗号化と管理が容易となり、情報漏洩を防止することができます。
ここから、実際に起こったトラブル事例とともに対策を解説していきます。
セキュリティー事故例(1)紛失や盗難による情報漏洩
ハイブリッドワークでノートPCを持ち運ぶ機会が増えると、紛失や盗難リスクも高まります。個人個人が気を付けていても起こることなので、あらかじめ発生時の対処方法を決めておきましょう。
トラブル例:ノートPCの紛失・盗難による情報漏洩
電車移動中にノートPCを入れた鞄を置き忘れたり、カフェで席を離れたすきに置き引きにあったりするトラブル。十分に気を付けていても一瞬の隙に起きてしまいます。
対処例1:リモートロックし、内部データを消去
紛失や盗難時にリモートでロックとワイプ(消去)が可能なサービスに加入することも1つの方法です。サービスによっては、一定時間ネット接続が検知されないと自動でデータの不可視化や消去する機能を備えているので、システム管理者の負担を軽減できます。
対処例2:リモートでノートPCのおおまかな位置を特定
Windows 11の「デバイスの検索」機能は、「職場または学校」のMicrosoftアカウントでは利用できないため、代替のソリューションが必要です。前述したリモートロック・ワイプサービスには、Wi-FiやGPSを使い位置を特定する機能が付属しているものもあるため、初動調査としても利用できます。
セキュリティー事故例(2)公衆無線LAN利用で情報漏洩
公衆無線LANはカフェや駅、空港などで手軽に使えるようになりました。しかし、接続が安全かどうかを見極めるのは難しく相応のリスクもあります。安全性が確保できない公衆無線LANは利用させないことが重要です。
トラブル例:無料の公衆無線LAN使用時に不正アクセスで情報漏洩
カフェやホテルなどで、利用する施設名のSSIDに接続したつもりが、なりすましSSIDだったため不正アクセスを受けて情報漏洩したトラブル。SSIDは、アクセスポイントのオーナーであれば自由に名前の変更ができます。つまり、悪意を持った他人がWi-Fiルーターを用意し、SSIDに多くの人が利用する施設と同じSSIDを設定することで、なりすましは簡単にできてしまいます。
対策例1:モバイル通信5G/LTE対応ノートPCを導入する
根本的な対策としては、5GやLTE(4G)のモバイル通信機能を搭載したノートPCを導入して、外出先で公衆無線LANを使用させないことです。すべてのノートPCをモバイル通信対応機種にすることが難しいときは、一部の従業員へモバイルWi-Fiルーターを配布する方法も効果的です。
対策例2:VPNを経由する
インターネットは、多数のサーバーやルーターを経由する仕組みになっています。インターネット接続を使いつつ、バーチャルなトンネルによる専用線を接続し、その間で暗号化された通信を保つ機能をVPN(Virtual Private Network)といいます。
VPNを使って社内にリモートアクセスするには、自社との接続をセキュアにするためVPNサーバーを自社内に設置したり、クラウド型リモートVPNサービスを契約したりします。なおクラウド型の接続サービスを使う時は、信頼ある法人向けサービスを選ぶとよいでしょう。
セキュリティー事故例(3)脆弱なVPN機器へ不正アクセスされ情報漏洩
VPNを導入しているから安心とはいえません。更新されていないVPN接続機器が不正アクセスされたり、ランサムウェア攻撃を受けたりと、脆弱なVPN機器は攻撃対象になることもあります。
トラブル例:脆弱なVPN機器に不正アクセスされ情報漏洩
社内のリモートアクセスにVPNを使用していたが、ファームウェアが最新にアップデートされていなかったため、脆弱性を突かれて不正アクセスされたトラブル。システム管理者の管理体制が問われる問題でもあります。
対策例1:強固な認証システムの導入
社内でVPN接続機器を利用している場合は、脆弱性対策された常時最新のファームウェアにアップデートすることが前提です。接続時に電子証明書を使ったなりすまし防止策や、別途サーバーを増設しワンタイムパスワードなどで多要素認証を行うことも対策になります。
現在の多要素認証では、パスワードやPINなどの「知識」、SMS送信や認証アプリ生成によるコードの入力、セキュリティキーデバイスなどの「所持」、指紋や顔、静脈などの「生体」から2つ以上を組み合わせてログインする方法が一般的です。
対策例2:安全なクラウド型VPN接続サービスを導入する
自社内でVPN接続機器を管理することは、管理リスクや機器更新の費用もかかります。これを解決してくれるのが、クラウド型のVPN接続サービスです。
自社内に設置したVPN接続機器はファイアウォールを経由するため、機器がボトルネックになり接続が遅くなりがちです。その点クラウド型であればセキュリティー・ゲートウェイを通して接続人数に応じスケールアップしていくような柔軟な対応ができます。
接続には電子証明書ではなく、独自の強力な個体認証技術を使い接続の安全性も高く保てるサービスや、VPN機器が弱いといわれるDDoS攻撃にも対応する次世代のリモートアクセスといえるサービスも登場しています。セキュリティー対策に悩んでいる場合は、これらのサービスの導入を検討する価値は高いでしょう。
まとめ
ハイブリッドワークの拡大によって、新たなリスクも発生することが考えられます。その度にシステム管理者は、システム設計を柔軟に対応させていくことが求められます。新しいサービスにアンテナを張っておき、利用者が使いやすく安全な方法に更新していく意識を持つことがポイントです。
もちろんセキュリティー意識はシステム管理者だけでなく、利用する従業員も高めていく必要があります。それでもトラブルをゼロにすることは難しいでしょう。もしトラブルが起こってしまったときに備えて社内への報告ルートと担当者を明確にしたり、従業員の対応方法をマニュアル化したりと対処方法を可視化することも重要です。