Reading Time: 1 minutes
組織の情報セキュリティ対策に役立つ資料の一つに、NIST(米国国立標準技術研究所)が発行する文書があげられます。昨今の新型コロナウィルス感染拡大防止策として多くの企業がテレワークを拡大しているなかで、今も在宅勤務で働かれている、もしくはこれから在宅勤務で働かれる皆様に対し、テレワーク時のセキュリティ対策に参考となるNIST公開ブログ(2020年3月19日公開)をご紹介させていただきます。
【NIST公開ブログ翻訳】サイバーセキュリティの洞察
— テレワーク時におけるセキュリティの基本 —
勤務先からの突然のテレワーク指示に、困惑してしまう社員の方が大半なのではないでしょうか。一度に多くの変更が生じるため、テレワークのセキュリティは後回しになり、完全に見落とされる場合もあります。そのため、社員やその組織は今まで以上に組織の混乱や特定の脆弱なセキュリティ状態を糸口に侵入を企てる攻撃者のリスクに晒されることになります。万全なセキュリティ対策が施されたテレワーク端末を使用しないと、組織がリスクに晒されるだけでなく、ホームネットワークに接続する他の端末すべてもリスクに晒される危険性が生じます。
そこで、本ブログでは、テレワーク時におけるセキュリティ強化のために、簡単に実践できる6つのヒントをご紹介します。これら6つのヒントは、ほぼすべてのテレワーク環境に適用でき、会社組織のノートPCやスマートフォン、個人所有のデスクトップやタブレットにも適用できます。
テレワーク時のセキュリティを向上させる6つのヒント:
- ヒント1.
所属する組織、もしくは企業にテレワークに関するルールやポリシー策定されているか確認します。策定されている場合、それらルールやポリシーに目を通し、遵守に努めます。例えば、自分のPCを使用して会社メールの送受信は許可されても、顧客の機密データへのアクセスは許可されない場合があります。 - ヒント2.
PCの通信を盗聴されないよう保護します。自宅でWi-Fi(ワイヤレスネットワーク)を使用する場合、ネットワークがセキュアに設定されていることを確認してください。具体的には、「WPA2」または「WPA3」セキュリティを使用し、推測されにくいパスワードを設定していることを確認します。確認方法が分からない場合は、Wi-Fiルーターのメーカーとモデルでネット検索すると、確認方法を教えてくれる動画やチェックリストを見つけられます。 - ヒント3.
組織や企業にVPN(仮想プライベートネットワーク)通信が用意されている場合、VPNを利用してテレワーク端末の通信に対するセキュリティを強化します(通常、組織や企業のテレワーク時のルールやポリシーに基づいてVPNの利用が指示されています)。組織や企業にVPN通信が用意されていない場合、VPNを利用することを検討しましょう。多数のプロバイダがオンラインで検索できます。 - ヒント4.
テレワークに自分のPCやモバイル端末(会社貸与のPCや端末ではない)を使用する場合、基本的なセキュリティ機能が有効であることを確認します。PIN、指紋認証、または顔認証機能を有効にするだけで、端末から離れた際の他人による不正利用を防ぐことができます。PINやパスワードには、他人に推測されにくい文字数列の設定を行います。 - ヒント5.
PCとモバイル端末は常に最新のパッチ/更新プログラムを適用し、システム状態を最新に維持します。ほとんどの場合、必要なアップデートを自動的にチェックしインストールするオプションが用意されているため、定期的にアップデートを確認しなくても、簡単にシステムを最新状態に維持できます。 - ヒント6.
テレワークに使用している端末(PC、モバイル端末、またはホームネットワーク環境)で異常、または疑わしい動作が見られた場合、すぐに担当部署であるヘルプデスクやセキュリティ担当部門等に報告します。端末に見られた不審な動作を報告してください。
テレワーク導入時には、フィッシングメールや電話詐欺など、ソーシャルエンジニアリングにも注意します。ソーシャルエンジニアリングとは、人間の心理的に弱い部分や行動のミスにつけ込み、巧に騙して個人情報を引き出そうとする手法です。詐欺師や犯罪者は、あらゆる社会情勢の大きな変化や出来事を利用して新しい攻撃の手法を編み出します。昨今では、我々企業が急速にテレワークを開始したことで、攻撃者はこのワークスタイルの変化を悪用しようとします。見知らぬアカウントから添付ファイルのメールが届く、技術サポートスタッフを名乗る人物が電話をかけてきてパスワードを要求したり、WebサイトにアクセスしてPCの「スキャン」を実行するように指示したりする、更には、通常招待されることのないオンラインミーティングリクエストを受信するなどがあげられます。このような不審なアプローチに遭遇した場合には、すぐさま電話やその他手段を通じて担当部署に報告するようにしてください。
*免責事項:本ブログの日本語訳は、原文にできるだけ正確に翻訳するよう努めていますが、その内容を保証するものではありません。また、翻訳監修主体(ゾーホージャパン株式会社)は、本翻訳に記載された情報より損害、もしくは損失が生じた場合、責任を負うものではありません。原文の内容を理解する必要がある場合、以下の原文をお読み下さい。
https://www.nist.gov/blogs/cybersecurity-insights/telework-security-basics
最後に
— ManageEngineのテレワークソリューション —
ManageEngineでは、皆様が安全に「テレワーク」業務を遂行できるよう、IT管理ツールによるソリューションをご用意しております。出勤抑制の取り組みに大忙しの皆様に、IT管理やセキュリティ対策の部分だけでも弊社にご相談頂き、お役に立てるツールをご紹介できれば大変嬉しく思います。
ManageEngineが支援するテレワーク時におけるセキュリティ対策
ヒント4のManageEngineソリューション
⇒「多要素認証でリモートログインのセキュリティを強化しましょう」
使用するPCや端末の基本的なセキュリティ機能を有効にする必要がありました。その一つとして認証設定の有効化があります。ManageEngine AD360では、Windows/Mac/LinuxOSの多要素認証のログインをサポートし、15種類の本人認証方法を組織のニーズに応じて利用できます。
ManageEngine AD360が提供するID/アクセス管理ソリューションについては、こちらをクリック!
ヒント5のManageEngineソリューション
⇒「在宅勤務者のPC端末、モバイル端末を最新のシステム状態に維持しましょう」
使用するPCや端末に、最新のパッチ/更新プログラムを適用し、システム状態を最新に維持することが重要でした。ManageEngine Patch Manager Plus/Endpoint Centralでは、Windows/Mac/Linux端末への自動パッチ配布だけではなく、250種類を超えるサードパーティアプリケーションのパッチ配布も自動で行えます。
ManageEngine Patch Manager Plus/Endpoint Centralが提供するPC/モバイル端末のセキュリティ対策については、こちらをクリック!
ManageEngineが提供する製品について、不明な点やご要望等ありましたら、メール、オンライン、もしくはお電話でも賜ります。お気軽にご連絡ください。
*その他テレワーク時におけるセキュリティ対策に関するManageEngineお役立ちサイト:
テレワーク(リモートワーク・在宅勤務)に必要とされるIT管理対策
「#うちでシスろう」情シス部門/ネットワークエンジニアが在宅勤務を乗り切る方法
フィードバックフォーム
当サイトで検証してほしいこと、記事にしてほしい題材などありましたら、以下のフィードバックフォームよりお気軽にお知らせください。