リモートワーカーに共通するセキュリティリスク
サイバー犯罪者に狙われるリモートワーカー
2023年12月1日
著者: Ahona Rudra
翻訳: 高峯 涼夏
この記事はPowerDMARCのブログ記事 Common Security Risks for Remote Workers の翻訳です。
Spelldataは、PowerDMARCの日本代理店です。
この記事は、PowerDMARCの許可を得て、翻訳しています。
リモートワークが増加しています。
クラウドやモバイル技術が働き方を変えるにつれて、ペーパーレス化がかつてないほど容易になり、いつでもどこでもリモートワークやフレキシブルな働き方が可能になっています。
2021年から2022年にかけて、60%のスタッフがオフィスに戻ると予想されています。
これは、以前の調査でスタッフの約37%がオフィスでの仕事に戻ることに自信を持っていたことから顕著に増加しています。
この動向は、職場における対面コラボレーションのメリットを浮き彫りにしています。
――Statista(訳注:世界の統計調査データを公開している団体)
しかし、便利さが増す一方で、リモートワークのセキュリティリスクも高まっています。
サイバー犯罪者は常に、機密データ(パスワードやクレジットカード番号)を盗み、不正に利益を得る方法を探しています。
今日では、世界中でリモートワーカーを雇用する企業がますます増えています。
労働者ははリモート環境のセキュリティにあまり注意を払っていません。
これにより、サイバー犯罪者がターゲットを定めて、離れた場所からでも被害を与えることが容易になっています。
リモートワークの主なセキュリティリスクと、リモートワークのセキュリティを確保するためのヒントについて見ていきましょう。
リモートワークの5つのセキュリティリスク
リモートワークは素晴らしい環境ですが、管理しなければならないリスクも伴います。
ここに、リモートワークの一般的なセキュリティリスクを5つ挙げます。
フィッシングおよびメール詐欺への脆弱性
フィッシング、マルウェア、メール詐欺は、オフィスにいるかどうかに関わらず、すべての従業員が影響を受ける可能性があるサイバー犯罪の一形態です。
しかし、リモートワーカーは特に被害に遭いやすいです。
なぜなら、彼らは同僚の目の届かないところで働いており、通常オフィスで働く場合に比べて、よりたやすく不審な兆候を見つけてくれそうな同僚の助けを受けにくいからです。
リモートワーカーはオフィスにいないことが多く、同僚との付き合いも少ないため、フィッシング詐欺にかかりやすくなっています。
実際、リモートワーカーはオフィスにいる従業員の2倍のセキュリティインシデントを引き起こします。
彼らは、チームのメンバーを名乗る人物から、機密情報へのアクセスや金銭の振り込みを求めるメールを受け取ることがあります。
暗号化されていないファイル共有
リモートワーク中、従業員は暗号化ソフトウェアを使用せずにメールやインスタントメッセンジャーを通じてファイルを共有することがあります。
これらのメッセージにアクセスする者は、誰でもその内容を読み取り、機密情報を利用することができます。
企業は、リモートワークの頻度にかかわらず、リモートで働くすべての従業員に対して、DropboxやGoogle Driveなどの暗号化されたファイル共有ツールの使用を義務付ける必要があります。
脆弱なパスワードの使用
どのようなセキュリティシステムにおいても、最も脆弱な部分は常にユーザのパスワードです。
従業員が脆弱なパスワードを使用している場合、ハッカーはレインボーテーブル※や、辞書攻撃などのブルートフォース攻撃を使用して、簡単にデバイスやネットワークにアクセスすることができます。
※訳注:レインボーテーブルとは、多数の文字列とそれに対応するハッシュ値のテーブルを作成し、もとのパスワードを推定する攻撃手法です。
リモートセキュリティを確保するためには、強力なパスワードポリシーの実施が重要です。
これは、特殊文字や大文字と小文字を含む複雑なパスワードの使用を要求することで実現できます。
パブリッククラウドにおける設定ミス
ネットワークセキュリティソフトウェアプロバイダが発表した「2022年クラウドセキュリティレポート」によると、情報セキュリティの専門家に調査した結果、4分の1以上が過去1年間にパブリッククラウドインフラストラクチャでセキュリティインシデントを経験しており、その主な原因はセキュリティの設定ミスだったと報告されています。
――Check Point Software Technologies
セキュリティの設定ミスは、侵害の最も一般的な原因の一つであり、パッチやセキュリティアップデートを常に最新に保つことが重要です。
Amazon Web Services(AWS)のようなパブリッククラウドプロバイダを利用している場合は、適切に構成された最新のサービスが正しく設定されていることを確認し、AWSのコストを監視して異常がないかチェックしてください。
別のサービスプロバイダを使用している場合は、システムを安全に設定するための適切なドキュメントがあることを確認してください。
私物デバイスの業務利用
リモートワーカーは仕事に私物のデバイスを使用するため、セキュリティ上の懸念がいくつか生じます。
第一に、会社の管理下にないデバイスを使用していることを意味します。
これは、データが暗号化されていない場所に保存される可能性があり、データの損失や盗難のリスクが増加します。
さらに、これらのデバイスがマルウェアやスパイウェアに感染すると、ネットワーク全体が危険にさらされる可能性があります。
在宅勤務のためのセキュリティのベストプラクティス
在宅勤務は素晴らしい贅沢ですが、リスクも伴います。
注意しないと、自宅がサイバー犯罪者の格好の標的になりかねません。
ここでは、自分自身を守り、リモートセキュリティを確保するために、リモートで仕事をする際のセキュリティのヒントをいくつかご紹介します。
フィッシング対策ソリューションを使用する
すでにPowerDMARCのフィッシング対策ソリューションをコンピュータやモバイルデバイスで使用しているかもしれませんが、在宅勤務の場合には特に重要です。
自宅ではデバイスを使用する時間が長いため、フィッシング攻撃の被害に遭う可能性が高くなるかもしれません。
また、これらの攻撃は非常に説得力があります。
ドメインをDMARCで保護する
Domain-based Message Authentication, Reporting & Conformance(DMARC)は、不正なメールが受信トレイに届くのを防ぐためのメールセキュリティ標準です。
DMARCを導入することで、ISP(インターネットサービスプロバイダ)は、メールが正しいドメインから送信されていない場合、または正しいDKIM署名がない場合にメールを拒否します。
これにより、フィッシング詐欺やその他のタイプのスパムメールから保護するのに役立ちます。
業務データは業務用コンピュータに保管する
会社が支給したラップトップやタブレットを個人的な用途に使うことは、特に会社がIT機器を従業員に提供している場合は魅力的ですが、会社支給のラップトップやタブレットを使うよりも良いアイデアがあります。
職場と同じレベルのセキュリティがアクセス時に得られない場合は、機密データを自宅に持ち帰らないようにしてください。
IT部門が管理していないデバイスに機密情報を保存する必要がある場合は、少なくとも暗号化して、紛失または盗難されても他の人がアクセスできないようにしてください。
リモートデスクトップソリューションを使用して自社のハードウェアに別の場所からアクセスし、機密データが個人用デバイスに永続的に保存されることを回避することでもこの問題を解決できます。
MSPのリモートデスクトップオプションがありますが、これは管理サービスプロバイダだけでなく、一般の従業員にも適しているかもしれません。
WiFiのセキュリティも忘れずに
リモートで接続する最も一般的な方法はWiFi(または有線イーサネット)ですが、これらの接続はオフィスのネットワーク内のものよりも安全でないことがよくあります。
自宅や他の場所で仕事をする際に自分の身を守るには、「WPA2」暗号化がされているネットワークを探してください(新しいルータにはすべて搭載されているはずです)。
そして、たとえWiFiホットスポットを使いたいと思っている友人や家族がいても、絶対にパスワードを共有しないでください。
視線を遮る
自宅でリモートワークをする際の最大のセキュリティリスクの一つは、他人にモニター画面を見られることです。
窓越しに隣人に見られたり、通りすがりの人にチラッと見られたりする可能性があります。
もし誰かがあなたの画面の内容を見ることができれば、簡単にあなたのデータ、パスワード、または他の機密情報を盗むことができます。
最後に
リモートワークは会社や従業員にとって素晴らしいメリットとなり得ますが、管理しなければならないいくつかのセキュリティリスクをもたらします。
あなたがフリーランスであれ、リモートで働く従業員のチームと仕事しているのであれ、一般的なビジネスを経営しているのであれ、ビジネスのデータとアイデンティティを保護するための簡単なステップがあります。
適切な予防策を取り、警戒を怠らなければ、最悪のシナリオの多くを避けることができます。