2023 年 6 月 15 日 Corey Nachreiner 著

今や組織の多くは、働く場所やエンドポイントを物理的なオフィスの外に配置する、分散モデルで運営されています。それとともに、ネットワーク境界の概念も劇的に拡大しています。その要因として、パンデミック後の 2 つの重要なできごと、すなわちリモートワークの導入と、出張の復活が挙げられます。

企業ネットワークに接続するものはすべて、潜在的に攻撃ベクトルとなります。攻撃者は支社やエンドポイントへの侵害を端緒として、ネットワークのコアに侵入する場合があります。今回は、ハッカーが組織のコアにアクセスする被害を防ぐために、出張中の従業員やリモートワーカーが守るべきサイバーセキュリティの 10 のヒントを紹介します。

1. 公共ネットワークから社用電子メールへのアクセスする際は適切な保護を
   出張中、ホテルには公衆 Wi-Fi ネットワークがあるでしょう。出張中に会社のメールや社内文書にアクセスする必要がある場合は、公衆ネットワークの利用は避けるべきです。少なくとも、基本的な保護としてパスワード制限を設けている Wi-Fi ネットワークを使用してください。リモートワークが増えた現在、IT 部門やセキュリティ部門は公衆ネットワークの利用を禁止していませんが、利用には要件が課されているはずです。自身や会社が管理していない公衆 Wi-Fi ネットワーク、プライベート Wi-Fi ネットワークにアクセスする場合は、マルウェア対策やホストファイアウォールなどのエンドポイント保護機能をデバイスに搭載している必要があります。そして、常に VPN を使用して接続を暗号化し、公衆ネットワーク上の第三者が電子メールなどを傍受できないようにすべきです。現実的には、多くのリモートワーカーが公衆 Wi-Fi ネットワークを利用していますが、利用の際には、必ず自分のコンピュータに保護を搭載している必要があります。
2. アプリは事前にダウンロード
   悪意のあるアプリは、会社のデータを含む携帯電話上のすべてのデータにアクセスし、サイバー攻撃を行う可能性があります。アプリケーションをダウンロードする場合は、既知の信頼できるソースやリポジトリからのみ行うようにしましょう。例えば、モバイルデバイスであれば Apple や Google の公式ストアからのみアプリを入手する。コンピュータの場合は、Microsoft や Apple のアプリストアからのみダウンロードする。公式のソース以外からダウンロードしたものは、悪意のあるアプリに感染させる可能性を持っています。また、海賊版の使用はやめましょう。ほとんどの国でそれが違法であることに加え、本当に無料で使用できるアプリケーションは稀で、海賊版アプリの多くにはマルウェアが含まれています。
3. 使用時以外は Bluetooth をオフに
   Bluetooth の使用を減らすことで、脆弱性にさらされる機会を最小限に抑えることができます。Bluetooth 接続は、あらゆる方面から信号が届くため、問題につながりやすい機能です。Bluetooth をオンにしたままで放置すると、近くにいる第三者が携帯電話に接続してハッキングを行う可能性があります。そのような攻撃を避けるために、Bluetooth は使用時以外できるだけ無効にしておきましょう。
4. 電子メールや Web サイトからのリンクをクリックしない
   緊急のパスワード変更、取引先への早急の支払いなどを要求する不審なメールが届いたら要注意です。たとえそれが既知の連絡先からのものであっても、フィッシングの可能性があります。差出人のアドレスを確認し、疑わしい場合はメッセージを開いたり返信したりしないようにしましょう。メールで知らされたサイトにどうしてもアクセスしたい場合は、メール内のリンクをクリックするのではなく、手動でドメインを入力し、目的のコンテンツを見つけることをお勧めします。
5. 2 要素認証または多要素認証（2FA/MFA）を可能な限り利用する
   攻撃者は、フィッシング、マルウェアをはじめ、多彩な方法でパスワードを入手します。それに加えてユーザがパスワードを使い回している場合には、より大きな問題となる可能性があります。しかし MFA を利用していれば、攻撃者がパスワードを入手したとしても保護される可能性が上がります。この機能を利用すると、第三者がアカウントにログインしようとするたびに、携帯電話に送信される通知の承認など、ログインするための追加の認証要素が要求されます。これにより攻撃者が認証情報を入手しても、アカウントへのハッキングがはるかに難しくなり、もう 1 つの利点として、ユーザの特定のサービスに対して不正アクセスが試行されていることが把握できます。
6. OS とソフトウェアのアップデート
   推奨通りにソフトウェアのアップデートを行わないと、脆弱性につながる可能性があります。オフィスを離れる前に、保留中のシステムアップデートはすべて実行し、離れている間に保留中のアップデートがあった場合は必ず確認し、オフィスに戻り次第すぐに適用してください。IT 部門は、アップデートを強制的に自動化するプロセスやツールを備えているのが普通です。しかしその場合でも、自動化されたソリューションが、アップデートのための再起動要求の承認をローカルユーザに対して求めるケースがあります。オフィスを離れる前には必ずアップデートを承認するようにしてください。

7. MFA を隈なく導入している場合、パスワードの変更は必要な時にだけ行う
   以前は、半年〜 1 年に 1 度、定期的にパスワードを変更する習慣がセキュリティ上のアドバイスとして非常に一般的でした。このアドバイスの意図は、パスワードを入手した攻撃者がそれを使用する前にパスワードを変更する可能性を高め、まだ明るみに出ていない ID 漏洩からユーザを保護することでした。しかし現在では、MFA を使用している場合に限り、2 つの理由からこのアドバイスが当てはまらないと考えるセキュリティ専門家がいます。

   1 つ目の理由は、現在 MFA を利用しており、かつ認証情報の漏洩があった際には、情報が盗まれたとすぐに判明する可能性が高く、その場合にはすでにユーザは保護されているという点です。MFA を使用しているアカウントに対して攻撃者が認証情報の使用を試みると、MFA の認証時点でログインに失敗します。もし攻撃者がその認証情報を何度も使用した場合、何者かが認証情報を持っていることを示す明示的な指標となり、その時点でパスワードを変更するよう促せば対処が可能です。加えて、大規模なパスワードの流出はダークウェブ上に公開されます。ドメイン内のユーザを検索し、そのパスワードが最近流出しているかどうかを確認できるサービスがあります。そこで自身のパスワードがあった場合は、これもパスワードを変更すべき指標となります。上記の理由から、パスワードが他人の手に渡ったとしても MFA が保護してくれるため、パスワードを定期的にランダムに変更する必要はなく、認証情報が漏洩したと判明した場合にのみパスワードを変更すればよい、ということになります。

   「どちらにしても、定期的にパスワードを変えるようアドバイスしてもいいのではないか」とお思いの方もいるでしょう。しかし実のところ、従業員やユーザに定期的なパスワードの変更を強制すると、時にストレスとなり、逆に不適切な習慣を助長する場合があります。例えばパスワードが 「MyStr0ngCr3d」だとすると、最初に変更を求めたときに、まったく新しいものに変更することを避けて「MyStr0ngCr3d!」に変更、次は「MyStr0ngCr3d!!」に変え、その次には「!!MyStr0ngCr3d!!」にする、といったケースです。つまり、まったく新しいパスワードではなく、既存のパスワードに小さな編集を加えただけの予測可能なものを適用してしまう、ということです。パスワードやハッシュのクラッキングツールの多くは、このような初歩的な変更であれば迅速に予測することが可能です。

   重要なのは、MFA を使用している場合、パスワードを定期的に更新したりローテーションしたりする必要がないということです。むしろ、MFA がユーザを保護する以上、認証情報が危険にさらされていることが分かっている場合だけパスワードを変更すればよい、ということになります。とはいえ、MFA を使用していない場合は、パスワードを定期的にローテーションし、安全でない PIN（4～6 桁の数字しかないものはあまり安全とは言えない）も定期的に変更する必要があります。

8. 位置情報の共有は最小限に
   旅行中に、新しい都市や国を訪れていることを SNS で共有することがあります。しかし、時にこのような行き過ぎた共有は、セキュリティ上の脅威となります。すなわち外出中であると知らせることで、ホテルの部屋や自宅にいないことを犯罪者に知らせているためです。オンラインに投稿する情報は制限し、仕事用デバイスを含む自身の財産への脅威を減らすようにしましょう。
9. すべてのデバイスをロックする
   情報の安全を守るためには、安全なパスワードや PIN の使用が不可欠です。タブレット、スマートフォン、コンピュータを使用しないときにロックしておくという習慣はさらに重要です。このようなデバイスのほとんどには、指紋認証、顔認証、暗証番号でデバイスをロックするセキュリティ設定があります。たとえ1分間だけパソコンから離れるとしても、公共の場では必ずロックをかけましょう。
10. ニーズに合ったサイバーセキュリティソリューションを入手する
    ハイブリッドワークと出張は、今後も続くでしょう。そこで要求される新たなセキュリティ要件にも対応しなければなりません。統合型セキュリティを導入する場合には、どこにいてもすべてのデバイスとエンドポイントを同様に強固に保護し、集中管理と可視化を実現する包括的なものを選ぶ必要があります。記事「Hybrid work is only feasible with unified cybersecurity（英語）」では、単一の統合プラットフォームを通じてサイバーセキュリティ特有の課題にシンプルかつ効率的に対処するメリットを紹介しています。