アバストCISOが語る在宅勤務中の注意点、適切な機器・サービスの導入や最新の脅威情報の共有が重要に

Avast Software最高情報セキュリティ責任者（CISO）のJaya Baloo氏

　新型コロナウイルス感染症（COVID-19）の拡大で在宅勤務が身近になったものの、セキュリティの観点から何を気にすれば良いのか分からないケースもあり得るだろう。

　そこで、チェコ最大のIT企業であるAvast Softwareの最高情報セキュリティ責任者（CISO）であるJaya Baloo氏に在宅勤務におけるセキュリティ確保のポイントや、気を付けるべき脅威について伺った。

グローバル企業はリモートワークの下地あり、Avast社内では「新しい日常」となり従業員はリモートで繋がりを保つ

――本日はよろしくお願いします。新型コロナウイルス感染症（COVID-19）の拡大防止策として、日本でも在宅勤務を実施する企業が急増しました。チェコ共和国のプラハに本社を構えるAvastですが、御社の状況について教えてください

　Avastはグローバル企業であり、以前から（世界の複数拠点間での）ビデオ会議や同僚とのやり取りに慣れていました。従業員同士がチャットやビデオ会議を通じて在宅勤務を楽しく効果的に行うヒントを共有し合っています。

　全世界のAvastの従業員は3月16日から在宅勤務を行っています。社内では「Our new normal（私たちの新しい日常）」と呼んでおり、家族がいる自宅で仕事をする方法を学んでいます。

本社・オフィススペース

企業向けにセットアップされたデバイスの提供と適切なアクセス権限管理が不可欠

――御社が行った調査によりますと、日本の会社員のおよそ3人に1人が公共の場や自宅で仕事をするために必要な技術的サポートや情報を、会社から得られていないと回答しています。企業が行うべき対策（技術面・運用面）について教えて下さい

　企業は社内資料にアクセス可能なデバイスの事前承認を徹底し、必要に応じてIT部門が制御できること、また、企業向けのセキュリティソリューションを導入することが望ましいです。

　そのためには、ビデオ会議、ファイル共有、G SuiteやOffice 365など、企業向けコラボレーションプラットフォームの使用に適したセキュリティが担保された機器を従業員に提供すべきでしょう。

　在宅勤務における通信を保護するため、従業員にVPN接続を提供することが不可欠です。さらに社内ネットワーク全体へのアクセスを許可するのではなく、業務上必要なサービスにのみ接続できるよう、アクセス制限をかける必要があります。また、企業は在宅勤務においてプリンターなどの個人所有デバイスの使用に関する基本ルールを定めるべきでしょう。

在宅環境でも多層防御を、迅速なVPN導入にはサブスクリプション型サービスが有用

――「事前承認されたデバイスが望ましい」ということですが、日本ではその準備期間なしに在宅勤務を強制されているところもあります。また、機器の需要急増に予算やサプライチェーンがついてこないのが実情です。上の質問に関連して、IT管理者が従業員の在宅セキュリティ対策をリモートで確認する工夫やヒント、ツールがあれば教えてください

　従業員が個人所有のデバイスを使っていても、企業のサイバーセキュリティを大幅に向上させるためにIT管理者ができるセキュリティ対策は、いくつかあります。インターネットベースのサービスを利用する際には、可能な限り従業員が使用するサービスに2要素認証を導入し、アカウントへの保護層を増やすなど複数のセキュリティ対策を実装すべきです。

　IT管理者は、従業員の通信を保護するVPNソリューションを提供する必要があります。企業ネットワーク用のアプライアンス型のVPNは、従業員が会社のサーバーに接続することができるため理想的なソリューションですが、特に小規模な企業にとっては、費用と導入期間に問題があるでしょう。

　企業がオンライントラフィックを保護するために迅速かつ安全なソリューションを必要としている場合は、「アバスト セキュアライン VPN」のようなサブスクリプション型のVPNソリューションを従業員に提供することで、迅速に導入を進めることができます。

　理想的にはソーシャルディスタンスに関するルールが緩和されても、企業はハードウェアやBYOD（Bring Your Own Device）管理を展開するといったオプションも検討すべきです。

　Zoomを介したビデオ会議については、1）承認されたユーザーのみが会議に参加できるようにする、2）新しい会議を設定する際は必ずパスワードを要求する、3）待合室機能の有効化を義務付ける、4）パーソナルミーティングID（PMI）の共有に関するルールを厳格化するなど、悪用されるリスクを軽減するルールを設定することをお勧めします。

　Zoomは4月下旬のアップデートにより、ビデオ会議を乗っ取る「Zoom-bombing」やその他のセキュリティの脅威を防ぐために、デフォルトでパスワードを要求するようになりました。Zoomのアップデートは頻繁に行われているので、最新バージョンを使用しているかどうかを必ず確認してください。

Zoom設定画面から待合室機能が有効になっているか確認できる

家庭内の弱いセキュリティに付け入られるスキあり、システムは常に最新の状態にアップデートし、パスワードは個別に設定

――テレワークを行うことで起こり得るセキュリティ上の脅威について教えてください。また、従業員が自宅でできる／行うべきセキュリティ対策についてアドバイスがあればお願いします

　オフィスで仕事をしている場合は、いくつものセキュリティ層で保護されているので企業内ユーザーへの攻撃は容易ではありません。

　自宅で仕事をしている場合にはこのような保護機構の一部が適用されていない場合があり、サイバー犯罪者に付け入られて悪用される可能性があります。攻撃者は既知の脆弱性の悪用に焦点を当てていますが、テレワークで日常的に使用されているテクノロジーの中から新たな脆弱性を発見する可能性もあります。

　従業員は使用しているデバイスのOS、ソフトウェアを常に最新の状態に保つ必要があります。アップデートは悪用される可能性のある脆弱性を修正するセキュリティパッチを含んでいるため重要です。また、サイバー犯罪者はFlash Playerの脆弱性を悪用し続けていますが、業務で必要でない場合はFlash Playerを無効にすべきです。

　前述の調査では、日本人の41％がルーターの設定を確認・変更できるウェブ管理画面があることを認識していないことが分かりました。このため、従業員はルーターの管理インターフェースにログインしてデバイスのログイン認証情報を変更する必要があります。例えばWi-Fiのパスワードは「Kyoto2021=IPPODOmatcha」のようにユニークで長いものに変更することが重要です。利用するサービスやウェブサイトについてもそれぞれ異なるパスワードを設定することを推奨します。パスワードを適切に管理するために「アバスト パスワード」のようなパスワードマネージャーを使用することもお勧めします。

　また、ルーターの設定内でポート転送とUPnP（Universal Plug and Play）が有効になっていないか確認してください。意図的に使用している場合を除きUPnPを無効にしましょう。「アバストアンチウィルス」に含まれる「Wi-Fiインスペクター」機能では、どのデバイスがホームネットワークに接続されていて、どのような状態なのかを確認できますので、こうしたツールを活用することもお勧めします。

ホームネットワークの脆弱性の有無を確認できる「Wi-Fiインスペクター」機能

偽情報に惑わされず、重要な情報は信頼できる機関から直接入手すべき

――フィッシング詐欺、ビジネスメール詐欺（BEC）についてですが、最近では新型コロナウイルスに便乗したものも確認されてます。最近の事例と対策について教えてください

　従業員は、スピアフィッシングメールを含む新型コロナウイルスに関連するフィッシング詐欺にも注意する必要があります。これらのメールは、社内からのものと見せかけていることがあります。添付ファイルやリンクを開いたり、要求に応えたりする前に、送信元のメールアドレスを確認したり、メッセージが実際に本人から送信されたかを確認しましょう。

　最近、弊社従業員を標的としたスピアフィッシング攻撃も確認されましたが、幸いにもCISO部門に通知されたため、従業員に注意を促すメッセージを送信することができました。

　そのほか、マスクや消毒液などの偽販売サイトも確認しています。多くの詐欺サイトでは病気を防ぐ、または感染者を奇跡的に回復させることができる「薬」を提供しているとも主張します。こうした「薬」は、錠剤、飲み物、粉末などのかたちで販売されますが、金銭を巻き上げるだけで治癒効果はありません。

　世界保健機関（WHO）をかたる不審なメールも出回っています。寄付金やWHOが主催するとされる学会への登録料を要求するもの、WHOへの就職を勧めてくる詐欺もあります。これらの詐欺は、WHOのロゴを入れて説得力を持たせようと見せかけています。ユーザーはメールやSMS、怪しいアプリやウェブサイトを介して送られてくる情報に注意し、厚生労働省や米ジョンズ・ホプキンス大学の新型コロナウイルスリソースセンター、WHOのウェブサイトなど、新型コロナウイルスに関する情報を直接入手できる、信頼できるウェブサイトを参照すべきです。

世界保健機関（WHO）をかたるフィッシング詐欺が確認されており、同機関では注意を呼び掛けている

従業員のセキュリティ意識を高めるための取り組みや最新の脅威に関する情報共有を

――最後の質問になりますが、在宅勤務を安全に行うためには従業員全員のセキュリティ意識を向上する必要があると思います。そのための工夫やヒントがあれば教えてください

　組織は従業員が脅威を認識できるための教育を行う必要があります。弊社では従業員がどこにいてもアクセスできるオンラインセキュリティトレーニングを導入しました。またスピアフィッシングメールなどに関する最新の脅威に関する情報を頻繁に共有することで潜在的な新しい脅威に対する社員の意識を高めることができます。

　企業は事業継続とセキュリティの観点から、従業員の電話番号をリスト化し、従業員にIT関連の問題が発生した場合にIT部門または責任者から連絡を取れるようにしておく必要があります。また、特別な状況下においても同僚との連絡や資料共有ができる、会社支給でないハードウェア、ソフトウェアおよびサービスが何であるか、従業員に情報を共有しておくことが重要です。

――ありがとうございました