この記事は米国で発表された「How to secure your remote working environment」を翻訳版です。著者のJim Alkoveは、米国セールスフォース・ドットコムChief Trust Officerとして、企業全体の情報セキュリティやコンプライアンスおよび安全で信頼性の高いエンタープライズクラウドを提供するための情報管理と戦略を担当しています。

 

Leading Through Change  - いま、私たちができること。- 

2020年3月から世界各地の企業が一斉にリモートワーク(在宅勤務)への移行を始め、史上最大の「働き方改革」を目の当たりにしています。私はセールスフォース・ドットコムのチーフトラストオフィサーとして、社内のあらゆるチームと連携し、この新しい環境でもサービスをシームレスに提供し続けながら、グローバルセキュリティチームが24時間体制でお客様のデータを保護できるようにする責任を負っています。

多くの人が自らの責任で自宅の作業環境の安全性を確保しなければならない今、皆様の安全を守り、データや業務を保護するためにどうすればいいのか、必要な手順を共有できればと思います。

 

新型コロナウイルス(COVID-19)関連のフィッシングメールを警戒する

攻撃者は今回のような非常時に便乗しようとします(詳しくはこちら (英語))。世界中の個人と組織がサイバー犯罪者の標的になります。危険を避けるために、受信したメールの次の点に注意しましょう。

  • 件名: 不審な点はありませんか?たとえば、心当たりのない配達に関する連絡メールは、フィッシング詐欺である可能性があります。

  • 知らないメールアドレス: 送信者は知っている人ですか?その人物からの連絡はあり得ることですか?もしそうでない場合は注意が必要です。

  • 添付ファイル: 添付ファイルのファイル名やファイル形式に怪しいところはありませんか?疑わしい添付ファイルはクリックしないようにしましょう。

  • 認証情報の入力を求める: ログインを誘導するメールや、ユーザー名やパスワードなどの個人情報を入力させようとするメールには注意してください。信頼できる送信者からのメールであることが確実でない限り、こうした情報を入力しないようにしましょう。

  • 内容の整合性: メッセージの内容や文面に不自然なところはありませんか?どこか不自然な点がある場合は、良からぬメールの可能性があります。

  • Call To Action(行動喚起): 緊急性を訴えたり、金銭の支払いを要求したりするものではありませんか?そうしたメールは慎重に対処しましょう。

このいずれかに当てはまる場合は、返信したり、メール内のリンクをクリックしたりしないでください。不審なメールは社内のセキュリティチームに転送し、メールプロバイダーの迷惑メール報告機能で報告してから(その機能がある場合)、メールを削除しましょう。

 

MFA(多様素認証)を有効にする

2FA(2要素認証)という名称の方が聞き慣れているかもしれません。MFAも2FAも、本人確認に複数の認証要素を要求することで不正アクセスを防ぎます。この場合の2番目のセキュリティ層には、ハードウェアセキュリティキーや、ワンタイムトークン、Touch ID(指紋認証)、Salesforce Authenticatorのような認証アプリなどを使用します。使用するプログラムのセキュリティ設定を必ず確認し、可能な場合はMFAを有効にしましょう。

 

強度の強いパスワードを使用する

アカウントを保護するシンプルな手段の1つは、仕事やソーシャルや個人の目的で使うすべてのアプリやデバイスに異なるパスワードを使用することです。MFAを利用できない場合は特にこれが重要です。それぞれのパスワードに英字、数字、特殊文字を併用し、8~10文字以上の長さにしましょう。パスワードは誰にも教えてはいけません。LastPassのようなパスワードマネージャーツールを活用すると、パスワードを安全に管理でき、アプリやサービスごとに異なるパスワードを簡単に作成、使用できます。

 

安全な接続を確認する

インターネットに接続するPCやスマートフォンなどのデバイスは、セキュリティレベルにばらつきがあります。社内のVPN(仮想プライベートネットワーク)を使用できる場合、インターネットには必ずVPN経由で接続するようにして安全性を高めましょう。外部デバイスからのアクセスを防ぐために、ルーターの管理者コンソールを使って暗号化を有効にし(WPA2またはWPA3を選択)、必要に応じてファームウェアを更新してください。

 

バーチャル会議を保護する

ビデオ会議の利用がこれまでになく急増しています。この機会にWeb会議ツールのセキュリティ設定(Google MeetCisco WebEx)を再確認し、不正侵入を防ぎましょう。Web会議ツールに標準搭載されている待機室、画面共有権限、出席者通知などのセキュリティ機能を利用して、不正参加を防止します。会議にアクセスするためのコードやリンクは、毎回必ず新しいものを作成してください。また、不要なコンテンツの生成や不正共有を回避するために、会議の進行に必要のないファイル転送や録画などの機能は無効にします。

 

通話を保護する

PCやスマートフォンで仕事の通話を行うときは、誰かに聞かれることのないように、周囲に人がいないか注意し、ヘッドフォンを使用しましょう。固定電話を使うときは、他の人が電話に出たり、別の電話機で通話を聞いたりしないように気を付けてください。

 

物理的なワークスペースを保護する

機密メールを誤って送信することのないように、PCを離れるときは必ず画面をロックしてください。プライバシー画面を利用できる場合は、セキュリティ強化のために積極的に活用しましょう。

 

データを保護する

リモートワークはルーズになりやすく、特に今回のようなパンデミックのときは気が抜けがちです。重要なファイルやメールなど、仕事関連のオンラインデータは、必ず会社で定められた安全な場所に保存しましょう。


また、データはクラウドにバックアップしましょう。そうしておけば、子どもがMacBookにオレンジジュースをこぼしても、データを失わずに済みます。機密情報のハードコピー(紙に印刷したもの)は、鍵付きの書類ケースなどに保管するようにしましょう。必要なくなったハードコピーはすぐにシュレッダーにかけましょう。

 

デバイスに最新のパッチを適用する

更新が必要なのは毎日のスケジュールだけではありません。デバイスも定期的な更新が必要です。少なくとも週に1回はデバイスを再起動して、ソフトウェアやブラウザーを常に最新のバージョンにしておく必要があります。パッチやバージョン更新を適用すれば、必要な新機能の追加、古い機能の削除、パフォーマンスの問題の修正、バグの除去などが自動的に行われ、攻撃者からデバイスを保護する対策になります。

Salesforceが提供する次のセキュリティ関連資料もご覧ください。

 

リモートワークや事業継続など、新型コロナウイルスの影響を乗り越えるための情報をお探しの方は、「Leading Through Change - いま、私たちができること。-」シリーズの他の記事をご覧ください。難局に直面しているビジネスリーダーの皆様にお役立ていただくためのソートリーダーシップやヒント、リソースをご紹介しています。