新型コロナウイルスの広がりから、多くの企業でテレワークが広まりました。テレワーク下においては、従業員は自宅など、オフィス以外の場所から勤務していますが、システム・ネットワーク面からみると、「会社が環境を管理できるオフィス」と、「会社が環境を管理できない従業員の自宅等」では、セキュリティ上のリスクが大きく異なります。特に、不正アクセスを防ぐための対策は急務となります。
以下では、テレワークにおける不正アクセスの事例から、どのような方策が取り得るかについてまとめております。
【事例1】テレワーク端末が乗っ取られ「踏み台攻撃」に悪用
- テレワーク中に、外部からテレワーク端末に不正にアクセスされ、端末利用者が気づかないうちに乗っ取られて「踏み台攻撃」に利用された
インターネット経由で外部からの侵入を防ぐためには、ファイアウォールを有効にすることが重要です。WindowsならびMac OSの初期設定ではファイアウォールは有効に設定されていますが、意図せずにファイアウォールが無効となっていないかを確認しましょう。Windows 10であれば、設定項目「Windows セキュリティ」内に「ファイアウォールとネットワーク保護」という項目があり、ファイアウォールが有効となっているかどうかを確認できます。また、Mac OSであれば「セキュリティとプライバシー」項目内の「ファイアウォール」パネルで、ファイアウォールがオンになっていることを確認できます。
また、社内システムを利用する端末に対して、クライアント証明書でアクセス制限をかけ「クライアント証明書を導入されている端末のみ、社内システムにアクセス許可」と設定しておくことで、権限を持つ端末のみ社内システムへのアクセスを可能にできます。その結果、端末の乗っ取りの手段として多く用いられる、ウイルスやマルウェアの感染予防にも効果的です。
【事例2】パスワード使い回しによる不正アクセス
- プライベートで利用していたサービスに不正アクセスが発生。運悪くサービス事業者がパスワードを平文で保管していたため、暗号化されておらずパスワードが漏えい。そして、社内へのアクセスに漏えいしたパスワードと同じパスワードを使い回していたため、ハッカーにより社内システム・サーバが不正アクセスされた
これを防ぐための方策は、(1) パスワードの使い回しを防ぐ、(2) パスワードが万が一漏洩した場合でもアクセスされるリスクは防ぐ、の2つとなります。
はじめに(1)ですが、「利用する全システム・サービスに、類推できない個別のパスワードを設定する」ことが必要です。しかし、「類推できない個別のパスワード」は複雑で無意味な文字列となるため、全て記憶するのが困難です。よって、パスワード管理ツールやシングルサインオン (SSO)を利用し、必要なパスワードはツール上に全て記録するのが有効です。
しかし、パスワード管理ツールやシングルサインオンを利用しても(2)のリスクはあります。そこでパスワードが漏えいされてもアクセスを防ぐための仕組みとして、パスワードともう一つの認証方法を組み合わせる二要素認証にすることでそのリスクを防げます。
【事例3】クラウドサービスへの不正アクセス
- テレワーク時の不適切なパスワード管理の結果、会社の中核業務で利用しているクラウドサービスに不正アクセスが発生、クラウド上の情報が盗まれた
特に、CRMなどの顧客情報を含むクラウドサービスへの不正アクセスが発生した場合、膨大な個人情報が漏えいする可能性があります。こうした不正アクセスを防ぐための対策は、既にご説明した「パスワード管理ツールやシングルサインオン (SSO)を利用する」、そして「クライアント証明書などを利用した二要素認証」が有効です。
クライアント証明書は、「社内ネットワークや社内サーバへのアクセス」で用いられるケースが多いように思われがちですが、Microsoft 365 (Office 365)、G Suite、Salesforce、サイボウズなど、大手クラウドサービスでは既にクライアント証明書を利用した認証に対応しています。
なぜクライアント証明書がテレワークに有効か
事例のような不正アクセスの対策として認証強化を行うにあたり、パスワード認証に加え、二要素認証(多要素認証)にするのには、さまざまな認証方法があります。
電子証明書認証
- 利用方法
- 電子証明書のインストール
- 配布・登録
- オンライン手続き
- 専用ハードウェア
- 不要
- 費用
- 電子証明書導入
- 認証方法
- 証明書を選択
- 接続デバイス制限
- 可
ワンタイムパスワード認証
- 利用方法
- 使い捨てパスワードを入力
- 配布・登録
- 専用トークンやアプリ
- 専用ハードウェア
- 専用トークン、モバイルデバイスなど
- 費用
- 専用トークンまたはモバイルデバイス支給
- 認証方法
- 制限時間内にパスワードを入力
- 接続デバイス制限
- 不可
生体認証
- 利用方法
- 身体的特徴の登録
- 配布・登録
- 測定用機器で登録
- 専用ハードウェア
- 測定用機器
- 費用
- 測定用機器の導入
- 認証方法
- 身体的特徴で認証
- 接続デバイス制限
- 不可
IPアドレス認証
- 利用方法
- 固定IPアドレスを登録
- 配布・登録
- 固定回線を契約
- 専用ハードウェア
- 不要
- 費用
- 固定ネットワーク回線の導入
- 認証方法
- 証明書を選択
- 接続デバイス制限
- 可
追加で専用のハードウェアが不要な点、またIPアドレスのように従業員の生活に依存せずに導入できることから、クライアント証明書を利用した電子証明書認証が、テレワークにおける二要素認証を実現するうえで、従業員にとって最も負担が少ないセキュリティ強化策といってよいでしょう。
よりセキュアにする場合は、パスワード認証と電子証明書認証にワンタイムパスワードを組み合わせた多要素認証も有効です。テレワークで従業員による社外からのアクセスが増えている今だからこそ、パスワード認証だけになっているシステムを見直すことで、不正アクセスの防止につながります。