新型コロナ時代のリモートワーク

世界中の多くの人々にとって、仕事において新たな局面が始まりました - リモートワークです。通常の状況では、在宅勤務の決定、または従業員が在宅勤務できるようにする企業ポリシーの開発は、すべての考えられる問題や懸念に対処した上で、ガイドラインを作成した後に行われます。しかし残念ながら、新型コロナウイルスの流行のおかげで、もはやそういった通常の状況ではありません。  従業員の大半はすでにリモートで仕事をしているかもしれないので、新しいITポリシーを展開するには遅すぎると思うかもしれませんが、ヨギ・ベラの有名な言葉を借りれば、「終わりが来るまでは終わりではない 」です（安西先生の言葉を借りれば「あきらめたらそこで試合終了ですよ」)。ここでは、あなたのスタッフに早急に展開すべき、シンプルでありながらも不可欠な3つのポリシーステップをご紹介します。

ポリシーの話をする前に、従業員が在宅勤務をする際におそらく直面しているであろうことについてお話ししましょう：

• 会社のファイアウォールやフィッシング対策など、会社のネットワークに実装されているセキュリティ対策は、在宅勤務では存在しない
• 従業員が自宅で接続しているルータは、おそらく安全ではなく、誰も定期的にスキャンやバックドアを監視していないため、脆弱性が含まれている可能性がある
• 会社が業務用ノートパソコンを支給していない場合、従業員は自分のパソコンを使用することになり、彼らのコンピュータには、会社が使用するセキュリティ製品が含まれておらず、監視もされず、すでにマルウェアやエクスプロイトが含まれている可能性がある
• 在宅勤務をすると、従業員のアカウントと会社のアカウントの間に保存されたパスワードが混在する可能性がある

触らないこと

自宅からの作業が、従業員にとって初めてとなる場合、あなたは彼らが会社の端末は、仕事の目的のためだけに使われるべきであることを理解しているか、確認する必要があります。もちろん, 従業員がコンピュータ上で天気やニュースをチェックすることについて心配する必要はありません, それは普通にあることです, しかし、問題となるのは、従業員の14歳の息子が真夜中から午前4時までTwitchでFIFA 2020をストリーミングするためにそれを使用するようなケースです。彼に悪意はないかもしれませんが、彼のコンピュータの使用は、魅力的なリンクやファイルで彼を誘惑することができる攻撃者にとっては悪意あるアプリケーションを送り込む絶好のチャンスとなります。現在の攻撃者たちは様々な方面から企業環境へのバックドアを作ることにかけては一流です。このようなケースでは、企業環境に接続しなくても悪意のあるファイルがコンピュータに到達すると即座に分析して防止できるエンドポイントセキュリティ製品があれば、リスクは軽減することができます。もう1つの有効な対処法はシンプルです。大きめの付箋紙を手に取り、大きく太い文字で「仕事用パソコン - 触るな！ -」と書いて画面に貼り付けておくだけです。

最終的にはVPN

クラウド時代には、クラウドアプリを介して会社の重要なデータにアクセスすることが日常的になっています。タスク管理や商品開発などの生産性向上のためのツールもクラウド化されています。現代では、オフィスで仕事をするときには何も考えないことが当たり前のようになっています。しかし、企業ネットワークという安全な場所を離れると、社員は外が危険な世界であることを忘れてしまいがちです。自宅で仕事をするときは、すべての従業員が仮想プライベートネットワーク（VPN）を使用することを知っていることを確認してください。

状況によっては、VPN接続がないとアプリやデータそのものにアクセスできないようにするため、VPNの必要性が出てくる場合もあります。そうしないケースの場合では、従業員がVPNを有効にしていなくてもアクセスできる代わりに、会社の機密情報を野放しにして送信してしまう危険性があります。迷ったときにはVPNが望ましいです。

リセットクリア

コンピュータの衛生管理を徹底するには、通常の一日の間にノートパソコンでアクセスした会社の資産をすべて閉じておく必要があります。この習慣は、従業員がオフィスにいても、キッチンのテーブルで仕事をしていても変わりません。たとえ従業員が散らばっていたとしても、定期的にキャッシュを消去し続けるようにしましょう。関連する話ですが、多くの従業員はお気に入りのウェブブラウザの便利な機能を利用して、訪問したサイトのログイン認証情報を保存していたりします。これは自宅のコンピュータでは良いのですが、会社の端末で行うことは望ましくないでしょう。できれば、パスワード管理ソリューションを企業全体に導入してください。

入選作品

最近、コロナウイルスの発生に関する最新情報を知りたがっている従業員を狙った新しいフィッシング・キャンペーンが増加していることに気づきました。これらのフィッシングメールは、新しい検査施設や感染マップ、従業員の地域の施設のクローズ情報などの最新情報を提供することを謳っています。攻撃の手口は次のようなものです：

従業員は、地元のニュース機関や信頼できる友人など、信頼できる情報源からと見えるようなメールを受け取ります。メールのスタイルやデザインは、正規のものであるように見せかけ、多くの場合、ヘッダーには有名なロゴなどを使用します。メール本文は（意図的に）短く、攻撃者は従業員が最初に携帯電話でこれを見ることを想定しています。興味がある件名を見て、従業員はメールを熱心に読み、躊躇することなく記載されている情報を提供するリンクをクリックします。残念なことに、これによって最新の発生情報を得る代わりに、悪意のあるアプリケーションがコンピュータに静かにインストールされたり、攻撃者がマシンに侵入して後日使用するための足がかりを得る可能性があります。

この話の教訓としては、オフィスにいる従業員も、リモートで仕事をしている従業員も、常に警戒を怠ってはいけないということです。

最後に、従業員がリモートワークするときにはすべきこと/すべきでないことをまとめた簡単なチェックリストを提供することが重要です：

すべきこと:

1. 信頼できる wifi 接続とネットワークにのみ接続する
2. 承認されたアプリケーションのみを会社のラップトップにインストールする
3. 同僚と上司とのコミュニケーションは積極的に
4. コンピュータ上で不審な動きを発見した場合は、すぐに IT 部門に連絡
5. 接続しているVPNは職場用であることを再認識
6. コンピュータにエンドポイントセキュリティツールがインストールされていて、最新で、正しく設定されていることを確認

すべきでないこと:

1. 会社のノートパソコンを家族で共有しない
2. 公衆wifiには接続しない
3. 会社の機密情報を個人アカウントに保存しない
4. 自宅にいても、いつでもパソコンのロックを解除したままにしない
5. 会社のパスワードを個人のウェブブラウザに保存しない
6. 不審なメールを受け取った場合は、リンクを開いたり、添付ファイルをダウンロードしたりしない