BBSec Report_telework

テレワークにおける
情報セキュリティ上の考慮事項

技術面の課題

1. 端末のセキュリティ

端末のセキュリティ

大前提としてテレワークを開始する前に実施すべきこと
必ず最新のアンチウィルス定義ファイルに更新
OSやアプリケーションの最新のセキュリティパッチ導入
EDRあるいは資産管理ツール等のセキュリティソフトウェアが導入されていることを点検
社内環境においてWSUSやアンチウィルスのマネージャー等でパッチ配布を行っている場合
テレワーク時の更新ができなくなることが想定される
個別にアップデートできるように許容するか、あるいはWSUSに限定し、テレワーク環境からの接続を許容し、常に最新のパッチが導入できる状況にすることが必要
テレビ会議等のコミュニケーションで活用する各種ツール、サービスについて
適切なセキュリティコンポーネント設定を実施する

2. ネットワークの接続手段と通信環境の安全性

ネットワーク

テレワーク時のネットワーク接続手段は予め定めておくことが重要
自宅のネットワーク接続を許容する場合は、安全性が保証されていない環境へ端末を接続することになり、マルウェア感染や通信盗聴といった被害が発生する恐れがある
したがって、自宅ネットワークを許容する場合は、シンクライアント化された環境に限定することが必要
ファット端末の場合は、会社から許可されたモバイル WiFi、テザリング接続に限定させるべきといえる
システムメンテナンス等の用途がない非技術系の一般従業員に対して社内環境へVPN接続を許容する場合
限定されたサービスのみ許容することが不可欠
その場合は、必ず強固な暗号化通信を用いる

3. 無線LANの取り扱い

無線LAN

WiFiを利用する場合の注意点
同一のSSIDで偽のアクセスポイントが設置され、誤って当該アクセスポイントに接続してしまうことで、通信内容の盗聴、漏洩だけでなく、悪意のあるWebサイトへ誘導され、マルウェアの感染、フィッシングサイトによる認証情報の窃取といった被害をうける恐れがある。WiFiへの接続時に必ずSSID、認証情報を確認する設定にしておくことを推奨する
社給のモバイルルータや社給携帯電話でテザリングする場合は、機器の紛失に注意することが必要
自宅の社員個人持ちのWiFi、または個人のスマートフォンでモバイルルータ、テザリングは、原則推奨されない。利用を許可する場合は、無線環境の暗号化強度、暗証番号の設定、SSIDのステルス設定等を実施し、ファームウェアは最新状態であるといったセキュリティ対策の実施状況を確認することが必要
公衆の無線LANへの接続は禁止する

4. パスワード強度の見直し、多要素認証

パスワード

テレワークで利用する端末、メール、各種クラウドサービス、VPN等の認証は強固にしておくことが必要
パスワード認証は、サイバー攻撃において最優先で悪用されうるものであり、実際に発生している被害でも、そのほとんどが、パスワード認証を突破されていることに起因している
したがって、テレワークで持ち出す前に端末、OSのパスワードを強固なもの(できるだけ長い形式が良い)に変更する必要がある
加えてインターネットからアクセスする各種サービスでは、多要素認証を用いることが推奨される

5. ファイル共有サービスの利用時の注意

ファイル共有

ファイル共有は、テレワークにおいてもはや不可欠といえるサービス
ファイル共有を行う手段としては、メールによる添付、チャットツール、会議システムによる共有、外部ストレージサービスの利用、あるいは、社内のファイルサーバへのアクセス許可といった手段が考えられる
最初に留意すべきことは、会社が許可した同サービス以外の利用を禁止すること
いずれの場合でも、マルウェアに感染した端末から攻撃を受ける、あるいは許可された従業員以外に操作された端末からアクセスを受けるリスクを考慮することが不可欠である。最悪、社内の機密情報を外部に公開してしまう事態になりかねない
したがって、各種サービスを利用する場合は、別項にあげた強固な認証を用いることは最低限度必要であり、そのやりとりで許容する情報の重要度を定めておくことを推奨する
また、社内のファイルサーバを直接利用させるケースでは、テレワーク環境からの接続を最小限にアクセス制御することを実施いただきたい

6. セキュリティ監視

監視

テレワークを実施している状況では、万が一のマルウェア感染等で持ち出した端末からの攻撃が発生する恐れがあることを考慮すべきである
特に端末からアクセスのある各種システム環境では、認証ログ、操作ログを取得し、モニタリングできるようにしておくことが重要
テレワークからアクセスを許容する環境では、ファイアウォール、攻撃検知システム(IPS、IDS)、WAF等の防護策を導入しておくことを推奨する
監視は、リアルタイムとすることが望ましいが、定期的に各種ログを分析し不審な行動を特定することを目的とした調査を実施することも推奨する

各サービスに関するお問い合わせはこちらから