こんにちは。
C&S技術統括部のかみゃです。
昨今のコロナ禍による影響によりテレワークで業務をされている方も多いのではないでしょうか。
いよいよ全国で緊急事態宣言が解除されましたが、今後もテレワークによる業務はしばらく継続されるのではないかとみています。
テレワークで業務を行う際は会社支給のPCを自宅に持ち帰っての使用や、場合によっては私物のPCを使用して業務にあたるということもあるかもしれません。
そこで気になるのが自宅や屋外でテレワークを行う際のセキュリティですが、IPAやNISCから以下のような注意喚起が出されています。
- IPAからの注意喚起
テレワークを行う際のセキュリティ上の注意事項:IPA 独立行政法人 情報処理推進機構 - NISCからの注意喚起
テレワークを実施する際にセキュリティ上留意すべき点について
https://www.nisc.go.jp/pdf/policy/general/telework20200414.pdf
注意喚起では主に、最新のパッチを適用することや、信頼のおけるアプリケーションや不審なメールへの注意といった端末のセキュリティ対策が念頭に置かれた注意喚起がされています。
テレワークではネットワーク環境が必須になりますが、会社支給のモバイルデータ端末の使用や、自宅の固定回線を使用するといったケースもあるかと思います。
会社支給のモバイルデータ端末を使用すれば、社内ネットワークへはVPN、Webアプリケーションを使用する際はTLSで通信を行うことにより経路上の一定の安全は保つことができるでしょう。
しかし、テレワーク開始から2~3か月経過して経験された方もいらっしゃるかもしれませんが、月末に携帯電話キャリアの契約上の通信量が無くなり低速通信になる(いわゆるギガがなくなる)現象に陥る可能性があります。
実際に弊社も先月末にモバイルデータ端末のギガなくなった~という悲鳴を上げる社員が何名かおりました(笑)
自宅の固定回線を使用すれば、いわゆるギガが無くなる現象は防ぐことができますが、
自宅内LANで私用の機器とネットワークを共用することになるので、ラテラルムーブメントの恐れがでてきます。
ラテラルムーブメントについてはこちらをご覧ください。
記事中では組織内部での攻撃/感染拡大を指していますが、これが家庭内LANにも当てはまります。
同一の家庭内LANに接続された私物PCやブロードバンドルータへ最新のパッチやファームウェアを適用すれば危険性を最小限にすることができますが、スマートスピーカーやホームカメラ等のIoTデバイスの普及により家庭内LANに接続された全てのデバイスを(ファームウェアのバージョンを含めて)管理することは難しいかと思われます。
記事中の「システム全体のセキュリティ強度は最も弱い部分に引きずられます」にある通り、IoTデバイスに侵入されてパケットが盗み見られていたり、テレワーク用のPCが攻撃対象になっていたりということもあるかもしれません。
次回はテレワークにおけるセキュリティ上の懸念点の対策について書きたいと思います。
ということで、今回はこの辺りで。
