IT

リモートワーク導入に対するセキュリティ的課題を考えてみる

こんにちは、鹿児島弁で「がんばる・兄さん」ことハメッケ・アイアンです。

今日はまた私の本業である通信に関する話で恐縮ですが、

リモートワーク導入に対してセキュリティ的課題を考えてみます。

この記事はリモートワークを導入したいと考えているが、専門のIT担当者がいない、従業員が10人ぐらいの企業の経営者様に読んでほしいと考えております。

もしくはIT専門者ではないけど会社のIT担当者に任命されていらっしゃる方向けにもなるかと思います。

 

それでは行ってみましょう!

1.はじめに

リモートワークを導入するということは、会社のLANが外部から接続されるということです。接続してくるのは自社の社員だと思います。よって悪意はない方々です。

しかし、この善意っていうのが厄介ですよね。なぜならITにおけるセキュリティ事故においては悪意のある攻撃と同じ数の善意の攻撃がありますから。

ひょっとすると善意の攻撃者は悪意の攻撃者の10倍以上いるかも知れません。

理屈はこんな感じです。

マルウェア感染図

 

実はITのセキュリティ・リスクは攻撃を受けるリスクではく、知らず知らずのうちに攻撃者になるリスクであるといえます。

 

2.存在する攻撃手法

情報処理推進機構で攻撃種類がまとめられています。

https://www.ipa.go.jp/security/vuln/10threats2019.html

 

攻撃の種類は多岐に渡っていますね。しかし、私が思うに、大企業でなければ、受ける攻撃の種類は少ないと考えております。少々乱暴な分け方になりますが、私は2種類に分けました

①水飲み場攻撃

悪意ある攻撃者はマルウェアを埋込んだホームページを作り、そこを訪れた善意のユーザを感染させる。

もしくは有名サイトと瓜二つの偽サイトを作り、そこにおびき寄せる。

感染したPCは、LAN内のPCにマルウェアを展開する。

最終的にはPC自身を暗号化して身代金を要求する。または攻撃者の意のままに操られるPCとして需要ファイルを送付したりする。

②標的型攻撃メール

悪意ある攻撃者は善意の被害者にメールを送る。そのメールにはマルウェアを埋め込んだPDFファイルを添付する(マクロを仕込んだエクセルファイルはバレバレなので、PDFが多いです)。

そのメールは善意の被害者の立場に応じてメール内容を変えてくる。

たとえば、社長向けなら地域ロータリー会合の案内。経理担当者なら税理士からの会合案内。一般社員なら健康保険組合からの医療費還付。

メール内容は受け取った人が、隣の同僚に相談しないような内容が多いです。

そしてユーザが仮にそのPDFファイルを開くと、マルウェアがユーザのPCに潜伏します。そのマルウェアは外部のサーバに接続して、その後の指示を受けます。

その指示はPC自身を暗号化して身代金を要求したり、または攻撃者の意のままに操られるPCとして重要ファイルを送付したりします(結果、情報漏洩ですね)。

攻撃イメージ

③両者に共通すること

上記2種類の事象では、攻撃の始まりは違いますが、最終的には感染したPCが自分からインターネット上の悪意あるサーバへ接続に行っています。これは共通ですね。

今のセキュリティ犯罪は感染させたPCを自ら行動させる形が主流です。

そして、この形態はLANの内部から犯罪がスタートしますので、防御することが非常に困難です。

3.対応すべきセキュリティリスク

では、この対応が非常に困難な攻撃から自分たちを守る方法はないのでしょうか?

個別に考えてみましょう。

①水飲み場攻撃

これは怪しいサイト(ホームページ)を閲覧に行かないことが一番の対策になります。業務に関係ないサイト(ホームページ)を見ないルールにするだけで十分な効力を発揮します。

システム的に対応する方法としては、以下の方法があります。

・URLフィルタリング

・リアルタイムのマルウェア検知

②標的型メール攻撃

この攻撃メールを排除するのは難しいですが、実は無視してもOKかと考えます。なぜなら、標的型攻撃メールを受けるのは大企業に偏っているからです。といいますのは、標的型メールは大企業を攻撃するには非常に理にかなっていますが、小規模企業を狙うには割が合わないからです。

標的型メールを送るときは、相手企業の社員にメールを送る必要があります。このメールアドレスを調べる、もしくは調査する、ここにコストがかかります。しかし大企業はLAN内に多数のPCがありますので、コストを掛ける意味があります。

しかし小規模企業が相手の場合は、コストを掛けて攻撃メールを送っても、LAN内にPCが少ないとなれば赤字ですよね。

ですから、この攻撃は無視して良いかと。

しかし、何も手を施さないのは危ないので、通信相手国を制限する方法がいいですよね。

たとえば、「通信相手は日本だけに限定する」という対応が有効ですね。

4.まとめ

この記事では、あくまで「小規模企業が対応するセキュリティリスク」についてお話ししました。

そして、上記の対応はMerakiで全て対応可能です。

といいますが、うってつけです。

「結局、Merakiを売りたいだけだろ?」と言われそうですが、実際その通りですね(笑)。

この機器は私が自信を持ってお勧めできると思っています。

 

次回はMerakiを使った対応方法を具体的にお話しする予定です。(今週末にはアップしたいですね)

では、また!

 

毎日入るの少額配当。ちょっと嬉しい。





税金計算は面倒ですよね