弊社内でも急速に広まったテレワークという働き方はGoodだなと思う反面、
セキュリティという面から見ると「色々と手間が増えるなあ」と思うことも多いです。
実際に運用してみていろいろな課題もぽつぽつ出てきたところでしたが相談する相手もおらず、
一人唸っていたとき、中小企業庁からのアンケートに答えていたらこんな物を見つけました。
リーフレット「テレワークのセキュリティ あんしん無料相談窓口」
普通こうしたコンサルティングには当然フィーが必要ですし、思っている以上に高いものです。
でもこれは中小企業庁が費用負担してくれているのでなんと無料。大変オトクなサービスです。
質問内容
弊社には社内システムを専門にするエンジニアはおりません。バックオフィスを担当する私が基本的なことからお伺いしたいと思いました。
現在PCを社員に貸与してテレワークを行っています。自宅にインターネット環境がない社員にはWi-Fiルーターを貸与しています。IT資産管理システム等は導入しておりません。
社員には最新状態でウイルス対策ソフトを導入した上で貸与し、中小企業向けセキュリティ対策の内容を発信するなどは行っています。その他、業務になるべく支障をきたすこと無く、経営側でできる対策をお伺いしたいです。
PCを最新状態に維持すること、対策ソフトを導入することはある程度備えとして必要だと考えてはいましたが、それを前提に、危ない橋は渡らないということを意識してもらうため、注意事項等をシェアすることでセキュリティ意識を高めてもらうことはそれと同程度に重要だとは漠然と考えていました。
さて、どのようなアドバイスを頂けたのでしょうか?
まずは会社がもつ情報資産を洗い出す
具体的な対策を施す前にやることは会社が持っている情報資産を洗い出すことだそうです。
確かに、そもそもうちにはどのような情報資産があるのか?これまでは一度も真剣に検討したことがありませんでした。
例えばIT関係の会社といってもWeb制作、システムコンサルティング、受託開発といった法人向けのビジネスもあれば、SNSやメディアなど個人向けで個人情報も多く扱うサービスが有る会社では全く扱う情報が違います。
それでは、具体的に会社の「守るべき情報」は何かということを考えました。
弊社の場合は顧客情報、社員情報、取引先情報、官公庁入札情報などが思いつきました。
これらの情報についてのリスクも考えてみました。社員の氏名、住所、マイナンバーなどの個人情報や顧客情報、取引先との契約条件等が流出したらかなり大変です。
これらの情報資産はかなり気をつけて守らなければなりません。
一方で、一見重要そうな官公庁の入札情報については調べようと思えば公開されているものです。
経済的価値は高いかもしれませんが、外部に漏れたとしてもほとんど問題ない情報資産です。
ですから、このとき外部に流出した場合より大きなリスクがあるのは、入札情報よりも社員情報や顧客情報だと考えました。
このように、まずは自社が持つであろう情報資産を洗い出し、リスクについてマッピングする。
たったこれだけで結構スッキリとしましたし、何にコストをかけて対策をすべきかがわかりました。
影響の大きくない情報資産に関しては既存のツールやシステムを適切に利用するだけで、十分守れるのではないかと安心できるようになりました。
テレワークのリモートアクセスセキュリティをどうするか?
次に気になっていたのはテレワーク環境でのセキュリティです。具体的には社外端末からの社内の情報へのアクセスです。
不正アクセスというとハッキングというイメージがありますが、現実的に発生する不正アクセスの多くはIDとパスワードを窃取されたことによるアクセスだと聞いたことがあります。また、コワーキングスペースやカフェでの仕事はかっこいいですが、現実的には背後の見知らぬ人からの視線はすこし不安に感じることも多いです。
テレワークで外部ネットワークから会社内部のネットワークに簡単にアクセスできるようにするのは便利な反面、ログイン情報がバレてしまえば、社外の別人や外部端末から簡単に社内ネットワークにアクセスされてしまうというリスクも抱えてしまいます。
目下感染症対策としてテレワークを推進することが求められている中で、できる限り支障をきたすことなく、業務を遂行させるにはリモートアクセスは必要です。そこで今一度、外部からのアクセス方法やセキュリティ対策についてお伺いしました。
悪意のある第三者によるなりすまし対策
まず社外からのアクセスが容易にできるとなると、悪意のある第三者によるID/パスワードの窃取等により、社内システムが不正アクセスされるリスクがあります。
これについてはクライアント証明書を活用する方法があるそうです。一般的なWindowsであればActive Directoryを導入して発行させることができます。更にRADIUS認証と連携させることで無線LANの接続もIDとパスワードを使わずにクライアント証明書で認証できるようになります。
多くの会社ではVPNを用いて外部からの社内ネットワークへのアクセスを認証しています。IDやパスワードによる従来型の方法もよく見受けられますが、クライアント証明書やMACアドレスなどの端末固有の情報による認証というのもあるそうです。
- Active Directory証明書サービス(AD CS)を使うには?
- ネットワークデバイスの管理用パスワードを集中管理しよう
- Active Directory の侵害の兆候を監視する
- 「Windows 10」でデバイス管理が楽に、そして安くなる?
ただ弊社のような小さい法人には社内ネットワークと呼べるものはほとんどありません。現在はほぼすべての経営に関するシステムはSaaS型のサービスを活用しています。
こうした場合はログインに必要なユーザーの認証方法についてID/パスワード+生体認証等による二要素認証や二段階認証が推奨されます。
確かにこれまでIDとパスワードだけでログインしてきましたが、Smart HRやマネーフォワードなどのSaaSサービスもGoogle Authenticatorの2段階認証が実装されてました。
セキュリティの低い無線LANを利用することのリスク
テレワークとなると家では無線LANを活用することが一般的かもしれません。
会社によっては家でもなく会社でもないシェアオフィス等での執務も許可していることもあるでしょう。しかし、公衆WiFiはなるべく禁止としたいところです。私用であれば使ってしまいがちですが個人情報や会社の口座情報等を扱うのであれば、悪意のある第三者に通信内容を傍受されるリスクは避けましょう。
最近流行りのコワーキングスペースであれば、スタバやマックのWiFiほどではないですが、共有のパスワード等が掲示されているので一度知ってしまえばスペースの外からアクセスする悪意を持つ人もいる可能性があります。ですから、コワーキングスペース等を利用させる際は社員用にモバイルルーターを提供するのが良いですよね。
弊社では多くのシステムをSaaSを活用しています。これらのサービスは通信が暗号化されており、サーバー自体の不正アクセス対策も自社よりは強固に対策を講じていると考えています。これらのサービスを使う際も、なるべく共用WiFiではなく会社が契約したモバイルルーターからアクセスさせるだけでも一段とセキュリティは高まりそうです。
しかし、ここで一つ落とし穴がありました。弊社でもモバイルルーターの貸与を実施していました。
しかし暗号化がどういった方法かまでは把握していなかったので、暗号化方式がWPS2-ASEではなく、WPA2-TKIPという機種もありました。現在はWPS2-ASEが推奨されているということです。こうした情報までは業者に直接聞いてみないと分かりませんから、弊社のように確認していなかったという会社もありそうだなと感じました。
また、モバイルルーター契約の際は免責事項を確認することもおすすめされました。免責事項等は目を通していなかったので目からうろこでした。また、コワーキングスペース等で仕事をする際は単純に物理的な情報漏えいの可能性が生じてきます。端末にのぞき見防止フィルターを取り付けるのは必須ですね。
- 公衆無線 LAN 利用に係る脅威と対策
- Docomo 18. スマートフォンご利用の際の注意事項 テザリング
- ソフトバンク モバイルデータ通信ネットワークサービス契約約款【エンドユーザ編】
- モバイルルータ(ポケットWi-Fi) 約款・利用規約 (UQ WiMAX)
- 「au Wi-Fi SPOT」利用規約:au Wi-Fi SPOT
家のインターネット環境を使うときに検討すること
在宅勤務の際にモバイルルーターを貸与していない場合は原則、社員の家のインターネット環境を使うことになります。しかし、その際に自宅のWiFiルーターで何年も前のものを使っていることがあります。実はこれもまたセキュリティリスクにつながることがあるそうです。
ルーターは小さなコンピューターですから定期的にファームウェアをアップデートすることが必要です。メーカーサポートが終了している古いルーターは古い暗号化方式しか対応していません。WiFiの暗号化方式が古いと解読されてしまう恐れがあります。こうした場合は買い替えてもらうか、数千円のものもありますから会社から提供したほうが良いかもしれません。現在であれば、WPA2もしくはWPA2-PSK(AES)を利用すること、そしてWEPなど古い規格は利用しないということが大切です。
また、自宅の無線環境を使うとなると同じルーターを使うことが多くなると思います。
もし社用PCを貸与するのであれば私用PCがウイルス等に汚染した場合、同一LAN上にあるということになるので社用PCの方にも感染させてしまう可能性があります。こうした場合をなるべく避けておくため、無線ルーターに備わっているプライバシーセパレーター機能をオンにすることが望ましいそうです。
これらの対策をくぐり抜けてくる猛者による不正アクセスにより、データを窃取/改ざんされるリスクに対しては以下の対策が考えられます。
【推奨】ローカルディスク暗号化
【任意】ドキュメント権限管理・データ暗号化
【任意】ローカルディスクへの保存禁止
また、Windows10には標準でBitLockerというローカルディスク暗号化ソフトが入っていますのでこれを活用すればすぐに暗号化できます。起動時にパスワードを入力するか、ICカードなどを挿入すれば自動的に暗号化が解除された状態でファイルにアクセスできるすぐれものです。
テレワークで起こりやすい端末の紛失対策
前職ではリモートワークが推奨されていたのでよく端末を持ち帰ることがありました。
その際何重にもセキュリティ対策がされていたのですが、それでも防げないセキュリティインシデントがありました。それは、端末の盗難/紛失という事故です。
リモートワークを推奨すればするほど端末は移動しますから、その分だけ置き忘れたりする可能性は高まります。
「肌身はなさずPCを持って・・・」という教育も必要ですが、根本的には情報をローカルディスクに保存しないということが一番です。
弊社ではGoogle Cloud上のみに情報を保存するようルールを作ったり、ローカルディスクに保存していないか定期的にチェックさせるなどなるべくローカルにデータがない状態を作ることにしました。
情報の不正持ち出し対策
あまり考えたくはないものの、社員や関係者の故意、または過失により、不正なデータ持ち出しを行うリスクもあります。
悪意があれば完璧に防ぐことは極めて難しいとは思いますが持ち出しルールは確実に必要ですね。
またActive Directoryのグループポリシー設定によりUSBメモリの接続を制限する事もできるので無料で対策を講じることもできます。
弊社でもデータはクラウド上に保存させ、USB等は使用不可にするだけである程度効果が期待できそうです。
また、改正個人情報保護法についても教えていただきました。
他にも、万が一の紛失・盗難時に情報漏えいを防ぐため、端末のリモート管理についても標準的な機能で対策することができます。
- 紛失した Windows デバイスを探し、ロックする
- [iPhone、iPad、iPod touch を紛失したり盗まれたりした場合]
(https://support.apple.com/ja-jp/HT201472) - 紛失した Android デバイスの位置の特定、ロック、データ消去を行う
脆弱性やマルウェア対策
一番最後になりましたが、いわゆるセキュリティ対策というと一番イメージされるウイルス対策も当然検討しておくべきですね。
これは端末のOS/ソフトウェアの適切なプログラム更新、パターンファイルの最新化を徹底することになります。あとはネットワークのセキュリティ対策の実施はできますね。先程も取り上げた無線WiFiの暗号を強化するなど、脆弱性やマルウェアを仕込むクラッカーが面倒だからターゲットにしたくないと思わせるような対策をできる限り多くとっておくことが大切になりそうです。
かつてはノートンやウイルスバスターなどどんなパソコンにも導入されてた記憶がありますが、現在はウイルス対策ソフトの導入には賛否あるようです。しかし会社としてはセキュリティ対策を可能な限り実行していたという外部への説明責任の問題があります。そういった観点からセキュリティ対策ソフトを導入することは必要と考えて良いかもしれません。
また在宅勤務でリモート接続を許可するのであれば、それらの外部からの通信に対して以下のセキュリティ対策を実施することも推奨されるとのことです。(例:ファイアーウォール、IPS/IDS、サンドボックス、アンチウイルス等)
情報セキュリティポリシー(ルール)の作成をどうしたらいい?
弊社でも情報セキュリティポリシーを作成しましたが、セキュリティポリシーというのは気を抜けばいつの間にかお題目になりがちです。
弊社のような悩み多き会社で情報セキュリティポリシーをうまく作成し、運用するためのコツをお伺いしました。
これには、まず経営者と情シス担当者のリテラシーのギャップを埋めることが重要だということです。ポリシーの基本方針を決めることで、その方針に基づいてリスクの対策(軽減、回避、転嫁、受容)が可能となります。すると、冒頭取り上げたように、「うちの会社では何を情報資産だと考えているのか?」「守るべき情報はあるか?」がわかります。これを経営者も意識していれば、情シス担当者もその後のリスク対策は講じやすくなるはずです。
こうした共通見解を持っておくことによって、部門を跨ぐ場合でも経営者の方針の元で協力が得やすくなる効果もあるそうです。リテラシーギャップがあまりに大きい際は経営者、他部門などに対して情シス担当者だけが説得するのではなく、外部のコンサルタントとして無料相談窓口を活用する事も検討してほしいということでした。
具体的なポリシーのイメージとして、同業他社のセキュリティポリシーページを参考にすることもおすすめだそうです。
- [一般財団法人 環境イノベーション情報機構 情報セキュリティ・環境マネジメントの取組み]
(https://www.eic.or.jp/eic/aboutus/approach/) - 中小企業の情報セキュリティ対策ガイドライン(ルールを作成する際に参考となるセキュリティガイドライン)
- 付録5: 情報セキュリティ関連規程(サンプル)
また、セキュリティアクション宣言をすることもおすすめして頂きました。このセキュリティアクション宣言をすると、SECURITY ACTION ロゴマークをポスター、パンフレット、名刺、封筒、会社案内、ウェブサイト等に表示して、自らの取組みをアピールすることができます。また、情報セキュリティへの取組みを宣言している中小企業等としてSECURITY ACTIONのウェブサイトに掲載されます。弊社もセキュリティについて取り組みを自己判定し、2つ星を宣言しています。
テレワーク環境下におけるセキュリティ教育をどうやったらよい?
テレワークはコミュニケーションが少なくなりがちですが、話題をつくることも一苦労なのはどこの会社も同じようでした。
例えば情報セキュリティを話題として、皆さんから問題点と改善案をざっくばらんに話し合う機会を定期的に持つ、情報漏洩やウイルス感染などが発生した場合の報告を記録し、よくある情報漏洩事例を元に原因、対策を伝えるなどの取り組みも教えて頂きました。
セキュリティインシデントが発生すると隠したくなるのが人の性ではありますが、個人的にはそういうヒヤリ・ハットこそ気軽に報告してみんなで対策を考えられる心的安全性がある会社にしたいです。
インシデントについて年間を通して情報漏洩が少なかったチームを表彰し、工夫した点などを情報共有してもらうといったことも有効だということです。面倒なことが多い情報セキュリティ対策ですが、そのセキュリティ意識の高さについてもみんなで作り上げていくモノという認識が得られることが成功のカギになりそうです。
今回相談したテレワークのセキュリティについての無料相談窓口
弊社のようなあまり予算を掛けられない小さな会社でかつセキュリティに詳しくない担当者でも取り組めそうなお話を伺えて大変参考になりました。
今回のような初歩的なところのお話はもちろんですが、より疑問が湧いた場合であっても何回でも相談できるとのことです。
これだけ良いサービスなのにあまり知られていないようで残念です。
ラックさんとしてもよりたくさんの企業に使っていただきテレワークのセキュリティについて広めていきたいそうです。
もしよろしければ、みなさんもお気軽に相談してみてください。