リモートワーカーに共通するセキュリティリスク

ブログ

リモートワークは素晴らしい機会ですが、管理しなければならないリモートワークセキュリティリスクが伴います。

byアホナ・ルドラ

読書時間 7
リモートワーカーに共通するセキュリティリスク
目次-

リモートワークが増加しています。クラウドやモバイル技術が私たちの働き方を変えるにつれ、ペーパーレス化がかつてないほど容易になり、いつでもどこでもリモートワークやフレックスタイム制が可能になりました。

2021年から2022年にかけて、60%のスタッフ比率でオフィスへの復帰を見込んでいます。これは、約37%の参加者がオフィスでの仕事への復帰に自信を示していた前回の調査から改善されたものです。この展開は、職場における対面での共同作業の利点を浮き彫りにしています。 ~スタティスタ

しかし、利便性の向上とともに、リモートワークのセキュリティリスクも増加しました。電子メールは依然としてパートナー、企業、従業員、顧客間の主要なコミュニケーション手段であるため、重要な標的となっている。サイバー犯罪者は常に、機密データ(パスワードやクレジットカード番号)を盗み、不正に利益を上げる方法を模索し、常に新しい方法を考案しています。今日、世界中でリモートワーカーを雇用する企業が増えている。労働者は、リモート・セキュリティには必ずしも注意を払っていない。そのため、サイバー犯罪者にとっては、標的を絞り、離れたところから被害を与えることが容易になっている。セキュリティの脆弱性は機密情報の漏洩につながり、企業やその顧客だけでなく、個人ユーザーにも深刻な影響を及ぼす可能性がある。

リモートワークのセキュリティに関する主なリスクとと、リモートワークのセキュリティを確保するためのヒントをご紹介します。

主なポイント

  1. リモートワーカーは特に、フィッシング詐欺、なりすましメール詐欺、マルウェア詐欺に遭いやすい。
  2. 機密情報を不正アクセスから守るためには、ファイル共有と電子メール通信の両方で暗号化を活用することが不可欠です。
  3. 複雑性の要件や二要素認証(2FA)の有効化など、強力なパスワード・ポリシーを導入することは極めて重要である。
  4. 定期的なソフトウェアのアップデートと、パブリッククラウドサービスやVPNを含むツールの安全な設定は、エクスプロイトに対する防御に不可欠である。
  5. 個人所有のデバイスを業務に使用することは、重大なセキュリティ上の脆弱性をもたらすため、明確なポリシー、アクセス制御、または業務専用の機器が必要となる。

リモートワーク 5つのセキュリティリスク

リモートワークは素晴らしい機会ですが、管理しなければならないリスクも伴います。ここでは、一般的なリモートワークのセキュリティリスクを5つ紹介します。をご紹介します:

  • フィッシング、マルウェア、電子メール詐欺への感受性

フィッシング マルウェアフィッシング、マルウェア、電子メール詐欺(送信者のアドレスやドメイン名を偽装する電子メールスプーフィングを含む)はすべて、どの従業員にも起こりうるサイバー犯罪の一形態です。しかし、リモートワーカーは同僚の目が届かないため、特に被害を受けやすい。マルウェアは、電子メールの添付ファイルやリンクを介してシステムに侵入し、情報を盗んだり、有害な活動にコンピュータリソースを使用したりします。

バーチャルオフィスのワーカーは、オフィスにいないことが多く、同僚と顔見知りになる可能性が低いため、フィッシング詐欺に遭いやすい。攻撃者は、信頼できる情報源(多くの場合、上級幹部や同僚)を装って機密情報を入手しようとする。実際、リモートワーカーは、オンサイトワーカーと比較して2倍のセキュリティインシデントを引き起こしている。チームのメンバーを名乗る人物から、機密情報へのアクセスや送金を要求するメールが届くこともあります。フィッシング攻撃は非常に説得力があるため、その兆候を見分ける方法を学ぶことが重要です。

PowerDMARCでリモートワークのセキュリティを簡素化!

15日間のトライアルデモを予約する

  • 暗号化されていないファイル共有と通信

リモートワーク中のワーカー暗号化ソフトを使わずに、電子メールやインスタント・メッセンジャーでファイルを共有することができます。このようなメッセージにアクセスした人は、誰でもそれを読むことができ、機密情報を利用することができます。電子メールの暗号化は、たとえ通信が傍受されたとしても、その内容に簡単にアクセスできないようにする、さらなるセキュリティのレイヤーを提供します。企業は、リモートワークの頻度にかかわらず、リモートワークするすべての従業員に、DropboxやGoogle Driveなどの暗号化されたファイル共有ツールの使用を義務付け、必要に応じて電子メールの暗号化を利用する必要があります。金融情報や社会保障番号のような機密性の高い個人データを暗号化されていない電子メールで送信することは避ける。

  • 脆弱なパスワードの使用

セキュリティシステムにおいて最も脆弱なのは、常にユーザーのパスワードです。従業員が脆弱なパスワードを使用している場合、ハッカーは辞書攻撃やレインボーテーブルなどの総当たり攻撃を使って、簡単に従業員のデバイスやネットワークにアクセスすることができます。 

リモートのセキュリティを確保するために、強力なパスワード・ポリシーを実施することは有効です。 大文字と小文字だけでなく、数字や特殊文字も含む複雑なパスワードを要求し、解読が容易でない組み合わせにしたり、記憶に残る日付に結びつけたりすることで、これを実現できる。さらに、二要素認証(2FA)を導入することで、生体認証やSMSによる本人確認を追加することで、保護レイヤーをさらに増やすことができる。

  • パブリッククラウドにおける設定ミス

調査対象となった情報セキュリティ専門家の4分の1以上が、自分の組織が前年中にパブリッククラウドインフラでセキュリティ事故を経験したと回答しており、その主な原因はセキュリティの設定ミスであったことが""報告されている。2022年クラウド・セキュリティ・レポート2022年クラウド・セキュリティ・レポート」によると、セキュリティ・ソフトウェアのプロバイダーであるチェック・ポイント・ソフトウェア・テクノロジーズが発表したものです。

セキュリティの設定ミスは、情報漏えいの最も一般的な原因の1つであり、クラウドサービスだけでなく、すべてのソフトウェアでパッチやセキュリティアップデートを常に最新の状態に保つことが重要な理由です。攻撃者は、古いソフトウェアの脆弱性を悪用することがよくあります。アマゾン・ウェブ・サービス(AWS)のようなパブリック・クラウド・プロバイダーを利用している場合は、そのプロバイダーが、クラウド・サービスの設定に関する適切なドキュメントを用意していることを確認してください、 アップデートを効率化し、セキュリティを維持するためにリモートデプロイメントを使用するなど、適切に設定された最新のサービスを使用していることを確認し、AWSのコストを監視して異常がないことを確認する。

  • 私物の端末を業務で使用する

リモートワーカーや外国人従業員を雇用している企業において、個人所有のデバイスを業務に使用する習慣は、さまざまなセキュリティ上の懸念をもたらす。まず、自分の管理下にないデバイスを使用することになります。そのため、データが暗号化されていない場所に保存される可能性があり、データの紛失や盗難のリスクが高まります。さらに、これらのデバイスがマルウェアやスパイウェアに感染すると、ネットワーク全体が危険にさらされる可能性があります。

在宅勤務のためのセキュリティ対策

在宅勤務は素晴らしい贅沢ですが、危険も伴います。気をつけないと、自宅がサイバー犯罪者の格好の標的になりかねません。サイバーセキュリティのリテラシーは、全従業員にとって最優先事項であるべきです。

リモートワークにおけるセキュリティのヒントは以下の通りです。をご紹介します:

フィッシング対策ソリューションの使用と用心

すでに アンチフィッシング・ソリューションPowerDMARCによるフィッシング対策ソリューションをお使いのコンピューターやモバイルデバイスに導入しているはずです。デバイスを使用している時間が長いため、フィッシング攻撃の被害に遭う可能性が高く、またこれらの攻撃は非常に説得力のあるものです。不審なメールに注意:添付ファイルを開いたり、知らない送信元からのリンクをクリックしたりするのは避けましょう。送信者のアドレスを確認し、メールの内容をよく読んで、フィッシングの兆候を見逃さないようにしましょう。

DMARCでドメインを保護する

ドメインベースのメッセージ認証、報告、適合性 (DMARC)は、なりすましを含む詐欺メールが受信トレイに届くのを防ぐのに役立つメールセキュリティ標準です。DMARCを導入することで、ISPはメールが正しいドメイン名から来ていない場合、または正しいDKIM署名を持っていない場合に拒否します。これは、フィッシング詐欺やその他のタイプのスパムメールから保護するのに役立ちます。

業務データは業務用コンピュータに保管する(または安全な代替手段を使用する)

会社支給のノートパソコンやタブレットを個人的な作業に使うのは、特に従業員にIT機器を支給している場合は魅力的だが、会社支給のノートパソコンやタブレットを使うよりも良いアイデアがある。職場と同じレベルの保護が受けられないのであれば、不必要に機密データを自宅に持ち帰らないようにしましょう。IT部門が管理していないデバイスに機密情報を保存する必要がある場合は、少なくとも暗号化し、紛失や盗難に遭っても誰もアクセスできないようにしましょう。また、リモート・デスクトップ・ソリューションを使って社内のハードウェアに別の場所からアクセスすることで、個人のデバイスに機密データが永久に保存されることを回避し、この問題を解決することもできます。MSPのリモート・デスクトップ・オプションもあるが、これはマネージド・サービス・プロバイダーだけでなく、一般の従業員にも適しているだろう。

WiFiのセキュリティも忘れずに

リモートで接続する最も一般的な方法はWiFi(または有線イーサネット)ですが、これらの接続はオフィスネットワーク内の接続よりも安全でないことがよくあります。自宅や別の事業所から仕事をする際に身を守るには、「WPA2」または「WPA3」暗号化機能付きのネットワークを探しましょう(新しいルーターにはすべてこの機能が付いているはずです)。また、WiFiホットスポットを利用したい友人や家族であっても、パスワードは絶対に他人と共有しないでください。

VPNを利用する

VPN(仮想プライベートネットワーク)またはサイト間VPNは、あなたのインターネットトラフィックを暗号化し、侵入者、ハッカー、ISP、またはあなたのデータを傍受して読もうとする政府機関からアクセスできないようにします。これは、公共のWiFiネットワークを使用する場合に特に重要です。さらに、VPNはあなたのオンライン匿名性を確保し、ハッカーがインターネット上であなたを追跡することを困難にします。

ソフトウェアを最新の状態に保つ

攻撃者は古いソフトウェアの脆弱性を悪用することが多いため、オペレーティング・システム、ブラウザ、その他のアプリケーションを最新のパッチやセキュリティ・アップデートに更新しておくことは、既知の脅威から身を守るために非常に重要です。

アクセス・コントロールの導入

組織は、機密情報へのアクセスを、職務を遂行するために真に必要な従業員のみに制限すべきである。不正侵入を防ぐため、元従業員のアクセス権を適時に削除するプロセスを確実に実施する。

データバックアップの確保

定期的なデータのバックアップは、マルウェア攻撃(ランサムウェアなど)や技術的な問題が発生した場合のデータ損失から保護します。バックアップは安全に保管し、定期的にテストするようにしましょう。

セキュリティ・トレーニングの提供

専門的な メールセキュリティトレーニングリモートワーカーや従業員向けの一般的なサイバーセキュリティ意識向上トレーニングを実施する。これにより、最新の脅威(巧妙なフィッシング手口など)を認識し、セキュリティのベストプラクティスを理解することができます。

視線を遮る

自宅や公共の場所で仕事をする場合、リモートワークの物理的なセキュリティリスクの1つは、誰かがあなたのコンピュータ画面を見ること(「ショルダーサーフィン」)です。これは、窓越しの隣人、通りすがりの人、近くに座っている人の可能性があります。誰かがあなたの画面を見ることができれば、データ、パスワード、その他の機密情報を盗まれる可能性があります。プライバシー・スクリーンを使い、周囲に気を配るようにしましょう。

最後の言葉

リモートワークは、企業や従業員にとって素晴らしいメリットとなり得ますが、その一方で、管理しなければならないリモートワークのセキュリティ・リスクもあります。 があります。フリーランサーであれ、リモートワークの従業員で構成されるチームであれ、リモートワークが一般的な企業であれ、企業のデータとアイデンティティを保護する簡単な方法があります。セキュリティのベストプラクティスに従うこと、DMARCやVPNなどの技術的コントロールを導入すること、トレーニングを提供すること、そして常に注意を怠らないことで、リスクを大幅に減らし、最悪のシナリオの多くを回避し、より安全なリモートワーク環境を確保することができます。


"`

最新記事 by Ahona Rudra(全て見る)
なぜフィッシングが有効なのか?フィッシングはなぜ有効なのか 01月01日SSLとTLSの違いとは?