いま、多くの企業で柔軟なスタイルで仕事をこなす「働き方改革」が注目されています。
いつでもどこでも仕事ができ、利便性が高まる一方、そこには攻撃者が目を光らせるポイントも増えてしまうというリスクもあります。
まずはその現状を踏まえ、テレワークで考えておくべきシステム側の対策、そして人の対策をすべきポイントを押さえておきましょう。
テレワークを望んでいたのは従業員だけじゃない?
いま「働き方改革」が注目されています。働き方改革では、自分が購入した私物のPC やスマートフォンを使って仕事をする「BYOD」(Bring Your Own Devices)や、自宅、外出先から企業のネットワークにつないで仕事を行う「テレワーク」が不可欠。これにより、自宅や外出先、出張先でも、事業を継続することが可能になります。昨今では「介護離職のリスク」や「育児への施策充実」も無視できません。いつでも、どこでも働けることは、企業の魅力につながり、多くの人が働きたい場所にするための、重要な施策といえるでしょう。
しかし、ここに問題があります。BYODやテレワークなどによりビジネスパーソンの
「利便性」が高まると、往々にして「セキュリティ」が下がってしまうことが多いのです。
テレワークを実践するということは、PCやスマートフォンなど、会社につながるデバイスを社外へ持ち出す必要があります。これまでであれば、オフィスのデスクにロックされ、大事に管理されていたデスクトップPC も、いまではほとんどの企業でノートPC に置き換えられるようになりました。持ち歩くということは「落とす」ことも想定できます。もしそのPC を「悪い人」が拾ってしまったとしたら、ネットワーク経由で堂々と会社のネットワークに侵入できてしまうかもしれません。
従業員にとって便利なことは、悪いことを考える人にとっても便利なのです。
狙われる理由は単純明快、そこに「お金」があるから!
ところで、「悪い人」はなぜ狙いを企業に定めているのでしょうか。結論を先にいってしまうと単純明快「お金になるから」なのです。例えば、マルウェアと呼ばれる不正プログラムは、大事に保管している顧客データや企業のマル秘情報をなんとかして盗み出し、ブラックマーケットで売りさばくことを目的としています。いまではクレジットカード情報は1 枚につき0.1 ~ 20ドルで取引されているといわれています。個人情報や企業の情報はお金になるのです。
さらに、最近ではPC のデータを勝手に暗号化し、取り戻したければ指定額のビットコインを支払えと脅迫する「ランサムウェア」の脅威も身近になっています。こちらは大事なプレゼン書類や見積書、営業資料を人質に、直接、あなたやあなたの企業から「お金」を奪うことを目的としています。
そのような現状において、悪い人は「テレワーク」はどう見るでしょうか。これまでであればインターネット上に「高い壁」があり、なかなか侵入をさせてくれない状況でした。ところが、テレワークが実践されるとその高い壁に「新しい入り口」ができたも同然です。テレワークで用意された「会社のリモートアクセスの入り口」に対し、こっそり盗んだ従業員の「ID」「パスワード」を使って、堂々と正面から入ってくることすら可能になるかもしれません。
テレワークは便利ながら、実はさまざまなセキュリティ対策が“ 必須” なのです。
テレワークは「セキュリティの総合格闘技」
そのようなリスクを下げるためには、テレワークにおいて「多層防御」と呼ばれる
ような、複数の手段を用いて守るという考え方をする必要があります。以前であれば
「セキュリティ対策はこの装置1 つで安心、大丈夫!」という考えもあったかもしれません。しかし、残念ながらそのような安易な時代は過ぎ去ってしまいました。
特に、モバイルPC やスマートフォンなどの「デバイスを管理する」こと、外出先や自宅から企業内につなぐための「アクセスラインの安全性確保」、さらには接続しようとしている従業員の本人確認を行う「認証」をそれぞれ考える必要があります。デバイス管理にはノートPC やスマートフォンを紛失したときに適切な対策ができるか、ロックや暗号化は適切にできているかなど、さまざまな対策を多層的に施さねばなりません。
セキュリティとは「鎖」であるとよく例えられます。皆さんの企業にも、PC 暗号化やVPN、ファイアウォール、シングルサインオンなどさまざまなセキュリティ対策が施されていると思います。それらは鎖を構成する「丈夫な鉄の鎖」として運用されています。ところが、そこに「使い回されたパスワード」や「アップデートしていないPC」「どこにあるかわからないスマートフォン」など、しっかり対策ができていない部分があると、セキュリティの鎖を引っ張ったとき、その「弱い鎖」「壊れた鎖」の部分で切れてしまいます。
