Sony
Sony
急激に増えたリモートワーク「VPNを使わないと通信の内容を盗み見される可能性がある。」

トピックス 2021.05.01 急激に増えたリモートワーク「VPNを使わないと通信の内容を盗み見される可能性がある。」

前回は、「GAFAサービスは安全なのか」、「スマートホームは使って大丈夫なのか」という2点について、コンピューターセキュリティ事業を展開する株式会社カスペルスキーの石丸傑さんに伺いました。

第2回目となる今回は、リモートワークをするにあたって注意すべきことやVPNの重要性について、サイバーセキュリティのプロフェッショナルの観点から質問にお答えいただきます。

株式会社カスペルスキーの石丸傑さん

VPNを使って通信経路を暗号化することで、安全に仕事を進められる。

VPNを使って通信経路を暗号化することで、安全に仕事を進められる。

セキュリティ通信:どれだけサイバー攻撃が増えてきたと言っても、会社の中で仕事をしている限りは企業がセキュリティを強化することで、会社の重要な情報は守ることができました。

しかし、コロナ禍においては、リモートワークが新たな働き方として定着してきており、リモートデスクトップなどを使って自宅で仕事をする方も増えているのではないでしょうか。

そこで伺いたいのですが、セキュリティの観点からリモートワークで気を付けるポイントはありますでしょうか?例えば、自宅のWi-Fiの設定で気をつけなければいけない点などはあるのでしょうか?

また、カフェやコワーキングスペースのWi-Fiを使って仕事をすることは、セキュリティ上安全なのでしょうか?

石丸さん会社と家のネットワークでは、セキュリティのレベルが圧倒的に違うと認識して仕事していただく方が良いと思います。

会社は情報資産を守り、事業を継続するために、費用をかけて色々なセキュリティ製品を導入しているケースが殆どですので、安全に使っていただくことができると思います。

しかし、家だと環境がガラッと変わります。家だけではなくて、先ほどおっしゃっていたように、公共のWi-FiやカフェのWi-Fiもそうですし、人によっては図書館に行って仕事する人もいます。

公共のWi-FiやカフェのWi-Fi

そういったところの公共のWi-Fi(フリーWi-Fi)は、不特定多数の人がアクセスできるような環境です。パスワードの有無など、セキュリティレベルの違いもありますが、安全性の面でいえばあまり高くないと思っています。

そのため、それを認識した上で、安全に使っていただく必要があります。その具体的な方法がVPNを使うことです。

VPNとは「Virtual Private Network(仮想プライベートネットワーク)」の略で、ネットワークの通信経路を暗号化することによって、そのなかを流れるデータを傍受されないようにする技術のことです。

道路のトンネルを想像していただくとイメージし易いかもしれません。

例えば、自宅で業務に使うパソコンから、リモートデスクトップ経由で会社のパソコンに接続する際にVPNを使うと、その間の通信を暗号化して盗み見や改ざんなどのリスクを軽減することができます。

VPNとは

セキュリティ通信:それは、例えば、自宅で契約している大手の通信会社のインターネット回線とかにも設定されているのでしょうか?

石丸さん:いいえ、設定されていません。ですので、リモートワークを推奨している企業側が、内部のリソースにアクセスするパソコンに対してVPNを必須として設定することが良いと思います。

セキュリティ通信:なるほど。それをしていないとWi-Fiの利用者誰もが、通信に侵入できてしまうのでしょうか?

石丸さん:侵入されるというより、Wi-Fiを使っている場合に、VPNを設定していないと、通信の内容を同一ネットワーク上(Wi-Fi)に接続している第三者に盗み見されたり、データを改ざんされてしまったりする可能性があるという事です。例えば、チャットの中身を覗かれてしまうケースがあります。

普段、皆さんが使っているチャットソフトは、基本的に通信内容を暗号化しています。

しかし、暗号化されていないチャットソフトもあるため、そうしたセキュリティの低いチャットソフトでは、VPNを設定していないと通信の内容が盗み見されてしまう可能性があります。

VPNを設定していないと通信の内容が盗み見されてしまう可能性がある

これは、オンライン上で買い物やオンラインバンキングを使う時も同じことです。

分かりやすく説明すると、例えば、電子決済を行うオンラインのショッピングサイトやオンラインバンキングなどは、基本的に「https」で始まるURLがほとんどだと思いますが、場合によっては「https」ではなく「http」をいまだに使用しているサイトもあります。「http」の場合には通信が暗号化されておらず、平文で通信を行う為、覗き見をされたり改ざんされてしまう危険性があります。

何かWebサイトで買い物をするときに、ログインページでIDとパスワードを入力してログインしますよね。そのログインページは「https」であっても、そのあとの決済する際は、ショッピングサイトから決済を行う別企業のページに遷移する場合があります。

電子決済を行うオンラインのショッピングサイトやオンラインバンキング

具体的には、クレジットカードと連携している中小のオンラインショッピングサイトなどが挙げられます。

ログインしてから買いたいものを買い物カゴに入れて、購入画面に進んでいくと決済方法を選びますよね。

そこでクレジットカード支払いにすると2~3回くらい画面が遷移して、元々ショッピングしていたサイトとは異なるサイトで決済手続きをするということがよくあります。

この時に、元のショッピングサイトから入力したデータが守られてきちんと遷移できていれば良いのですが、遷移する間のサイトで「https」を使っていない可能性があり、同様の危険性があります。

このような危険性があることを認識し、VPNなどを上手に用いて対策を行うことで、安全にフリーWi-Fiを利用することができるわけです。

リモートワークをする時にもVPNの設定をする。

セキュリティ通信:なるほど。では、リモートワークをする時にも、会社の情報を扱うわけですから、VPNをしっかりと設定しておかなければいけないということですね。

そのほかにセキュリティの観点から何か気をつけるべきことはありますか?

石丸さん:そうですね、自分が使うパソコンのOSやアプリケーション、そしてセキュリティ対策ソフトを最新の状態に保つことが重要です。先ほど申し上げた「侵入される」という話がこれにあたります。

OSやアプリケーションはプログラムのバグの修正、セキュリティ対策ソフトは新たな脅威への対応など、それぞれが随時アップデートをしています。これらを最新の状態にしていない場合、悪意を持った人がバグを悪用して攻撃を仕掛けたときに、防ぐことが出来ません。

最悪の場合、パソコンなどの端末のコントロールを奪われる危険性もありますね。

パソコンなどの端末のコントロールを奪われる危険性

こうしたことから、フリーWi-Fiにアクセスするかしないかに関係なく、前提として重要なのはやはり、「パソコン等の端末のOSやセキュリティ対策ソフトを最新の状態に保つこと」ですね。

セキュリティ通信:最近、リモートワーク時に利用するリモートデスクトップですが、非常に便利なように見えますが、セキュリティ上安全に使っていけるものなのでしょうか?

石丸さん:そうですね、おっしゃる通り、リモートデスクトップ自体は非常に便利なサービスです。

リモートワークをする上では非常に重宝しますし、直接社内のリソースにアクセスするよりは、リモートデスクトップを一旦介して社内のリソースにアクセスするほうがより安全ですね。

ただ、リモートデスクトップだけで良いわけではなく、この場合でも、前提としてVPNを使用した上で、次にリモートデスクトップの端末のセキュリティ、およびアクセスコントロール、権限管理や制限を行って(不必要なアクセス権限やサービスを無効にし、ログをとって監視するなど)使う事をお勧めします。

要するに、きちんとセキュリティ設定をせずに「とりあえず使えればいい」と考えがちですが、「セキュリティは二の次」にしないことです。

「セキュリティは二の次」にしない

実際に、緊急事態宣言のときは急を要していたため、企業側もリモートワークの環境整備が間に合わなかったケースがあります。

会社としては、とりあえずリモートワークを導入し、自宅から会社のリソースにアクセスできるようにして仕事をしてもらわなければ困るわけですよね。

だから、セキュリティはひとまず置いておいて、何とか仕事ができるようにしたいと考える企業が多かったでしょう。

そうすると、VPNを使用しない状態で、安全ではないリモートデスクトップの端末がインターネット上に晒されてしまうという危険性があるわけです。

社員は、そこにアクセスすればいつも通り業務ができますが、攻撃しようとしている人がアクセスすれば、リモートデスクトップを通して会社の中のデータにアクセスすることが出来てしまうので、様々な被害につながります。

まとめ

企業として安全な仕事環境を整える

Key Points

・会社と自宅ではセキュリティの状態が全く違う事を認識することが大切。

・インターネット通信経路を暗号化できるVPNを使い、パソコンの設定もしっかりしておくことが大切。VPNを使わないと通信の内容を盗み見される可能性がある状態になってしまう。

・すべての端末のセキュリティアップデートをすることが重要。パソコン自体にセキュリティ製品を入れて、安全性を高めておくこと。

・リモートワークは、リモートデスクトップを使った方が安全。一旦リモートデスクトップを踏むことでセキュアに使える。2020年4月の緊急事態宣言のときから、セキュリティ攻撃が増えてきている。それは、急遽リモートワークを導入して、セキュリティ強化は後回しになっている企業が多いからだ。

いかがでしたでしょうか?

リモートワークは、アフターコロナにも定着する働き方だと思います。緊急事態宣言で急遽リモートワークを導入した企業のなかには、セキュリティ強化をまだしていないところもあるでしょう。

しかし、いつ社員がフリーWi-Fiを使用して仕事するのかはわかりません。できるだけ早めに、VPNなどのインターネット通信経路を暗号化してくれるようなシステムを取り入れて、重大なトラブルが発生する前に企業として安全な仕事環境を整えましょう。

また、個人がプライベートでフリーWi-Fiを利用する時も、VPNは重要なセキュリティ対策です。So-netでは、カスペルスキー VPN セキュアコネクションを提供していますので、ご利用をお勧めします。

※次回の第3回では、5GやIoTなどによってデジタル化が進む未来について、セキュリティ・プロフェッショナルの観点から石丸さんにお話を伺います。

Bluetooth経由のセキュリティリスクにも触れていきますので、ぜひご期待ください。

TEXT:セキュリティ通信 編集部
PHOTO:iStock

Special Topics セキュリティ通信×カスペルスキー インターネット上のセキュリティに関して、株式会社カスペルスキーの調査・分析チームに様々な観点からお話を伺います。一覧を見るにはこちらをクリック。 Special Topics セキュリティ通信×カスペルスキー インターネット上のセキュリティに関して、株式会社カスペルスキーの調査・分析チームに様々な観点からお話を伺います。一覧を見るにはこちらをタップ。
tag

あなたの大切なパソコン・スマホを守ります!
世界が認める総合ウイルス対策ソフト

カスペルスキー

この記事を気にいったらいいね!しよう

セキュリティ通信の最新の話題をお届けします。

ページトップ

たいせつにしますプライバシー 10470001

is 571190 / ISO 27001:2013

© Sony Network Communications Inc.