こんにちは、IIJA Webinar 事務局です。
2021年1月21日に開催したIIJAウェビナー:ワークフロムホームセキュリティ ~本当に気を付けるポイント~ でご紹介した内容をまとめてお届けします。
ワークフロムホームのセキュリティと聞いてドキッとした方
興味があったのに、都合が合わずウェビナーを視聴できなかった方
ウェビナーの記憶をリフレッシュしたい方
ぜひ、このIIJAウェビナーキャッチアップで講演のエッセンスを吸収してください!
はじめに
本セミナーの講師をつとめた加賀は、IIJの東京本社でテレワークのセキュリティ対策に不安を感じられているお客様に向けて、多くの「セキュリティアセスメント」を実施してきました。日本でも2020年4月に緊急事態宣言が発布され、それまでは限定された社員向けの設備として利用されていたテレワーク環境が、突貫工事的に全社員向けの環境へと増築されることとなりました。同年5月過ぎから「わが社のセキュリティは大丈夫だろうか?」というご相談が舞い込みはじめ、需要が一気に高まって、8月には短期間でアセスメントができるようにプログラム化されました。
Press Release
ウェビナー講師:加賀 康之
株式会社インターネットイニシアティブ
セキュリティ本部 シニアテクニカルマネージャー
それでは、実際のアセスメント業務で見えてきた
『本当に気を付けるべき』ポイントをお話ししていきます。
PCがあぶない
コンピュータウイルスはどこから来るのか?IPA(情報処理推進機構)によると、感染経路全体のおよそ9割が「メール」です。
では、どのようにしてメールからコンピュータウイルスが入るのか?というと、メール本文に埋め込まれたリンクやボタンをユーザーがクリックする、あるいは添付ファイルを開くことで、マルウエア等の不正なプログラムがPCにダウンロードされ、勝手に展開されることで感染します。
メールに十分注意していれば、コンピュータウイルスへの感染を防げるといえますが、感染をもたらす不審なメール(スパム、フィッシング)は年々『巧妙化』しています。これは、あたかも正真正銘の正しいメールのように見せかけるのがとてもうまくなっている、ということです。
このような不審なメールは「見た目」が進化しています。見た目は進化し、いろいろなバラエティがありますが、たった1つの共通点を見抜くだけで不審なメールを見分け、被害を防ぐことができます。
その「共通点」とは何か?
それは、メールの本文だけでは終わらないことです。感染につながる不審なメールでは、リンクをクリックしてください、添付ファイルを見てくださいという「クリック」に誘導しています。このように送られてきたメールの文面を見るだけでは完結しないものは、すべて『怪しい』と警戒することです。
Web会議があぶない
ワークフロムホームが浸透し、毎日いくつものWeb会議を主催、あるいは参加していることでしょう。実はこのWeb会議でも注意するポイントがあります。
1.最新のWeb会議クライアントを利用すること
2.会議リンクはSNSで共有しないこと
3.会議は必ずパスワードを設定すること
4.「待機室」を有効にすること
5.会議の開始後、ミーティングをロックすること
Web会議に突然見ず知らずのユーザが入り込み、会議の邪魔をされたり、機密情報を知られないためには、会議リンクを「極力拡散しないこと」が重要です。拡散防止のためには、リンクが一目にさらされ、転送される時間を短縮することが大事です。そのため、会議リンクは、会議の議題や資料とともに、会議の直前に関係者のみへ送付するようにすることをおすすめします。
さらに見落としがちなのが、Web会議中の画面共有です。画面共有の仕方には、大きく2つあります。デスクトップをそのまま共有する方法と、特定のアプリケーションを指定して共有する方法です。デスクトップの共有では、不必要な情報まで見えてしまい、小さなセキュリティ事故が発生する可能性が高くなるため、社外との打合せでは個別の資料のみを共有するようにしましょう。
人があぶない
アセスメントをしている中で「在宅で仕事をしている人の意識」がセキュリティ事故の発端になっている!と強く感じるようになりました。いわゆる、内部不正や内部犯行です。ワークフロムホーム環境は、内部不正を(より)起こしやすい環境といえ、情報セキュリティの10大脅威のひとつとして挙げられています。
不正のトライアングルという考え方があります。人は「動機」「機会」「正当化」の3要素が揃うと不正を働くといわれていますが、この3つの要素はさらに以下の5つのポイントで防ぐことができます。
1.犯行を難しくする
2.捕まるリスクを高める
3.犯行の見返りを減らす
4.犯行の誘因を減らす
5.犯罪の弁明をさせない
いきなりすべてのポイントの対策を講じることは難しいですが、2番の「捕まるリスクを高める=やると見つかる」から対策を始めることを推奨しています。たとえば、PCに資産管理ツールを導入しておき、ユーザーの操作ログを記録しておく、あるいは、会社のポリシーに違反する操作をしたときに「警告」ポップアップを出すようにしておくことで、ユーザーは、見られているという意識が高まり不正の抑止効果となります。
まとめ
いかがでしたか?
IIJ Americaでは、「PCがあぶない」で気を付けるべきとお伝えした、悪意のある巧妙なメールからあなたや社員を守る「標的型メール攻撃訓練サービス」を提供しています。詳しくはこちらのブログ記事をご参照ください。
ワークフロムホームのセキュリティアセスメントや対策に関しては、Webフォームからお問い合わせください。
IIJ Americaでは、毎月様々なトピックを取り上げてウェビナーを開催しています。IIJ America ニュースレターへご登録いただくと、ウェビナー開催のお知らせをお届けします。
ニュースレターご登録はこちらから!
最後までお付き合いいただきまして、ありがとうございました。