第11回 続報:在宅勤務だからこそ、セキュリティの基本を!


1. はじめに
前回の連載記事でリモートワーク、特にVPNや社外でのネットワークアクセスの注意点について書きました。執筆時は3月の初旬でしたので、新型コロナウイルスの状況について、現在ほど緊迫した状況になるとは正直考えておりませんでした。国内では3月末には大規模感染終息の目途がつき、新年度の4月からは落ち着てくるだろうと予想していました。予想はまったく裏切られ、政府による緊急事態宣言が出されるという状況になっています。私が勤務する神戸大学でも5月中旬まで学生は構内立ち入り禁止、講義も5月からは再開予定ですが、基本的に遠隔講義というネットワークを利用した在宅授業がとられる予定です。教員も原則、在宅勤務となり、講義だけでなく研究開発も在宅で行うこととなっています。巷では、不幸にも、この新型コロナウイルスがDX(デジタルトランスフォーメーション)の引き金になると揶揄されています。

在宅勤務となると、やはり気が緩みがちです。そこで問題になるのがサイバーセキュリティです。何といっても、社屋は城と同じで物理的なセキュリティ対策と同時に、ネットワークも堅固に守られています。それ以上に人が顔を合わせることによって、相互のセキュリティを含む社員意識も高まります。改めて、在宅勤務で特に問題となる注意点を記しておきます。


2. マルウェアとパスワード管理
前回のリモートワークでの注意点としてVPN、そして社外、特に無線LAN、特に公共の場所での利用を上げました。今回は主に文字通り在宅、自宅でのネットワークを利用した勤務での注意点です。

やはり一番の脅威はマルウェアの感染です。最近のマルウェアの動向とその対策については第9回、2月号での記事にまとめています。今回自宅ということで、一番注意すべきことは、マルウェア対策ソフトの導入です。それを在宅勤務で利用するパソコンに導入していることは当然のはずですが、その当然であることが逆に脆弱性につながることがあるのです。在宅で利用するパソコンが、その利用を本人にかぎり、かつ社用でしか利用せず、絶対に家族を含む他人が利用しない環境を整えていれば問題はありませんが、それは難しいでしょう。自宅であれば家族や、場合によっては家族の友人を取り巻く人が触れることができるかもしれません。社内ネットワークへのアクセスは、二要素認証等、厳格に守られているはずですが、パソコン自体へのアクセスは、せいぜいパスワード認証のみでしょう。4桁のPIN入力でアクセスできる設定にしている場合もあります。これはそのパソコンが自分の目が届く範囲にあることを前提としたセキュリティなのです。家族が悪気なくパソコンにアクセスし、ゲームやネット閲覧に興じる可能性は皆無ではありません。マルウェア対策ソフトを無効にしたり、対策ソフトの警告を無視して、マルウェアに感染したりすることがあり得ます。最大の脆弱性が自分の家族である可能性もあり得るのです。

パスワードの管理も問題となってきます。「パスワードをメモや手帳に書いてはいけない!」と言われていました。多数の人が出入りするオフィス等での利用を考えれば正しいでしょう。パスワードをメモや手帳に書いてはいけない理由は、それを第三者、特に不正をはたらこうとする輩に見られる可能性があるからです。自宅での利用で、メモ帳や手帳に書いていても悪意のある第三者に見られる可能性はほとんどないということで、多数のパスワードを管理運用しなければならない場合はその限りではないと言われています。もちろん、誰が入ってくるかわかりませんから目立つところに書いておくのは厳禁ですが、メモ帳に書いて机の中にしまっておくことで十分なのです。手帳に書いても構いません。ただし、手帳は持ち運び、落とすことがありますから、自分だけがわかる場所に目立たないように書き込んでおく必要があります。この場合も身近な家族に対しての意識と対策は重要です。


3. 監視カメラと家族の目
パスワードを手帳に書いてもよいが、屋外ではその手帳を広げてはいけないと言われています。その手帳に書かれたパスワードがのぞき見されているかもしれないからです。パスワードだけの問題ではなく、駅や空港、公園や集会所等の公の場所、あるいはコーヒーショップやコンビニ、さらにはショッピングストア等でのパソコンやスマホの利用も同様です。自分が見ているパソコンの画面を十分考慮して、覗かれているという意識を持つ必要があります。

人の目によるのぞき見だけではなく、監視カメラで撮影されているということも考えるべきでしょう。確かに公共の場所等での監視カメラの映像は個人情報やプライバシーの尊重から厳重な取り扱い規定のもとに置かれているはずです。しかし映像として記録されていることは確かであり、それが未来永劫残っていることも想定しなければなりません。絶対に悪用されないとは言い切れず、「万が一」は起こり得るのです。

同じことは自宅でもいえるのです。盗聴、盗撮の可能性は低いとしても、のぞき見という「万が一」は起こりえます。家族の目です。家族にとっては、パソコンに映し出された画面が重要であるか否かは判別できません。何気なく見えた画面の図や文章の一節が、社外のしかるべき人に漏れた場合、非常に大きな問題になりえることもあり得るのです。両親の何気ない会話の一節をツイッターで書いただけで、会社が大損害を被ったという事例は過去にもありました。

自宅での勤務では気のゆるみ以上に、いくつもの脆弱性があることを十分意識する必要があるのです。