No200 テレワークを狙った攻撃(10大脅威2021その3)

えがおIT研究所

お陰様で、このメルマガも200号を迎えることができました。
これも一重に読者の皆様のおかげと感謝しています。

今回は前回の続きとなりますが、IPAが公開した「情報セキュリティ
10大脅威2021」の内容について解説します。


1. IPA?10大脅威?(再掲)

詳しくは198号をご覧いただきたいのですが、IPAというのは独立
行政法人の一つで正式名称を「情報処理推進機構」と言います。

ここは、情報処理技術者試験の実施や情報セキュリティの啓蒙
の推進などを主目的に設立されています。

そのIPAが毎年2~3月に発表しているのが「情報セキュリティ
10大脅威」というものです。

これは、毎年のセキュリティ事故や事件の中でも社会的に影響が
大きかった手法(脅威)のワースト10を有識者の審議と投票で
決めたもので、発表と同時にPDFが無償公開されています。

「情報セキュリティ10大脅威 2021」を公開
 https://www.ipa.go.jp/security/vuln/10threats2021.html

このメルマガではこの10大脅威については昨年も解説しています
ので、興味のある方はご覧ください。

「No149 2019年最大の情報セキュリティ事故」
 https://note.com/egao_it/n/n00ecc7ad5446
「No150 多要素認証をも破る攻撃手法(情報セキュリティ10大
 脅威 2) 」
 https://note.com/egao_it/n/n19a2d55142a4


2. テレワークといってもいろんな形態がある

2021年版では、コロナ禍により、多く組織でテレワークを行うよう
になりました。

ですが、テレワークによっていくつかの問題が出てきます。

ひとつは、組織内に集約できていた秘密情報が自宅や個人所有の
機器に分散される点です。
情報が分散されると、それだけ防禦するのが難しくなりますから
いかに分散させないかが大切になってきます。

もうひとつはVPNなどを採用すると外部から組織内に侵入すること
が容易となる点です。

なお、VPNは「自宅にいながら事務所にいるかのように秘密情報を
読んだり書いたりできる」技術なのですが、詳しくは後述します。

この2点に対しては、それぞれに異なった対策が必要となります。


3. 自宅や個人所有の機器への分散を防ぐ

テレワークを行うことにより、今までは組織内(事務所など)に
集約できていた情報が多くの場所に分散される可能性が高まります。

個人所有のパソコンやスマホに秘密情報が分散されてしまうと、
秘密情報を守ることが非常に難しくなります。

というのは、個人所有の機器は、組織に比べればずっとガードが
緩いためです。

多くの組織では、ネットワークを多重防禦しています。
例えばこんな形が代表的ですね。
 1)組織の外と内の境界:ファイアウォールの設置
 2)侵入検知:IDSやIPSと呼ばれる機器の設置
 3)マルウェア検知:各PC(パソコン)にマルウェア対策
   ソフト(ウイルス対策ソフト。詳細は文末参照)の設置

ですが、自宅でここまでやる人はほとんどいませんし、設定も緩い
のが普通です。

これでは組織の情報保持にコストをかけても無駄になりかねません。

どうすれば良いのでしょうか?

意図的に情報を売り歩くような外道は別として、誰も情報漏洩など
起きて欲しくありません。

組織の情報を個人端末や機器にコピーするのは良くないことだ、
自分が情報漏洩の原因になりかねないんだ、ということを全員で
共有しましょう。

でも、そうはいってもコピーしないと仕事ができない情報もあり
ますから、そういった場合はどのように扱うかを決めましょう。

例えば、一件の顧客情報をメールで送ってもらうのはOKだけど
全顧客情報の一覧送付は不可としてはどうでしょうか。

もっと厳しくして、送ってもらったメールも使ったら削除する。
後日必要になれば面倒だけど再送してもらう、といったルールの
方が良いケースもあるでしょう。

「ええ?そこまでやる必要あるの?それじゃ仕事にならないよ」
という話ではありません。どこまでを許容し、どこからをNGと
するのかを決めて周知し、皆がそれを守ることが大切なのです。

利便性を最優先し「全員が好きなように顧客リストを所持してい
ても良い。それが漏洩したらその時は会社を清算しよう」という
方針も(非常に極端ですが)アリです。

要は安全性のために全てを犠牲にしろということではないという
ことです。

余談
 上記の考え方は「セキュリティポリシー」に通じるものです。
 「セキュリティポリシー」というのは、どの情報を守るか?
 特に守るべき情報はどれか?守るためにどれほどのコストを許容
 できるか?といったことが定められたセキュリティ方針のこと
 です。
 本来は守るべきものがナニかを定義し、全てのセキュリティ対策
 の拠り所となる大切なものです。
 ところが、「こうあるべき」で論を進めると、自分達で守れる
 はずのない非現実的なポリシーに簡単になってしまいます。
 これを現実的なレベルに落とし込むのが恐ろしく難しいのです。


4. 個人端末に分散した情報を守る

上で書いたようにルール化をしたとしても、情報の分散は避けられ
ません。

とすれば、次に取るべきはその情報を格納する個人機器のガード
です。

何も特別なことではありません。
多くの組織では当然のこととして実施していることを個人端末でも
実施するようにお願いすることです。

つまり、以下の2点を確実に行うことです。
 1)Windows Updateは必ず行う
 2)マルウェア(ウイルス)対策ソフトを導入する

また、以下の2点を(判断が難しいケースはあるものの)意識して
もらうことも大切ですね。
 3)怪しげなメールのリンクはクリックしない
 4)不要なソフトはインストールしない

このような対応が取れない(取りたくない)というメンバに対して
は、組織から業務用PC(パソコン)を貸与しましょう。
業務用PCなら、上述のルールを守るように依頼できますからね。


5. VPNというもの

ここまでは、組織の秘密情報をメールなどを使ってPC(パソコン)
に格納するパターンについて書いてきました。

これとは別のアプローチがあります。
VPNと呼ばれる方式で各メンバが組織内のネットワークに接続し、
そこで業務を行うパターンです。

VPNについては、詳しくは、2020年4月に解説していますので、ここ
では簡単に述べておきます。

 No155 在宅勤務を支えるVPNをご存知ですか?
 https://note.com/egao_it/n/nd36db106749b 

VPNというのは、ものすごく端折って言うと、「自宅にいながら組織
内部の秘密情報を読んだり書いたりできる」技術です。

要は本来は組織外では見ることのできない組織の秘密情報を見る
ための技術を指します。

VPNは特定の製品を示す言葉ではなく、外部からプライベート
(組織内)ネットワークを利用するための技術全体を指します。

VPNでは、最初の接続時にクライアント認証という確認を行うこと
で本当に許可された人のアクセスか識別します。
クライアント認証には、電子証明書などを利用するのですが、通常
は言われた手順通りに設定しただけで何が起きているのかご存知で
ない方が大半だと思います。

ただ、ここで設定した電子証明書にはパスワードが付いていること
が多く、電子証明書とパスワードの両方を知らないと使えないよう
になっています。

このVPNを使うと、あたかも事務所で使っているかのようにPC
(パソコン)が使えます。メールはもちろん、ファイルサーバも
使えます。
ファイルサーバ上のデータを直接参照できるので、PCへのコピー
も不要なため、情報分散を避ける意味でも効果的です。

昨年からのコロナ禍で一気に認知された感のあるVPNですが、製品
自体は意外に古く10年以上前(2005年あたり)から販売されており、
今も多くの製品が販売されています。


6. VPNを正しく使う

以前からVPNを利用しているところはまだ良いのですが、2020年に
急いで導入した場合、そろそろじっくりと運用を点検すべき時期
です。

VPNでテレワークができているということは、正しい手順を踏めば、
誰でも組織外から組織内の秘密情報にアクセスできるということ
です。

それまでVPNのような仕組みがなかった組織では、導入前はマルウェ
ア(いわゆるウイルス。詳細は文末参照)などを使わない限り、
そう簡単には組織内に侵入できなかったのですが、VPN導入後は
それがずっと容易になるのです。

VPNを導入することは、言わば入口がない建物に入口を作ることと
同じです。その入口で変なことが起きていないかの確認が必要で
あるのは誰でもわかります。

また、VPNのソフトウェアのバージョンアップやセキュリティ対応
版が出れば、スグに適用することも必要です。

2020年はVPNシステム提供側が恐ろしく多忙だったでしょうから、
通常時のように丁寧な対応ができなかいことは容易に想像がつき
ます。

導入する方もバタバタした中での作業だったはずですから、導入後
のメンテナンスがおろそかになっているケースもあるはずです。

だから、今こそがVPNシステムのメンテナンスを実施に最適と言え
ます。

具体的には以下の三点については早急に点検を実施すべきです。

 1)最新バージョンを知る方法の確認
 2)最新バージョンの導入
 3)現在の設定の再確認

正直に言いまして、この確認を小さな組織が自力で行うのはかなり
難しいです。システム導入をしてくれたベンダーや懇意にしている
システム会社などに点検を依頼するのが現実的です。

また、自分達でできる点検として、退社した人のIDを削除しておき
ましょう。VPNを使わない人(事務所に出勤している人)にID発行
している場合も同様に削除しておきましょう。

こういった未使用のIDを放置しておくと、万一悪用されていても
気付くのが遅くなりやすいためです。


7. まとめ

IPAという独立行政法人の「情報セキュリティ10大脅威」のうち、
組織向けの脅威のうち、3位のテレワークの危険性について解説
しました。

テレワークは便利なものですが、逆に気軽に組織の秘密情報を持ち
出せてしまう怖さがあります。
それを避けるためにも、秘密情報の持ち出しは最低限に絞り込み、
必要でなくなったら必ず削除するといった運用が望ましいです。
また、各人のテレワーク機器は組織内のPCと同様のセキュリティ
レベルを確保できるようにしておくことも重要です。

テレワークを支えるVPNについても、2020年に急ぎ導入したのであれ
ば、点検を行う良い機会です。VPNシステムの提供元などにも相談
しながら、現状に問題がないことを点検してください。

また、退社した方などの不要なIDの削除も忘れずに行いましょう。

テレワークという業務形態は今後も当分の間続くことでしょう。
問題なく運用を維持するためにも、定期的な点検を続けるように
しましょう。

次回もお楽しみに。

今回登場した用語

○マルウェア
 これは英語圏での造語で、malicious-softwareを縮めてmal-ware
 (=マルウェア)と呼ぶ。
 malicious(マリシャス)は「悪意のある」とか「故意の」と
 いった意味。
 つまり、利用者が思ってもいないコトを裏でコッソリやるソフト
 ウェアの総称を指す。
 ウイルスと何が違うんだ?と思ったアナタは正しい。
 以前は「ウイルス」が悪事を働くソフトの代表だったので、それ
 が総称を兼ねていた。
 ところが、ウイルス以外にも悪さをするソフトウェア、例えば
 ワーム、トロイの木馬、偽ソフトといった形式のソフトウェアが
 登場してきた。
 結果、狭義のウイルスと広義のウイルスの2つの意味にかなりの
 差が生まれてしまった。
 この両方を「ウイルス」で表記していると区別がつきにくくなる
 ため、マルウェアという言葉を「悪さをするソフトウェア」の
 総称として使いはじめた。
 2021年現在、ウイルスという言葉はマルウェアの一つの形式扱い
 ということで専門家の間では定着した。一般ユーザにも広がり
 つつあるが「ウイルス」と呼ぶ人もまだまだ多い。

○マルウェア対策ソフト
 ウイルス対策ソフトとか統合セキュリティソフトなどと呼ば
 れるソフトウェアのこと。マルウェアに限らず、外部の脅威から
 PCを守ることを目的としたソフト。多くの場合、マルウェア
 対策のみの製品、怪しげなサイト(フィッシングサイトなど)
 へのアクセス制御を加えた製品、といった複数の製品をライン
 アップしている。

このNoteは私が主宰するメルマガ「がんばりすぎないセキュリティ」からの転載です。
誰もが気になるセキュリティに関連するトピックを毎週月曜日の早朝に配信しています。
無料ですので、是非ご登録ください。
https://www.mag2.com/m/0001678731.html

この記事が気に入ったらサポートをしてみませんか?