"BOKU"のITな日常

62歳・文系システムエンジニアの”BOKU”は日々勉強を楽しんでます

リモートワーク押しの立場からセキュリティリスクに注意したいと思うこと

近頃、リモートワークとかテレワークという働き方が市民権を得てきてます。

働く側としたら非常にありがたいのですけど、便利の裏にはセキュリティリスクがありますからね・・。

f:id:arakan_no_boku:20200126011551p:plain

 

はじめに

 

自分はリモートワークが、もっと働き方として認知されるべきだと考える派です。

長時間かつラッシュの苦痛に耐えて通勤するのは「嫌(笑)」です。

とはいえ。

出勤する行為自体は、気持ちを仕事に切り替える(オンとオフの切り替え)ためには有効なので、自宅で仕事するのもイマイチです。

なので。

個人的に一番望ましいと思っているのは、居住地の近くの「サテライトオフィス」に出勤するような働き方です。

www.kaonavi.jp

有難いことに。

最近は「サテライトオフィス」も利用する企業は増えてますし、拠点として利用できるコワーキングスペースの提供も増えてるみたいで、会社にも提案しやすい状況が整ってきているのは良い傾向だなと思っております。

しかし。

便利さの影にはリスクがつきもので、そこをつこうとする「悪者」もいます。

 

サプライチェーン攻撃のリスクが指摘されてます

 

実際のところ。

トレンドマイクロ社の2020年のセキュリティ脅威予測などで、既に指摘され続けている話ではあります。

blog.trendmicro.co.jp

この中で「サプライチェーン攻撃」のリスクについて言及しています。

本丸のターゲット企業を直接狙っても、ガードが固くて、なかなか侵入が難しいので、その企業とサプライチェーンでつながっている子会社や協力企業などのガードの甘いところに侵入して、そこを踏み台にして本丸に入り込む。

ざっくり言えば、こんな感じの攻撃手法のことです。 

実際。

中国のハッカー集団が三菱電機に攻撃をしかけた事件がニュースになりましたが。

www.nikkei.com

これなんかも

標的企業の中国子会社に対してメールを送り、遠隔操作型のマルウエアなどに感染させる。

子会社のシステムを「踏み台」にし、日本の本社のネットワークに侵入し、機密情報を盗み出す

 と手口が書かれてますから、まさしくサプライチェーン攻撃ですね。

 

基本的に穴のありそうなところが狙われる

 

同じ侵入するならできるだけ楽なところを選ぶ。

現実世界の泥棒なんかとその辺は同じです。

だから、子会社や協力会社を狙うなら、当然、より穴のありそうな個人のリモートワーク(テレワーク)のPCを狙わないわけがありません。

実際、トレンドマイクロ社の記事にも、サプライチェーン攻撃のリスクのひとつとして以下のように書かれています。

働き方改革」に伴うテレワークの環境です。

一般的に、従業員の自宅や公共のワークスペースのネットワーク環境は、法人のIT担当者では管理できない領域があるため、サイバー犯罪者はこうしたテレワーク環境の弱点を狙ってくるでしょう。

そして、そこを起点に標的組織への侵入を試みてくることが考えられます。

 まさに・・その通りです。

しかも。

個人的な見解ですけど。

リモートワークで使う端末を完全に管理するのは不可能で、どんなにシビアにルールを決めていたとしても、一人や二人のうっかりさんは必ずいるでしょうから、リモートワーク(テレワーク)環境で個人が使用するPCになんらかのマルウエアが仕込まれたり、遠隔操作されてしまう事はありえる・・という前提で対策を考えざるをえないのかな・・・と思います。

ここが、今の自分が心配しているところです。

 

事件があると急にネガティブになるリスクのある国だから

 

日本という国は。

ポジティブにとたえられていたことが、何かひとつの事件をきっかけに、いきなり世論がネガティブ一色に染まってしまう。

そんな事がたまにあります。

リモートワーク(テレワーク)も、今は普及推進の方向に動いてますが、導入した企業で、その端末が踏み台にされて、企業の情報が盗み出されたりするような事件が続くようなことがあると、一気に逆風が吹くこともありえます。

自分はリモートワーク(テレワーク)普及の流れに、そんなことが発生してほしくないなと切に願ってますから。

それは避けたいです。

個人的には。

リモートワーク(テレワーク)で従業員個人が接続できるネットワークは、企業の基幹ネットワークとは完全に別にすべきだろうと思ってます。

環境もクラウド前提で、データもローカルストラージには極力保存させないとかして、最悪、なんらかの攻撃を端末が受けても、被害が最小限にとどまるような工夫がされている運用方法がスタンダードになればいいなと思ってます。

もちろん。

そうすると、業務遂行の効率は落ちるでしょうけど。

便利とセキュリティを天秤にかけるなら、セキュリティをとるべき・・というのが、現代の趨勢ですし、そもそも、常時社内システムに接続し続けないとできない仕事はリモートワークの対象にすべきじゃないでしょうし。

とりあえず。

自分らみたいに、ある程度の年齢になると、あんまり我慢をしたくない気持ちが勝ってくるので、通勤ラッシュを我慢できません(笑)

リモートワークの健全な発展を祈りますね。

ではでは。