orangeitems’s diary

クラウドで働くインフラエンジニアの日々の感想です(ほぼ毎日更新)。

急にテレワークを始めた企業が危ない

f:id:orangeitems:20200402102443j:plain

 

テレワークとSaaSの関係

テレワークも長丁場となってくると想像力が働いてくるのですが、この状況を機に新しいSaaSなどのシステムを入れた企業も多いのではないでしょうか。

SaaS提供企業もこの状況に対して寄与するために、無償利用キャンペーンをするのが流行っているそうです。

 

www.publickey1.jp

新型コロナウイルスの影響で多くの企業がリモートワークを進めている中で、それを支援するとしてリモートワークに関連するサービスやソフトウェアの無償提供を表明する動きが相次いでいます。

これは、自社のリモートワーク環境としてどのようなサービスが適切なのか、それぞれのサービスがどのような特徴や機能を備えているのか、自社の仕事のやり方やカルチャーに合うような適切なリモートワーク環境実現のために試してみる機会でもあるでしょう。

ここですべてのサービス提供ベンダを網羅することはできませんが、無償提供などを表明している主要なサービスについてまとめてみました。

 

一つの懸念

確かに、SaaSで提供されるいろいろなサービスは「便利」なのですが、私は平常時に使っていたSaaS以外は結果として使っていません。

なぜか。

テレワーク配下でいきなり現場に導入されたSaaSには、設定上の落とし穴が含まれている可能性が高いからです。

通常の企業利用の場合は、まずはPoC(概念実証)から始めて、問題ないことを確認してから全体利用の方向に向かいますよね。

だいたい使い始めて、アレができないとかアレが危ないとかいろいろなツッコミを受けた上で、修正を行って本運用に入ります。

しかし、今の状況で、必要だからと言っていきなり使い始めると、思ってもみないリスクに晒される可能性があります。

 

www.itmedia.co.jp

新型コロナウイルスの感染拡大への対策として、多くの企業が急きょテレワークを導入したり、これまで限定的だった対象者の範囲を広げたりしています。テレワークを実施するとなると、利用する側の戸惑いもさることながら、IT担当者・ネットワーク担当者の負荷は想像に余りあります。

 従業員からのさまざまな問い合わせ対応に忙殺されたり、セッションが急増して遅くなった接続速度への対処をベンダーに依頼したり、右往左往している担当者も少なくないはずです。「テレワークに必要な設定が社内からしか参照できない」といった、缶詰の中に缶切りが入っている状態を解決しなければならないケースも考えられ、本当に大変だったのではないでしょうか。

 テレワークではこれらに加え、セキュリティ対策が課題とされています。どんなリスクが潜んでいるでしょうか。

 

ここにあるサイボウズの例を含め、テレワークがスムーズにできている組織というのは、「普段からテレワークで働く準備を完了していた」組織です。

そういった企業が発する注意点を相当読み込んで導入しないと、本当に痛い目に遭うと思いますし、そろそろテレワーク推奨から一か月経って、具体的な被害が出てもおかしくない時期になってきたような気がしています。

えいや、で導入したところが増えているので、攻撃者からすれば都合のいい状況がそろってきています。

 

いろいろな注意喚起

セキュリティー企業から、様々な注意喚起が出ていますのでまとめておきます。

 

internet.watch.impress.co.jp

 新型コロナウイルス感染症(COVID-19)によりテレワークが増えていることを受け、株式会社ラックが「気を付けたい、テレワーク時のセキュリティ7つの落とし穴」を公開し、注意を呼び掛けている。

 現在、広まっているテレワークは、新型コロナウイルス感染症の対策として、セキュリティやネットワークに詳しくない人もやむを得ず行っている場合もある。情報漏えいやウイルス感染のリスクが高くなることも懸念されることから、ラックが以下のような7項目の注意点として取りまとめた。

テレワーク時のセキュリティ7つの落とし穴
・ウイルスの入り口対策 “インターネットに接続しただけでウイルス感染!”
・ニセの会議招集メール “その会議は本物ですか?”
・パソコンののぞき見による情報漏えい “肩越しの視線に気を付けて”
・公共の場所でのウェブ会議 “大声で機密を暴露”
・公共無線LANやクラウドでの共有設定 “機密ファイルが大公開”
・ネットワーク機器やパソコンのアップデート “家のネットが丸見え”
・ニセの無料無線LAN “無料のつもりが情報漏えい”

 

japan.zdnet.com

 米国土安全保障省傘下のCybersecurity and Infrastructure Security Agency (CISA)は3月13日、新型コロナウイルス対策に伴うテレワークでのVPN利用について企業などにセキュリティ上の注意喚起を行った。

 CISAは、企業が新型コロナウイルスの感染拡大を防止するために、在宅勤務などのテレワークを実施するにはVPNの利用が必要であり、より堅牢なセキュリティ対策が確保されているべきだと解説する。

 

www.itmedia.co.jp

 世界保健機関(WHO)の名をかたり、新型コロナウイルス関連の情報提供アプリと称してマルウェアに感染させようとする手口。品薄が続くマスクが購入できると見せかけた詐欺サイト――。これは最近になって発覚した便乗攻撃の、ほんの一端にすぎない。在宅で勤務するテレワーカーが世界中で急増する中、サイバー攻撃の被害が増大する危険はかつてなく高まっている。

 「在宅勤務が増えれば、攻撃側はやりやすくなり、守る側は難しくなる」。米セキュリティ機関SANS Internet Storm Centerの専門家はそう指摘した。

 

www.keishicho.metro.tokyo.jp

テレワークで勤務をされる方へ

テレワーク勤務のサイバーセキュリティ対策チラシイメージ画像

テレワークでの勤務は、オフィスのサイバーセキュリティの環境とは異なり、勤務先のシステム等へ外部からアクセスしますので、マルウェア(ウイルス)への感染リスクが高まります。

テレワークで使用するパソコン等(タブレット、スマートフォン)は、勤務先が導入したテレワーク専用のものであればサイバーセキュリティ対策が考慮されている場合がほとんどです。

しかしながら、急遽、テレワークをすることになり、普段勤務先で使用しているパソコンや自宅のパソコンを使用する場合は、サイバーセキュリティ対策が十分とは言えませんので、特に注意する必要があります。
サイバーセキュリティ対策を怠ると、使用しているパソコンがマルウェア(ウイルス)に感染して業務が行えなくなったり、重要なデータが流出し、業務に大きな影響を与えることが考えられます。

ここでは、上記のように急遽、テレワークで勤務する場合のサイバーセキュリティ対策上の注意すべき点を紹介します。

 

internet.watch.impress.co.jp

オンライン会議ツール「Zoom」で、先週以降、プライバシーにまつわる問題が続出している。

 

crypto.watch.impress.co.jp

マカフィーは3月24日、新型コロナウイルスの感染拡大への懸念を利用したフィッシング攻撃や、テレワークの増加に乗じたサイバー攻撃が起き始めていることを伝えた。同社の調査によると、新型コロナウイルスと関連させたサイバー攻撃の脅威は、ドイツ、台湾、日本、パナマといった地域で多く見られるという。

 

にわかテレワーク、が一番危ない

私がお勧めするのは、「こんな時期だからできるだけ変えないこと」です。

普段の仕事の方法を逸脱するような方法をあまりにも導入すると、その内容に脆弱性があったら致命的な問題に発展してしまう可能性があります。

ですから、普段からテレワークがいつでもできるような仕事の仕方をしていたか否かで、ビジネス継続能力が企業間・組織間で際立ってきていると思います。

Microsoft TeamsやTeams、Chatworkなど、SaaSが急激に短期間でサービス利用者を増やしているのを聴いていますので、どれだけ企業が準備不足だったのかというのを思い知らされています。

今、大きく変えるのは大変危険です。

攻撃者は新しい攻撃を模索している最中でしょう。また一部はもう始まっているようです。

このコロナウィルスとの戦いは長期戦を強いられるのは必至です。今一度、情報システム部門は、社員が何をしているか。再検討したほうが良いと思います。