自宅で親子が働いたり勉強したり、今や柔軟な働き方は新しい日常になっています。Flex Jobsの調査によると、2005年から2017年の間に、リモートワークの労働者は159%増加し、人口の3.4%にあたる470万人に達しました。現在、さらに増加しており、企業、政府機関、学校はそれを把握するのに苦労しています。
残念ながら、この不確実性を悪用しようとする人々が現れました。 パンデミックが始まって以来、サイバー犯罪が急増し、世界保健機関(WHO)もサイバー攻撃の標的になりました。このことから、セキュリティはあらゆる企業の優先順位リストの最上位に位置しています。
今回のブログでは、あなたとあなたのチームが自宅で仕事する際、企業や組織とその貴重なデータを保護するためにとるべき最も重要な対策をご紹介します。
セキュアな物理的環境
VPN経由で接続する
ソーシャルエンジニアリング攻撃に合わないよう注意する
ベストプラクティスを見直す
クラウドサービスに切り替える
1. セキュアな物理的環境
ほとんどのオフィスでは、厳格な物理的セキュリティ機能を保持しています。スワイプカードでアクセスできる鍵付きのドア、CCTV、そしてすべてを見張る警備員がいます。会社のネットワークへの物理的なアクセス権を持つのは、権限を与えられた担当者だけです。
従業員がリモートで仕事をしている場合、同じような保護の下を働くことができません。リモートワーカーは次のようなリスクに注意しなければなりません。
- 紛失: USBドライブなどの小型ポータブルデバイスは、簡単に行方不明になる可能性があります。
- 盗難:強盗にあった場合、従業員のノートパソコンやその他の作業用デバイスが盗まれる可能性があります。
- 不正アクセス: デバイスを放置したままにしておくと、不正な第三者がお客様のデータにアクセスする可能性があります。
マネージャーとして、すべてのリモートワーカーが、以下のような物理的セキュリティの基本を理解していることを確認してください。
- デバイスを常にパスワードで保護する
- パスワードを他の人と共有しない
- 絶対にデバイスを放置したまま離席しない
- 夜間、すべてのデバイスを安全に保管する
2ファクター・セキュリティキーや自宅でラップトップやUSBドライブを保管するための鍵閉め可能なキャビネットなど、チームに物理的および/または仮想的なセキュリティ機能を提供することを検討してみてはいかがでしょうか
2. VPN経由で接続する
リモートワーカーは通常、自宅のブロードバンド接続を使用して作業します。これは、広大で地理的に保護された、物理的に隔離された企業内のネットワークほど安全ではありません。自宅のWi-Fiネットワークは、家の外の誰か、または自宅のWiFiに中間者攻撃を簡単に設定することができる近隣の建物にいる人によってアクセスされる可能性があります。
さらに不運なことに、モノのインターネット(IoT)の台頭により、家庭用テクノロジーがハッカーのエントリポイントとなる可能性があります。ホームネットワークには、テレビ、プリンター、冷蔵庫など、常に何十ものデバイスが接続されている可能性があり、そのすべてが外部からの攻撃に対して脆弱である可能性があります。史上最悪のハッキングの1つは、人気のあるウェブカメラの脆弱性を利用したものです。誰も同様の事件の犠牲者になりたくはないでしょう。
仮想プライベートネットワーク(VPN)を使用することで、従業員は、まるで職場にいるかのように自宅からイントラネットにアクセスできます。ホームネットワークが侵害された場合でも、ビジネスデータは暗号化されたトンネルで安全に転送および処理されるため安心です。
3. ソーシャルエンジニアリング攻撃に合わないよう注意する
人はあらゆるネットワークの最も弱い部分です。ソーシャルエンジニアリングは、テクノロジーと昔ながらの詐欺手法を組み合わせて、人の脆弱性に付け込むことに焦点を当てたハッキング手法です。
リモートワーカーは特にフィッシング詐欺に対して脆弱です。これには、受信者にリンクをクリックするよう求める本物のように見えるメールを送信することが含まれます。リンクをクリックすると、本物のような偽のWebサイトが表示されます。次に、ユーザーはユーザー名とパスワードを入力してログインを試みます。しかし、ログインする代わりに、これらの情報を攻撃者に直接送信します。
一部のフィッシングメールは本物に非常によく似ているため、経験豊富なITプロフェッショナルでさえ騙される可能性があります。多くの場合、唯一の兆候は電子メールのリンクで、次のようなものです。
Please log into http://login.workapp.com
しかし、実際のリンクは次のようなサイトへ繋がります。
http://jkysi918233e9.scamsite.ez
唯一の防止策は、リンクをクリックする際にリンクを再確認することです。もっと言うとリンクをクリックしないでください。代わりに、ブラウザのURLバーに直接アドレスを入力してください。
ソーシャルエンジニアリング攻撃は、はるかにローテクな可能性もあります。ハッカーは、リモートワーカーに電話をかけ、ITヘルプデスクのフリをして、パスワードを尋ねることができます。これらの脅威についてチームと話し、すべての危険を認識しているか確認してください。
4. ベストプラクティスを見直す(1回きりでなく継続的に)
セキュリティに関する会話は継続して行うべきものす。チームと話し続け、ベストプラクティスを見直してください。
社内で導入されている以下のプロセスと手順について、蔑ろにならないように従業員にリマインドしてください。自宅で仕事をしているからといって、顧客のデータインテグリティ順守をやめるべきではありません。法規制の順守は無休ではありません。機密情報の漏洩により、会社が破綻する可能性があります。
自宅での作業は困難ですが、全員が協力すれば簡単に克服できます。毎週行われるチームのビデオ会議を利用して、彼らはまだチームの一員であり、職務を確実に遂行する必要があることを全員にリマインドしましょう。
5. クラウドサービスに切り替える
自身の会社や組織がすでにクラウドに切り替えている場合は、クラウドがセキュリティの向上にどのように役立つかはすでにご存じだと思います。非常に機密性の高いオペレーションはすべて、適切に保護されたサーバーで処理されます。ユーザーは暗号化されたフロントエンドを介してシステムにアクセスします。たとえば、Integrate.ioのフロントエンドにはフィールドレベルのSSL / TLS暗号化があり、世界中のどこからでも安全にアクセスできます。
まだ自社の環境がオンプレミスシステムに依存している場合は、今こそクラウドの移行について考える絶好の機会です。 ITチームと一緒になって、次の質問に答えてください。
- リモートワーカーにはどのようなアプリケーションが必要となるか?
- 従業員はどのファイルとデータにアクセスするか?
- オフサイトアクセスを許可するリスクは何か?
- リスクの軽減に役立つクラウドオプションはあるか?
- プロセスを自動化できるか?また、それにより機密データにリモートでアクセスする機会を減らすことができるか?
ゴールは、あくまでもリモートワーカーを可能な限りサポートすることです。安全に作業できるように、適切なツールを提供してください。
データ統合のニーズに合わせてクラウドベースのETLソリューションへの移行を検討している場合は、Integrate.ioのホームページ右下に表示されるチャット機能でIntegrate.ioにご相談ください。チームがデータを安全に保ちつつ、プラットフォームを使ってETLプロセスをアップグレードする方法を見つけてください。
