コンテンツにスキップ
covid-19-リモートワーク-セキュリティ

イラスト:セキュリティ管理

カジノサイト

新型コロナウイルス感染症時代におけるリモートワークの考慮事項

ヴァル・ルテリエ著
2020 年 4 月 7 日

オンライン限定品

T新型コロナウイルス感染症(COVID-19)のパンデミックの蔓延により、多くの組織が従業員に突然在宅勤務を課すことを余儀なくされ、直接的な監視が少なくなり、より大きなデータセキュリティの責任が従業員に与えられています。ほとんどの場合、これらのリモート ワーク プログラムは、従来のような長い設計プロセスやテスト プロセスを必要とすることなく、迅速に開始されました。しかし、この状況は企業のリスク管理者に、リモート職場に特有の一連の新たな脆弱性や脅威に対してこれらのプログラムを強化する機会を与えています。

これらの脅威は、ウイルスに対する恐怖や混乱を食い物にするフィッシング攻撃など、さまざまな形で現れる可能性があります。標的型攻撃は、ホーム ネットワークのセキュリティ防御力の低下を悪用して、政府、企業、学術の特権ネットワークにアクセスし、知的財産 (IP)、個人を特定できる情報 (PII)、および機密の評判データを盗む可能性があります。

今後、リモートワークは職業生活のより大きな部分を占め、より多くの従業員が少なくとも部分的に在宅勤務するようになるでしょう。このため、エンタープライズ リスク マネージャーは、その環境に特有の進化する脆弱性と脅威に、より広範なスケールで対処する必要があります。

最近導入されたリモート ワーク プログラムのセキュリティの有効性を最初に評価するときは、次の領域を調べる必要があります。

ガバナンス

ガバナンスは、すべてのセキュリティ対策の基礎となる防御の構成要素です。適切なガバナンスがなければ、攻撃に対抗するための防御基盤はありません。

他の単一の原因よりも不注意な行為に起因するサイバー侵害が多いため、明確なポリシーと手順の普及が最も重要です。リモート ワーク ポリシーでは、機密データの保護管理に対処する必要があります。これには、分類、暗号化、保持、保管、不審なアプローチが含まれますが、これらに限定されません。個人または組織によるデバイス管理の使用、およびデバイスへのリモート アクセス。また、組織がサイバーセキュリティ トレーニングを提供し、監査を実施し、データ使用を監視し、説明責任を徹底する方法も含まれます。

リモート作業環境に初めて参入した人は、組織に何が期待されているか、そして組織に何が期待できるかを理解する必要がある.jpg

多くの従業員が新型コロナウイルス感染症の時代で初めてリモートワークを経験していることを考えると、従業員を導くために、適切に構築され、十分にコミュニケーションがとれたガバナンスが必要です。リモート ワーク環境に初めて参加する人は、自分たちに何が期待されているのか、組織に何が期待できるのかを理解する必要があります。

同様の優れたガバナンスは、組織がサイバーセキュリティ意識向上トレーニング プログラム、ネットワークとユーザーの監査手順、セキュリティ ポリシーの説明責任を強化するのに役立ちます。

意図しないインサイダーのリスク

上で述べたように、これは内部関係者攻撃の最も一般的な形式であり、悪意のない従業員が過失によって脅威となった場合、または外部の悪意のある行為者によってソーシャル エンジニアリングされてデータやネットワークへのアクセスが容易になった場合に発生します。

通常、この種の脅威は、気が散りやすい従業員、特に気まぐれで、まとまりがなく、散漫で、または集中力が欠けている従業員に最も顕著に現れます。普段より集中力のある従業員は、ストレスや緊張を感じたり、個人的または仕事上の危機などの新たな気晴らしにさらされたりすると、これらの攻撃に対して脆弱になる可能性があります。これらの要因は、普段集中力を持っている従業員のこの脅威に対する感受性を悪化させる傾向があります。

その最中に新型コロナウイルス感染症(COVID-19)のパンデミック、企業のリスク管理者は、意図しない内部関係者の脅威に注意を払う必要があります。特に現在は、潜在的に危機不安を抱えて働いている従業員や自宅に閉じ込められている家族の感情的な変化を引き起こす可能性のある、気を散らすような出来事やストレス要因に事欠きません。現場での対人観察や交流から得られる貴重な洞察は現在限られているか存在していないため、この脆弱性の早期警告兆候を遠隔地の職場で検出するのは特に困難です。

一般的な指標の 1 つは、同僚、マネージャー、顧客との電話や電子メールによるやり取りの減少または離脱です。これは、経営陣の関与や支援が必要となる可能性のある仕事以外の事柄への関心が高まっていることを反映している可能性があります。このような早期の関与は、セキュリティ侵害の防止に役立つ可能性があります。

従業員の関与

セキュリティ インシデントを防止し、生産性を向上させるという点では、従業員を知ることに代わるものはありません。リモート職場では、従業員を理解し、その知識を適用することがさらに重要になります。

新型コロナウイルス感染症(COVID-19)の期間においては、士気、団結、身体的および精神的健康の観点から、従業員の効果的な関与が特に重要です。良い経験則としては、コラボレーション テクノロジが存在する前と同じ原則に立ち返り、特にオフィス内と同じレベルでの連絡を維持し、各従業員を個人として扱うことが挙げられます。ビデオ会議をサポートするテクノロジーに投資し、全員参加のミーティングを毎週開催し、各従業員との個人的なチャットを少なくとも毎週スケジュールします。毎日全員が対応できる一連の「コアタイム」を設定し、従業員が個人の危機管理スケジュールに合わせて他の時間に働けるようにします。

データ管理

疑いもなく、従来のオフィス職場の正式な構造は、組織のデータ セキュリティ ポリシーと手順を強化するのに役立ちました。具体的には、従業員は確立された計画内で、現場の IT スタッフによって監視および制御されているネットワーク、ワークステーション、周辺機器を通じてデータを処理、処理、保存、共有していました。

リモートの職場とクラウド インフラストラクチャにより、その構造の多くが減少し、機密データが保存され、より多くの従業員、パートナー、顧客がアクセスするようになりました。リモート ワーカーのデータ保護に関する考慮事項については言うべきことはたくさんありますが、重要な最初のステップは、安全なアプリケーションを使用し、ID をロックダウンし、ID がアプリケーションをどのように使用するかを監視することです。

セキュリティ インシデントの防止と生産性の向上という点では、従業員を知るのに代わるものはありません.jpg

新しいリモート ワーク プログラムを開発する場合、主に考慮すべきことは、従業員がどのようなコンテンツと機能を必要とするかを決定することです。おそらく、コミュニケーションとコラボレーションの機能が最初にあり、次にイントラネット Web ページ、管理レポート、その他の必要なコンテンツが続きます。

リスク管理者は、ゼロトラスト環境を構築することで、ネットワークの保護からデータ自体の保護に焦点を移す方法も検討する必要があります。この環境では、電子メールとファイルは送信者のコンピュータから送信される前に暗号化され、宛先に到着したときにのみ復号化されます (多要素認証を使用)。これにより、アクセス、送信、使用、保存のどこにいてもデータが保護されます。さらに、従業員のデータへの関与は、ユーザーの確立されたプロファイルに対して異常な行動を特定するために使用される各デバイス、アプリケーション、ネットワークでリアルタイムに監視されます。

デバイス管理

データが保存されたり移動したりするコンピューター、電話、記憶装置、ネットワークを組織が管理すると、データ保護が容易になります。この制御は、組織が所有および保守しているデバイスに作業を発行して制限することによって実装するのが最適ですが、これには費用がかかり、場合によってはまだ不十分です。

従業員が自宅にいてオンサイトの IT リソースがない場合、時間と労力を節約するために手抜きをしたり、ポリシーや手順を無視したりする傾向があります。良い例としては、機密データを個人のデバイスまたはアカウントに転送して、より簡単に編集または印刷できるようにすることが挙げられます。ただし、そうすることで、その情報は個人のデバイス上に保護されずに保存され、組織 (場合によっては従業員) の制御の外に置かれることになります。

多くの組織がリモート ワーク用の仮想プライベート ネットワーク (VPN) ソリューションの実装または拡張を選択していますが、この選択の実現可能性と成功は、関連するデバイスのセキュリティ、インターネット アクセス ポイントの帯域幅、および既存のネットワーク インフラストラクチャの容量に依存します。現在の危機的な環境では、世界的な Web ブラウジングとアプリケーションの需要の増加により、インターネット アクセス ポイントと VPN コンセントレーターが飽和状態になる可能性があります。

また、VPN ソリューションには一般に、情報アクセスを制御し、詳細なエンドポイント監査を容易にする機能がありません。管理対象外のデバイスを監視する機能がないため、組織は侵害の発生に気づかない可能性があります。エンドポイント セキュリティ ソリューションは展開できますが、特にソリューションを迅速に展開する必要がある危機的状況では、無数のセキュリティ層のライセンス発行、展開、管理に関連する作業負荷が法外に高くなる可能性があります。結局のところ、信頼できないネットワークへの直接接続により、デバイスとデータは危険にさらされたままになります。

このリスクを軽減する 1 つの方法は、クラウドベースのブラウザ「インスタンス」を使用する Web 分離ソリューションを使用することです。これらのソリューションは、リモート作業セッションや機密データをエンド ユーザーのデバイスやブラウザから分離します。また、コピー、貼り付け、印刷、ファイルのアップロードまたはダウンロードなどの特定の機能を制限することもでき、これにより主要な内部関係者の脅威による脆弱性が軽減されます。最後に、これらのソリューションにより、詳細なユーザー監査が可能になります。その結果、より安全でセキュアなリモート ワークプレイスが実現します。

間違いなく、新型コロナウイルス感染症危機により、世界中でリモートで働く人の数が永続的かつ大幅に増加し、リモートワークのリスクが大幅に増加することと相関しています。現在の期間を利用してリモートワークのポリシーと手順を改善する組織は、将来の成功に向けた態勢を整えることになります。プログラムを改良するための推奨事項の 1 つは、OODA ループとも呼ばれる、観察、方向付け、決定、行動を繰り返すサイクルを使用することです。

米国空軍のジョン・ボイド大佐によって開発された OODA ループは、不確実で混沌とした環境の中で効果的な意思決定を促進するために作成されました。このサイクルを継続的に実行することで、組織は相手の意思決定を上回り、優位に立つことができます。インサイダー脅威プログラムに特有の、組織は、経験豊富なレッドチームに攻撃者の心理を採用させ、プロの攻撃者が悪用するであろう脆弱性を正確に指摘することで、リモートワークセキュリティプログラムの観察と方向性を改善することができます。この知識を備えれば、効果的な意思決定と行動が可能になります。

20 年にわたり、外国情報筋を採用し、CIA の諜報ターゲットに侵入してきた Val LeTellier は、インサイダーがどのように作成され、管理され、保護され、発見されるのかを深く理解しています。彼は カジノサイト 防衛情報評議会のインサイダー脅威ワーキング グループを率いており、INSA インサイダー脅威小委員会のメンバーでもあります。

arrow_upward