法人のお客さまに起こりがちな状況
テレワークが浮き彫りにするその場しのぎのセキュリティ対策
新型コロナウイルス(COVID-19)の爆発的な流行に伴い、日本でもテレワークを導入する企業が増加しています。
4月16日には政府が特別措置法に基づく緊急事態宣言を全都道府県に拡大したことを受け、この流れはさらに加速するでしょう。
しかし、普段からテレワークの実施を前提として体制を整えていた企業はほとんどないのが実情ではないでしょうか。
結果として、現在多くの企業で問題を抱えながらテレワークを行っている現状が見受けられ、中でも問題に思えるのは、セキュリティに関する対策です。
データや情報の価値が高まっている現代、その場しのぎの対応によってできたセキュリティホールは、悪意を持った人間にとって格好のターゲットとなります。
現状を一度整理して、テレワーク体制を整えるために必要なセキュリティ対策は何なのかを考えてみましょう。
大手から中小企業まで、今テレワークの導入が加速しています。
安倍首相は緊急事態宣言の発出の際「最低でも7割、極力8割、人との接触を減らしていただきたい」と語っています。
事業所によっては数十人から数百人が一度に集まる「密集」、事業所と言う「密閉」、隣と1メートル程度しか離れていない「密接」のいわゆる三密の条件を満たしている、まさに対策が必要な空間といえます。
企業としても現在感染者が出た事業所は閉鎖するなどの対応を行っているケースが多く、BCP(Business Continuity Plan 事業継続計画)の観点からも、テレワークによるリスクヘッジが必要であるとの認識が高まっている状態です。
さらには出社時の満員電車やエレベーター、果てはお昼ご飯に立ち寄る飲食店など、三密をすべて避けることは至難の業といえます。
こうした中、各地で極力人と人との積極を避ける方法としてテレワークが推進されています。
東京都でも小池知事がテレワークの推進を前倒して進める意向を見せました。
このような社会からの要請に応えるべく、大企業や中小企業といった企業規模を問わずテレワークの実施を行い、日中の外出が最小限になるよう各社工夫を凝らしている状況です。
情報セキュリティ面はおろそかになっていませんか?
テレワークの導入が一気に進んだことで、国家の危機と言えるこの状況に一定の改善効果が見込めそうな一方、システム面での負担が情報システム部門に大きくのしかかっています。
今回は特にスピード勝負なところがあり、「業務を止めないこと」を最優先とした結果セキュリティ対策については十分な議論を行えないままテレワークの実施に踏み切った企業も多いのではないでしょうか。
テレワークを行うにあたって必要なこととして、パッと考えただけでも以下のような内容を考える必要があります。
※もちろんこれら以外にも多数の検討が必要です
- 誰を対象とするのか?
- 営業は?バックオフィスは?カスタマーサポートは?
- 端末はどうするのか?
- ノートPCを会社から支給?個人のPCで作業してもらう?シンクライアント導入?
- 社内サーバへの接続はどうするのか
- 個人の端末に必要なデータを落としてもらう?VPNで接続?オンラインストレージに乗せる?
- BYODの場合セキュリティソフトを指定するべきか?
- 作業しても良い環境についてどう規定するべきか?
- セキュリティアラートをどのようにして挙げてもらうか?
こうした内容について、本来は会社としてのガイドラインや事前の確認を行うべきですが、今回の事態は非常に特殊でなかなか事前準備を行えていないのが現状です。
結果として、かなりの企業が付け焼刃での対応をせざるを得ない状況なのではないでしょうか。
テレワークで起こり得るセキュリティリスクと原因の例
悪意を持った人間は、どこかに空いたセキュリティの穴を常に探しています。
だからこそ、こうした非常事態のようなタイミングを逃すことはほぼないと言っても良いでしょう。
今後、以下のようなインシデントが発生してしまうケースが出てしまうことが考えられます。
- マルウェア感染による情報流出
- ウイルスメールの踏み台化
- ランサムウェアによる身代金要求
これらが発生する原因として、いくつかの典型的な例があります。
BYODの場合、セキュリティ対策ソフトが
入っていない可能性がある
情シス担当の人からすると信じられないかもしれませんが、自分のPCにセキュリティ対策ソフトを入れていないという人は一定の割合で存在すると考えられます。
最低限のセキュリティ対策は当然しているという前提に立ってしまった場合、この時点でとてつもなく大きなセキュリティホールが発生してしまいます。
中小企業ですぐに必要数のノートPCを準備できないというケースではBYODによる運用を避けられないところもあるでしょう。
もしあなたの会社がそうであれば、今すぐ全社員に確認を行うべきです。
社内でちょっとした相談がしづらくなり、
エスカレーションが滞る
社内にいる場合は口頭でちょっとした相談をして解決できることでも、それがメールやチャットなどで聞かないといけなくなった途端に面倒くさいと感じてしまうものです。
おかしなメールが届いたり、端末で不審な挙動が起こったりするケースでも、こうした小さなハードルがあるだけで聞きにくくなってしまい、知らないところでマルウェア感染や詐欺メールに引っかかってしまう可能性が高まってしまうのです。
私用PC感覚でおかしなサイトを
閲覧してしまう
業務が終了したタイミングで、ちょっと気になるサイトをチェック。
社内であれば他の人の目もあるのでなかなか見るのがはばかられるサイトだけど、自宅だから大丈夫・・・。
人の目がないということで、「ちょっとくらいなら」という感覚でネットサーフィンを行い、ついずるずると見続けた結果おかしなサイトを閲覧し、マルウェアに感染してしまう。
特に自宅に個人用PCを持っていない人にとっては魅力的なツールと捉えられてしまう可能性もあったりします。
情シス担当は、こうした様々なケースを想定したうえで早急にガイドラインを設定し、社内のセキュリティレベルを上げていかなくてはならないのです。
テレワークセキュリティガイドライン、知ってますか?
総務省はテレワークの実施に伴い情報セキュリティ対策に関する検討の参考として貰うことを目的として、「テレワークセキュリティガイドライン」を策定しています。
中に記載されているのは
「テレワークにおける情報セキュリティ対策の考え方」
「テレワークセキュリティ対策のポイント」
「テレワークセキュリティ対策の解説」
となっており、「基本方針策定」といった大枠の部分から「パスワードの管理方法」と言った詳細な対策まで全体を網羅した資料となっています。
「テレワークの方法に応じた対策の考え方」と言うような内容も記載しており、どのようなテレワークの方式があり、自社に合った方法はどれなのかを簡単に検討することができます。
こうしたガイドラインを活用して、テレワーク環境下での情報セキュリティ対策を整備していくのが今情シス担当者として求められていることではないでしょうか?
トレンドマイクロからのアドバイス
テレワーク時のセキュリティ対策は、個々人の意識に任せてしまうと思いもよらぬセキュリティホールを生み出しかねません。
トレンドマイクロでは、テレワーク時のセキュリティレベルを出社時と同等に保つためのサービスとして、クラウド型のエンドポイント対策製品であるウイルスバスター™ ビジネスセキュリティサービス(VBBSS)やTrend Micro Apex One™ SaaS、Trend Micro Cloud App Security™(CAS)をご提供しているほか、テレワークにおけるセキュリティの注意点と対策をまとめています。
一方、サーバ向け製品としてTrend Micro Cloud One - Workload Security™もおすすめしています。
いずれの製品も、管理サーバ不要のSaaS版サーバ向け製品のため、リモート環境でも端末やサーバの管理・監視が可能になります。
エンドポイント向けのクラウドセキュリティサービス
VBBSSとApex One™ SaaSは、自社のPCやスマホ、タブレット端末といった”エンドポイント”を保護するクラウド型セキュリティサービスです。
パターンファイルは自動アップデートで常に最新、自社で管理用サーバを準備する必要はないため、管理・運用の煩わしさに頭を悩ませる必要はありません。
また、クラウドを活用することでPCの負担を軽減し、強固で軽快な動作を実現します。
担当者が変わっても運用・管理を容易に引き継ぐことができ、一貫したセキュリティレベルを担保することができる製品です。
エンドポイントセキュリティを再定義した事前予防と事後対処の実現
特にTrend Micro Apex One™ SaaSは、検出から対応までをシームレスに統合し、さまざまな技術を活用することでデータ侵害を受ける前に脅威を検出して対応することができる最新のエンドポイントセキュリティです。
先進技術と実績ある技術を融合したXGenのセキュリティアプローチによりさまざまな検出レイヤにおいて誤検出を大幅に削減。
また、挙動分析により、スクリプト、インジェクション、ランサムウェア、メモリ、ブラウザ攻撃に対する効果的な保護を実現しています。
Amazon EC2 と Trend Micro Cloud One - Workload Security™ を活用した進化したセキュリティ運用
Trend Micro Cloud One - Workload Security™はトレンドマイクロが管理サーバをクラウドで提供するSaaS型のため、スピーディに開始可能です。
そのうえ最新のセキュリティ機能でワークロードを保護しているため、担当者はサーバ、インスタンスの保護に注力することができます。
IPS/IDS(侵入防御)によって脆弱性を狙った攻撃にも対応しています。
スピード感とセキュリティレベルを同時に満たす必要がある場合は、こちらの組み合わせをぜひご検討ください。
テレワーク時に自宅などからアクセスするメールサービスにもセキュリティ対策を実現
Trend Micro Cloud App Security™(CAS)は法人のお客さまでよく利用されているようなメールサービス「Office365」や「G Suite」と、APIで連携し機能するメールセキュリティソリューションです。
たとえばメールに添付された不審なファイルを、まるでPC向けのセキュリティ対策ソフトのように、そのファイルの挙動をみて検知する「ファイルサンドボックス」機能などにより、日ごろから利用するメールのウイルス対策を実現できます。
また、トレンドマイクロではExchange Onlineを使用しているお客様向けに今まですり抜けていた脅威をスポットで可視化するためのサービスとして以下のサービスをご提供しております。
ご活用いただける環境にありましたらぜひお試しください。
Exchange Onlineのクラウド上にあるメールボックス内に残っている脅威を可視
Trend Micro Security Assessment Service™は企業が直面する高度な脅威から効果的に守られているかどうかを確認できるMicrosoft 365のメールサービス (Exchange Online) 向けの無料メールセキュリティ評価サービスです。
検出した脅威情報を詳細なレポート形式でご提供し昨今の脅威からどの程度保護されているかが検証可能となっています。
どの製品も、手軽に導入・利用できるので、ぜひご検討ください。