第628号コラム:「身近なセキュリティ~COVIT-19編~」
第628号コラム:宮坂 肇 理事(NTTデータ先端技術株式会社 セキュリティ事業部 プリンシパル)
コラム題:「身近なセキュリティ~COVIT-19編~」
新型コロナウイルス感染症における情報の信頼性について、半年ほど前の2020年3月12日に本コラムにて記した。そのコラム以降の3月下旬に東京オリンピック・パラリンピックの開催延期の決定、翌4月上旬には改正新型インフルエンザ等対策特別措置法に基づく“緊急事態宣言”が発令、ゴールデンウィークの不要不急の外出自粛など、半年という短い期間でこれまで経験をしたことがないような事柄が起きている。今週17日に内閣府の速報では、2020年4月~6月期の国内総生産(GDP)は、新型コロナウイルス感染症により戦後最悪のマイナス成長をしており日本の経済に深刻な打撃を与えているという。
新型コロナウイルス感染症が続いているなか、3密を避ける行動など“新しい生活様式”により、企業の活動、一般家庭の生活、学生などの生活など従来とは全く異なる変化が急速に進んでいる。特に、利用が進んだいわゆる“オンライン”は勢いがすごい。本コラムでは、このような変化のなか、身近なセキュリティとしても、さまざまな事象が発生しえる状況になっており、新しい生活様式に変化していく中での、「身近なセキュリティ」について幾つかの例をとりあげてみたい。
企業等の組織においては、これまでの数年間は、7月に開催される予定であった2020東京オリンピック・パラリンピックに向けて様々な準備を進めてきていたことであろう。例えば、その一つとして、開催地域である東京を中心とした関東圏では、交通機関の混雑や渋滞などを緩和し、スムーズな移動ができるような緩和策として、導入が可能な組織では、時差通勤、在宅勤務やサテライトオフィスなどを検討し、準備を進めてきた。ちょうど一年ほど前の昨年度2019年の今頃は、試行的な導入を行い、テストを繰り返しながら本格的な導入にむけて準備を進めていたところも多いと思う。
ところが、年が変わった時期頃から新型コロナウイルス感染症の拡大が発生し、4月には緊急事態宣言の発令、外出自粛などの措置により、本格的な導入よりも数ヶ月も前倒しで、対策を余儀なくされた組織が多かったと思う。特に、多くの組織で取り組まれていたのは、企業の生産活動を継続するために“オンライン”による在宅勤務がある。会社通勤をせずに、自宅から会社メールの利用、会社資料の作成、会議などをリモートからオンラインにより行えるようにする、いわゆる「テレワーク」である。
このテレワークにおけるセキュリティについては、企業としてのセキュリティ対策、従業員が在宅やサテライトオフィスなどでおこなうべきセキュリティ対策などがあるが、さまざまな解説記事が各方面から出されているので、このコラムでいま行うべきポイントを記しておきたい。
テレワークの事前準備をしていた組織もあれば、緊急事態宣言を受けて、かなり急ぎでテレワーク環境を整えて在宅勤務をはじめたところも少なくない。それらの組織で取り組まなければならないことは、組織の生産活動を維持しつつ、テレワークをはじめとした”新しい生活様式”を前提とした制度や仕組みなどのセキュリティ対策の見直しが必要であると思われる。
一般家庭においての変化はどのようなことが起きているだろうか。在宅勤務する従業員等が自宅にて勤務を行う、学生がいる家庭では在宅学習などを行うなど、一般家庭で企業の生産活動や学業などをオンラインで行う機会が増加している。また、組織の同僚や上司部下、友人知人とのコミュニケーション、就職活動における面接試験なども従来とは変容してきている。組織や組織間の会議等もオンライン会議が使われ、資料の画面共有し、説明や議論などが行われ、従来の閉鎖された会議室で行われていたことを参加者の各々の自宅の環境で行うことも多くなってきている。組織で行われる定例の説明会、勉強会などや製品説明会やセミナーなどもウェブを活用することが多くなってきている。
さらに、簡単な会話などは、ソーシャルネットワーキンサービス(SNS)を使われている方も多いと思う。
学生も、授業やゼミなどもオンラインで実施され、レポートなども自宅で作成してオンライン会議のツールやメール等により、学校とやりとりするなど、学生生活も大きく変化してきている。友人知人とのコミュニケーションも従来だと時間と場所を決めて、集合して打ち合わせや懇親会などを開催していたものが、オンライン会議ツールやSNSを活用している。例えば、懇親会などのいわゆる飲み会も“オンライン飲み”と称して行われている。
上述のように、新型コロナウイルス感染防止のため、“新しい生活様式”に変わりつつあるなか、企業等の組織、学校、家庭などインターネットを活用し、オンラインにより、工夫を行いながら、“コロナ禍”を乗り切ろうと日々生活を行なっているのが現状ではないだろうか。
一方、このコロナウイルスに便乗したセキュリティ関連の事案も増加傾向であり、攻撃者の活動も活発になっており、組織や個人にダメージを与えるような事案も増加傾向にある。ここでは、事案の一例を取り上げることとしたい。
先日、ある企業のテレワークに関連するセキュリティ事案が発生したことが公表され、マスコミ等のニュースをご覧になった方々も多いと思う。公開されている情報によると経緯はおおよそ次の通りである。
・ある企業は新型コロナウイルス感染防止のために従業員に業務用モバイルパソコンを貸与して、テレワークを実施
・従業員が在宅勤務の際に、業務用パソコンから、社内ネットワークを経由せずに、SNSを利用
・SNSで第三者から送られたマルウェアに貸与パソコンが感染
・従業員が出社後にパソコンを社内ネットワークに接続したところ、マルウェアが社内ネットワークに拡散し、社内のパソコンやサーバなどに感染が拡大
・特権アカウントなどを悪用され、外部から不正アクセスを受け、従業員の個人情報や、サーバのログ・設定情報などが流出
テレワークにおけるセキュリティは、環境を提供する組織として行うべきことと、在宅などの環境で業務を実施する個人個人のセキュリティの両輪により、成立するとも考えられる。上述の事案のようなことを起こさないためには、組織としてのセキュリティ対策を十分に考慮し実装することは必要であるが、個人個人も従来とは異なる環境に置かれていることを認識しつつ行動することが求められ、これまで以上に“身近なセキュリティ”を取り組む必要があるかと思う。
新型コロナウイルス感染症により、日本の社会全体が変化した動きが加速化しているなか、急速に進んだオンラインによる様々な日常活動を受け入れながら、安全・安心な日常生活を送れる社会が実現できると良いと思う。
【著作権は、宮坂氏に属します】