おそらく在宅勤務でのコンピューターの設定はリモートワーカーごとに異なるので、セキュリティは厄介な問題です。ここでは、いくつかのガイドラインを紹介します。

新型コロナウイルスの流行によって多くの社員が在宅勤務するようになると、これまでの会社のセキュリティ方針を保つことは難しくなります。在宅勤務でセキュリティを確保できるように十分なリソースとガイダンスを用意してくれる会社もあるかもしれませんが、大部分の会社ではこのような対策は不十分でしょう。今は普通の状況ではないのです。

自宅にいるときも、会社のITポリシーとサイバーポリシーに従いましょう。たとえば、個人所有のコンピューターを仕事に使っている場合は、会社のデータは会社のネットワークストレージだけに保存し、自宅のコンピューターには保存しないでください。会社支給のデバイスを使っている場合は、データストレージに関する会社のポリシーに従わなくてはなりません。ガイダンスに従うのが難しい場合は、会社で決められた方法でIT部門や適切なセキュリティスタッフに問い合わせてください。

以下に示すアドバイスのほとんどは、いつでも役立つ内容なので、常に従うことをお勧めします。パンデミック危機による在宅勤務は、セキュリティへの意識を高めるきっかけになるでしょう。

使用するコンピューター、自宅の環境、家族構成は多種多様なので、厳密なガイドラインを定めることはできませんが、会社の規則に加えて、以下のチェックリストも頭に入れておきましょう。

1. COVID-19に関連したフィッシングや詐欺について複数の報告があります。

• セキュリティ企業のCrowdstrike社によって特定されたスパムテキストメッセージでは、ユーザーは英国政府からの支給金を受け取るためにリンクをタップするように促されます。実際のテキストは「緊急: 政府はCOVID 19と戦う取り組みの一環としてすべての居住者に258ポンドを至急します。申請するには、ここ*******をタップしてください」というようなものです (実際のアドレスは安全のために削除しています)。Crowdstrike社は、このスパムは以前にあった還付詐欺の手法を流用したものだと考えています。
• 米国疾病予防管理センター (CDC) を騙るメッセージや世界保健機関 (WHO) を騙るメッセージがあります。CDCからの偽のメッセージは、HawkEyeタイプのマルウェアを送りつけます。WHOからの偽のメッセージは、電子メールのログイン認証情報を盗み取ろうとするフィッシング詐欺です。
  
• 日本で見つかったフィッシングメッセージの送り主は「障害福祉サービス事業者」と称しており、添付のMicrosoft Wordファイルで最新の医療情報を提供すると書かれていますが、そのファイルを開くと、トロイの木馬型マルウェアであるEmotetがインストールされます。
  

 

会社のアカウントで疑わしいメッセージを受け取ったら、すぐにIT部門やセキュリティ部門の担当者に報告しましょう。他の社員も同じメッセージを受け取っている可能性があり、迅速な対応が必要になるかもしれないからです。また、米国連邦取引委員会は偽のコロナウイルス治療薬を販売するオンライン詐欺を報告しています (こちらとこちらを参照)。

2. あまり目にしない手の込んだ攻撃手法ですが、知人からの電話だと思っても実際には偽者である場合があるので気を付けてください。発信者の電話番号は簡単に詐称できますし、ウォールストリートジャーナルが2019年に報告した事例では、攻撃者がAIを利用して人の声をシミュレートし、ある会社から24万3千ドルをだまし取っています。今や、このような電話があなたの自宅にかかってくる可能性があるのです。

3. 自宅のWi-Fiでは推測しにくい長いパスワードを使ってください (8文字以上で、大文字と小文字、数値、記号を組み合わせるのがベストです)。サイバー犯罪者がWi-Fiネットワークを傍受して、個人情報を売るために手に入れようとするのは珍しいことではありません。ガイドラインに従っていても、「123 Elm St.」のように自分の住所を使ったパスワードは適切ではありません。もっと安全なものにしましょう。ブロードバンドISPから提供される最近のWi-Fiルーターには通常、一意で複雑なパスワードが事前設定されており、ルーターの本体にそのパスワードが記載されています。

4. アカウントやパスワードのセキュリティはいつでも見直すことができますが、今こそ、その機会でしょう。会社のセキュリティガイドラインに厳密に従って、自宅のネットワーク、コンピューター、アカウントをしっかり確認します。特に、セキュリティが侵害されたときに仕事に悪影響を与えるものに注意を払ってください。また、リモート管理機能を有効にできるISPアカウントについてはよく検討しましょう。

5. すべてのアカウントで強力かつ一意なパスワードを管理する最適な方法は、パスワードマネージャーを使用することです。市場には優れた製品が多数ありますが、Googleは、Googleアカウントと連携してChromeとAndroidで動作するシンプルな製品を提供しています。パスワードマネージャーを使用すると、アカウントのログイン情報をすべてのデバイスで同期できます。この点については、会社のポリシーに注意する必要があります。そのようなソフトウェアを会社所有のデバイスにインストールすることが禁止されていたり、会社支給のソフトウェアのみを使用する必要があったりするためです。会社のポリシーでそのようなソフトウェアを自宅のデバイスで使用してもよいのかを確認しましょう。

6. 重要なアカウントがTwo-Factor認証に対応している場合は、必ず使用しましょう。この認証方式では、ほとんどすべてのアカウントで、実世界で起こっているようなハイジャック攻撃を防ぐことをできます。

7. 子供がオンライン授業でコンピューターを使う必要がある場合は、難しいことかもしれませんが、仕事で使うコンピューターと自宅で皆が使うコンピューターは別にしましょう。従業員のみが会社のデバイスを使用できるという規則は一般的なものなので、会社のポリシーを注意深く確認してください。

8. 会社の仮想プライベートネットワークに接続しているか、VPN上ではなくデバイス上にある会社のデータを使って作業している場合は、むやみに他のWebサイトにアクセスしないでください。いずれもセキュリティ上の理由があるためですが、VPN経由のトラフィックを必要以上に増やさないようにする目的もあります。普段からクリックするものに注意を払うべきなのはもちろんですが、会社の資産が関係する場合は、必ず会社の規則に従わなくてはなりません。

9. マルウェア対策パッケージをデバイスに必ずインストールして、常に最新の状態に保ってください。

10. オペレーティングシステムとアプリケーションが最新のバージョンになっていることを確認しましょう。現在、これらのほとんどはデフォルトで自動アップデートするように設定されていますが、念のため確認することをお勧めします。

11. 会社はデータファイルのバックアップについて特に注意しているはずですが、今は個人用ファイルのバックアップについても検討する時期でしょう。バックアップ用のクラウドサービスを使用してバックアップのベストプラクティスに従い、他のサービスで使用していないユーザーIDとパスワードを設定してください。そのようなストレージをすでに会社から提供してもらっているかもしれませんが、そうでない場合でも、無料のストレージを自分で用意できます。まだ使っていないのであれば、15 GBのストレージを無料で利用できるGoogle Driveは有力な候補になるでしょう。アカウントのTwo-Factor認証を有効にしてください。バックアップを自動実行しながらセキュリティを保つのは厄介ですが、手動であれば難しくはありません。

12. 繰り返しになりますが、会社のセキュリティポリシーに従って、オフィスで仕事用のPCを使っているときと同じように振る舞いましょう。米国連邦取引委員会 (FTC) でも、役に立つ対策を紹介しています。