No253 テレワークでは何に気を付けるべきか
前回に続きIPAから発表された「情報セキュリティ10大脅威2022」について解説をします。
今回は組織編(主に会社などの組織が留意すべき脅威)のうち、対策がわかりにくいテレワークについての概要を解説します。
1. 情報セキュリティ10大脅威(再掲)
IPA(独立行政法人 情報処理推進機構)が毎年2~3月に「情報セキュリティ10大脅威」を発表しています。これは毎年のセキュリティ事故や事件の中で社会的に影響が大きかったとされる10種類の脅威を有識者の審議と投票で決めたものです。
その「情報セキュリティ10大脅威」の2022年版(内容は2021年の事故や事件に関するもの)が3月に発表されました。
「情報セキュリティ10大脅威 2022」を公開
https://www.ipa.go.jp/security/vuln/10threats2022.html
※詳しくは「No250 『情報セキュリティ10大脅威2022』が発表」をご覧ください。
https://note.com/egao_it/n/n2d25afd9183b
組織向けの10大脅威
1位 ランサムウェアによる被害(前年1位)
2位 標的型攻撃による機密情報の窃取(前年2位)
3位 サプライチェーンの弱点を悪用した攻撃(前年4位)
4位 テレワーク等のニューノーマルな働き方を狙った攻撃(前年3位)
5位 内部不正による情報漏えい(前年6位)
6位 脆弱性対策情報の公開に伴う悪用増加(前年10位)
7位 修正プログラムの公開前を狙う攻撃(ゼロデイ攻撃)(初登場)
8位 ビジネスメール詐欺による金銭被害(前年5位)
9位 予期せぬIT基盤の障害に伴う業務停止(前年6位)
10位 不注意による情報漏えい等の被害(前年7位)
この中でも以下の3つは中小企業こそ注意が必要な脅威だと筆者は思います。
1位 ランサムウェアによる被害(前年1位)
3位 サプライチェーンの弱点を悪用した攻撃(前年4位)
4位 テレワーク等のニューノーマルな働き方を狙った攻撃(前年3位)
No251と252で、一位と三位について解説をしました。
https://note.com/egao_it/n/ndd5bad0f64a0
https://note.com/egao_it/n/nd14ee8d1120e
2. そもそもテレワークとは?
テレワークというのは、ネットワークをうまく利用して、勤務先以外で業務を進める方式を言います。
当然ながら、テレワークに向く業種・職種、向かない業種・職種があります。
例えば、小売店の販売員、タクシーやトラックなどの運転士、製造業の製造担当者といった職種はリモートワークに向いていません。
ですが、同じ業種でも小売店の仕入れ部門、タクシーの配車サービス、製造業の設計部門といった職種ではリモートワークが可能なケースもあります。
また、テレワークと言ってもいろんな方式があります。
1 社内のパソコン(PC)を自宅や出先から遠隔繰作(リモートデスクトップ)する
2 自宅や出先からにクラウドサービス経由でログインする
3 自宅や出先でパソコンとメールを使って仕事する
4 紙の書類だけで仕事する
業務を進める上では通常は秘密情報が必要となります。
「秘密情報」というのは非公開情報の全てで、何も国家機密のようなものを指すわけではありません。
例えば、お客さんの住所や部署名、取引履歴といった取引先の情報、自社製品の開発情報、社員の給料といった自社の情報などは全て秘密情報です。
3. 秘密情報がどこにあるかを意識する
テレワークを行う際には「秘密情報がどこに保管されているのか?」という視点が大切になってきます。
というのは、保管する場所が違えば、ガードを固めるべき場所も違ってくるからです。
例えば、上述の「1 社内のパソコン(PC)を自宅や出先から遠隔繰作(リモートデスクトップ)する」のケースはどうでしょうか?
リモートデスクトップでは秘密情報はずっと自組織の中に置いたまま、作業を行います。
ここで、「え?リモートデスクトップって秘密情報は手元に持ってきてるんでしょ?」と思われた方、次節をご覧ください。
自宅に秘密情報がないのであれば、自宅をそれほど厳しく守る必要はありません。
逆に、社内に入れるルートをいかにガードするかが重要です。(このあたりは次回のケーススタディで詳述します)
これが、「2 自宅や出先からにクラウドサービス経由でログインする」になると、秘密情報は自社にも各メンバの自宅にもありません。
これは気楽ですが、逆にクラウドサービスに自社の情報を全てを預けることを意味します。これをメリットと見るかデメリットと見るかは何とも言えません。
さらに、「4 紙の書類だけで仕事する」の場合は秘密情報を自宅に置いておくことになりますが、いわゆるサイバー攻撃にはかなり強い(インターネット経由で自宅の紙を盗み取ることは難しい)ため、盗難(空巣や泥棒)対策が有効です。
このように情報が保管されている場所によって、強化すべきポイントはまるで違ってきます。
4. リモートデスクトップはテレビといっしょ
上で、「リモートデスクトップでは秘密情報はずっと自組織の中に置いたまま作業を行います」と書きました。
「そりゃそうでしょ」と思われた方、次節までスキップしてください。
「え?え?どういうこと?」と思った方、リモートデスクトップというのはあくまで幻影であって、手元には何もないんです。
リモートデスクトップはテレビと同じと考えてください。
テレビの中にアイドルや有名人が入っていると思っている人はいませんよね。
スタジオカメラで撮影したデータをテレビ画面に送信してきているわけですよね。
リモートデスクトップも同じで、実際のファイルを作ったり変更したりしているのは、接続先のリモートコンピュータ側でやっているのです。
手元には、接続先のリモートコンピュータから来た描画命令に基づいて絵を描いているだけです。「画面のココに○○を描いて、次にソコに△△を描いて、最後にマウスカーソルを描いてね」みたいな感じです。
手元のパソコンはそれを忠実になぞっているだけなんですが、ほぼ遅延なくそれをやってくれますから、まるで手元にホントにコンピュータがあるかのようにしか見えません。
でも、それはテレビと同じで幻影に過ぎないのです。
これを「手元にデータがある」と誤解すると、情報のありかを間違います。
その前提で情報セキュリティ対策を行うと、全く効果のない間違った対策となってしまいます。
十分にご注意ください。
5. 秘密情報をどこで使うかも考える
テレワークではもう一つ重要なポイントがあります。
それは業務を行う場所という視点です。
テレワークと言うと自宅を思い浮かべる方は多いでしょうが、移動中の電車や喫茶店を利用する営業担当者は多いですし、他にもインターネットカフェやレンタルオフィス、自習室といった場所貸しサービスも増えています。
最近では、ワーケーション(ワーク+バケーションの合成語)のようにリゾートホテルなどに滞在し、昼間は室内で仕事をするといったスタイルも出てきていますよね。
他人の目のある場所で多用する場合は、覗き見防止のプライベートフィルタ(斜めからは画面が見えなくなるフィルタ)が有効です。
また、パソコンを宅外に持ち出すことを許すのであれば紛失のリスクに備えるため、パソコン内のデータは全て暗号化させる、といった対策が必要です。
要は、運用の実態に合わせて、必要な対策も変わってくるのです。
6. まとめ
今回はテレワークの注意点について解説をしました。
テレワーク以前の情報セキュリティ対策では、組織内の情報さえ守ればOKでした。
ですが、テレワーク後の情報セキュリティ対策では、情報があちこちに分散してしまう可能性がありますから、どこにどんな情報があるかを把握することが大切になります。
守るべき対象を間違ってしまうと、せっかく労力をかけても効果は見込めないからです。
特にリモートデスクトップはあたかも手元にデータがあるかのように誤解しがちですが、データは全て通信先のコンピュータ上にあり、手元に一切データは来ていません。
この点が誤解しやすいのでご注意ください。
また、実際の操作を行う場所を考慮することも大切です。
例えば、宅内でのみ使うパソコンと、外に持ち出すパソコンとでは、取るべき対策が違ってきます。
このあたりの話を逐一やりますと、かなり退屈な話になりますので全てを網羅した解説は行いません。
ですが、事例ベースでのお話がないとイメージが湧きにくいと思いますので、次回はテレワークのケーススタディとして、具体的なお話をしたいと思います。
次回もお楽しみに。
(本稿は 2022年4月に作成しました)
このNoteは私が主宰するメルマガ「がんばりすぎないセキュリティ」からの転載です。
誰もが気になるセキュリティに関連するトピックを毎週月曜日の早朝に配信しています。
無料ですので、是非ご登録ください。
https://www.mag2.com/m/0001678731.html