リモートワークで押さえるべきセキュリティリスクと対策 
/ RemoteWorkerAssociation-security

Transcript

1. Copylight © Caster Co.Ltd. All rights reserved. リモートワークで押さえるべき
 セキュリティリスクと対策
 2020年3月12日


   
 リモートワーカー協会


2. Copylight © Remote Worker Association All rights reserved. 2 ホワイトペーパー公開の背景


   新型コロナウイルスの感染拡大を防ぐために、
 リモートワークを導入する企業が増えています。
 
 多くの方々がリモートワークに挑戦しているものの、
 どうやって企業に導入したら良いのかわからなかったり、
 不必要な懸念に駆られて導入できないという声を多数お聞きしてきました。
 
 リモートワークをスムーズに導入・運用するためには、正しい知識が必要です。本資料 では、リモートワークにおけるセキュリティについてまとめましたので、お役立ていただ ければ幸いです。
 
 ホワイトペーパーvol.1：全体編　※株式会社キャスター提供
 （資料をPDFダウンロードしていただき、→をクリックすると別サイトに遷移いたします。）


3. Copylight © Remote Worker Association All rights reserved. 3 •

   リモートワークにおけるセキュリティ脅威と事故
 • セキュリティ脅威・事故防止への対策
 • セキュリティ対策マップ
 • 対策事項詳細
 
 〜Appendix〜
 ・さらにセキュリティ対策を強化するために
 ・ホワイトペーパー監修
 目次


4. Copylight © Remote Worker Association All rights reserved. 4 リモートワークにおけるセキュリティ脅威・事故


   •マルウェア感染
 •不正アクセス
 •盗難　
 •設定、運用ミス
 •端末置き忘れ
 •各種ハードウェア故障
 •地震、火災
 •洪水、落雷停電等
 人為的 脅威
 意図的 脅威
 偶発的 脅威
 環境的脅威
 情報消失
 情報漏えい
 作業中断


5. Copylight © Remote Worker Association All rights reserved. 5 セキュリティ脅威・事故防止への対策


   情報消失
 情報漏えい
 作業中断
 1.ポリシー 管理
 2.システム 対策
 3.物理
 対策
 1-1. ポリシー更新
 1-2. 従業員教育
 2-1. アクセス制御
 2-2. 監査
 2-3. 監視・検知
 3-1. 端末
 3-2. ネットワーク
 3-3. 執務環境


6. Copylight © Remote Worker Association All rights reserved. 6 セキュリティ対策マップ


   持出し
 社内 社外 会社端末
 私物端末
 アクセス
 端末管理/
 ログ管理
 自宅
 カフェ・
 コワーキング等
 社内
 サーバー
 クラウド
 システム
 1-1. ポリシー更新
 2-1. アクセス制御
 1-2. 従業員教育
 2-3. 監視/検知
 2-2. 監査
 3-1. 端末
 3-2. ネットワーク
 3-3. 執務環境


7. 対策事項詳細
 Copylight © Remote Worker Association All rights reserved.

8. 8 1. ポリシー管理
 1-1.
 ポリシー
 更新
 1-2.
 従業員教育
 • セキュリティポリシー、規程、マニュアル類を更新する。


   • リモートワーク導入によってルール変化が起こる部分が更新 対象となる。
 - 情報資産へのアクセス制御、通信のセキュリティ、暗号化、 ログ管理、マルウェアからの保護、執務環境等
 • セキュリティポリシー、規程類の変更箇所を中心に、リモート ワーク実施時に留意する点を従業員に周知する。
 • 特に従業員の行動次第で顕在化する脅威について重点的に 研修を行う。
 - 端末の盗難被害、公共無線LANへの接続等
 Copylight © Remote Worker Association All rights reserved.

9. 9 2. システム対策 2-1.アクセス制御
 アクセス
 ポイント
 制御
 • 利用可能なアクセスポイント（無線LAN）を限定する対応。
 •

   公共無線LAN等、未許可ネットワークへの接続を制御する。
 多要素認証
 • 認証の３つの要素から２つ以上を組み合わせる。
 - 知識要素：パスワード、PINコード
 - 所有要素：スマートフォン、トークン
 - 生体要素：指紋、顔
 • クラウド上のアプリへのアクセスであれば、ログインID／パス ワード入力後、登録済みのスマートフォンにSMSで届いたコー ドを入力しなければアクセスできない形を指す。
 Copylight © Remote Worker Association All rights reserved.

10. 10 2. システム対策 2-1.アクセス制御
 ID管理
 （アカウント
 管理）
 • アカウントの不正利用を防止するために、以下を行う。
 -

    アカウントの一元管理
 - アカウント発行時のパスワード生成／通知ルール
 - 休職・退職者のアカウントの停止・削除
 - パスワードの定期的な強制変更
 アクセス
 コントロー ル
 • 社外からの各種システムに対するアクセスを可能とする対応。
 • 従業員の属性（職位・部署等）に応じて、ファイル／フォルダの 閲覧制限をかける対応。
 - Active Directy、Google管理コンソール等での対応
 Copylight © Remote Worker Association All rights reserved.

11. 11 2. システム対策 2-2.監査
 ログ管理
 • ログを取得することにより、不正行為へのけん制・問題発生時 の原因特定に繫げる。
 • 主に、各社内システムや、ファイル、フォルダ、ウェブサイトへ

    のアクセスログ、パソコンの操作ログが対象となる。
 端末管理
 （MDM）
 • PC、スマートフォンなどのパスワードポリシー強制適用、遠隔 でのロック・データ消去を可能とする対応。
 • 端末の紛失・盗難時における機密情報の漏えい防止を目的と する。
 Copylight © Remote Worker Association All rights reserved.

12. 12 2. システム対策 2-2.監査
 フィルタ
 リング
 • 有害なサイト閲覧によるマルウェア感染リスクや、業務外のサ イト閲覧による生産性低下を防止する対応。
 Copylight

    © Remote Worker Association All rights reserved.

13. 13 3. 物理対策
 のぞき見
 防止
 フィルター
 • PC、スマートフォンの画面を見られることによる、認証情報 （ID／パスワード）や機密情報の漏えい防止を目的とした対 応。


    • 作業場所が不特定で、誰かに画面を見られる可能性の高い環 境となるリモートワークには必須の対応となる。
 シンクライ
 アント化
 • サーバー側の画面をPCなどの端末に表示させる対応。
 - 仮想デスクトップ、VDI、DaaSなどが当たる。
 • 端末側へのファイル、データ保存不可。
 • 私物端末を利用して業務を行う場合などに適している。
 Copylight © Remote Worker Association All rights reserved.

14. 14 3. 物理対策
 ワイヤー
 ロック
 • 不特定の場所で行うリモートワークにおいて、端末の盗難を物 理的に防ぐための対応。
 • 在宅勤務においても空き巣等の犯罪リスクがあるため、施錠し

    ておくことが望ましい。
 ハード
 ディスク
 暗号化
 • ハードディスクを暗号化し、盗難・紛失による情報漏えいを防 止する対応。
 • 一般的にWindowsはbit rocker、MacはFire Vaultを利用。
 • 暗号化解除パスワードが漏えいしている意味が無いため、 MDMとの組合せで、セキュリティを強固にする必要がある。
 Copylight © Remote Worker Association All rights reserved.

15. 15 3. 物理対策
 外部記録
 媒体制限
 • USBや外付けハードディスクなどの利用を制限する対応。
 • WindowsはActive Directryのグループポリシーで設定可能。


    • LanScope Catなどのエンドポイント管理ツールを利用し、接続 時の禁止通知、特定の外部記録媒体のみを利用可能にする、 といった対応も可能。
 ハード
 ディスク
 保存制限
 • 内蔵ハードディスクへのファイル保存を制限する対応。
 • データの作成・編集など、すべてをクラウド上で行うことで、情 報漏えいを防止する。
 • WindowsであればActive Directryのグループポリシーで設定す る。
 Copylight © Remote Worker Association All rights reserved.

16. 16 3. 物理対策
 無線LAN
 暗号化
 • 従業員の自宅無線LANを利用する場合には、無線LANが暗号 化されているかどうかを確認する。
 • 暗号化がされていない場合、第三者のなりすましに・踏み台に

    よる不正アクセスなどのリスクがある。
 施錠・
 入退室管理
 • 業務を行う環境は、自宅であれば施錠、シェアオフィスなどで は入退室管理がされた場所で行うことが望ましい。
 • 自宅においては空き巣等での盗難や、家族からの情報漏えい リスクの防止、シェアオフィスにおいは、入退室管理がされてい ることによる窃盗など犯罪へのけん制が利く。
 Copylight © Remote Worker Association All rights reserved.

17. Appendix
 Copylight © Remote Worker Association All rights reserved. さらにセキュリティ対策を強化するために


18. 18 2. システム対策 2-3.監視・検知
 マルウェア
 対策
 • マルウェア対策ソフトを導入し、感染による情報漏えい、ファイ ルの改ざん等を防止する。
 •

    プログラム、ウィルス定義ファイルの自動アップデートを有効に し、全端末に最新のアップデートが適用されている状態とす る。
 不正侵入
 検知・防御
 • サーバーやネットワークを監視し、不正なアクセスを検知・防御 することを目的とした対応（WAF/IPS）。
 • サイバー攻撃による自社システムからの情報漏えい、Webサイ トの改ざん等を防止する。
 Copylight © Remote Worker Association All rights reserved.

19. 19 2. システム対策 2-3.監視・検知
 パッチ
 マネジメント
 • 脆弱性を修正するためのセキュリティーパッチを全端末に対し て自動的・強制的に配布する対応。
 •

    Windows/Mac双方への対応、配布対象の端末特定、パッチ配 布前のテストが必要となる。
 Copylight © Remote Worker Association All rights reserved.

20. 20 2. システム対策 2-4.その他
 バックアップ
 • 社内のファイルサーバーと同様に、クラウド上のファイルにつ いても定期的なバックアップを取得するのが望ましい。
 アプリ
 導入・


    実行制御
 • 従業員自身でのアプリ・ソフトウェアのインストール制限をかけ る対応。
 • ライセンス違反の防止、マルウェア感染の防止等を目的とす る。
 • WindowsであればActive DirectryのApp Locker等の利用を推 奨。
 Copylight © Remote Worker Association All rights reserved.

21. Copylight © Remote Worker Association All rights reserved. 21 ホワイトペーパー監修


    
 株式会社クロスリバー代表取締役社長CEO
 株式会社キャスター Caster Anywhere責任者 越川慎司
 
 国内外の通信会社に勤務、ITベンチャーの起業を経て、マイクロソフト米国本社に入社。 
 のちに日本マイクロソフトの業務執行役員として、Officeビジネスの責任者に従事。 
 2017年に株式会社クロスリバーを創業し、週休3日で500社以上の企業の働き方改革やITプロジェクトを支援。海外プロ ジェクトにも参画し、年間移動距離は地球4周以上になる。 
 2018年11月に株式会社キャスターの執行役員に就任し、リモートワーク導入コンサルティング「Caseter Anywhere」の事 業責任者およびコンサルタントとして、多くの企業でリモートワーク支援を手がける。 
 ホワイトペーパー監修、情報提供