リモートワークの主なセキュリティ脅威とその軽減方法

企業はリモートワークの利点とリモートワークによって得られる機会を少しずつ模索していましたが、新型コロナウイルス感染症（COVID-19）のパンデミックにより、全力で取り組む以外に選択肢はありませんでした。最近のマッキンゼーの調査によると、人々は実際にはもっと幸せですリモートで働くために。それでも、企業と個人の両方に一定の課題をもたらしています。そして最も重要なものはサイバーセキュリティに関連しています。

では、リモートワークのセキュリティリスクとは具体的にはどのようなものなのでしょうか?読み続けて、最も一般的な問題と、それらに対処するための実践的なヒントを学びましょう。

リモートワークがサイバーセキュリティのリスクを増大させる仕組み

上記の統計は、ここ数年でリモートワークが非常に一般的になったことを証明しています。しかし、それが引き起こすサイバーセキュリティの課題はどのくらい一般的なのでしょうか?仮定を置くのではなく、事実を見てみましょう。

• 企業の 20% が、リモート ワーカーによって引き起こされたセキュリティ侵害を報告しました。また、ある調査によると、マルウェアバイト, 回答者の 18% は、リモート従業員が重要なサイバーセキュリティ慣行に従っていないことを認めました。
• 70% の企業はセキュリティの観点からリモートワークへの移行の準備ができていませんでした。さらに、報告調査対象企業の 41% が防御を強化する措置を講じていないと主張しています。彼らが挙げた主な課題は、ユーザーの認識とトレーニング (59%)、Wi-Fi ネットワークのセキュリティ (56%)、個人のデバイスの使用 (43%) でした。
• ランサムウェア攻撃は全世界で 62%、北米では 128% 増加しましたリモートワークへの移行中。さらに、FBI は、同期間中にサイバー攻撃に関する苦情が 20% 増加していることに気づきました。
• 米国と英国では、リモート従業員のほぼ半数がリモート アクセスに個人用デバイスを使用しています。また、統計レポート回答者の 20% 以上が、仕事用の資格情報 (電子メールまたはパスワード) を使用して顧客の Web サイトやアプリにアクセスしたことを認めました。

憂慮すべきことだと思いませんか？次に、詳細を詳しく見ていきましょう。従業員と企業の両方にとって、リモート ワークのセキュリティに関する最も重要な課題は次のとおりです。

リモートワークの主なセキュリティリスク

在宅勤務する場合 (またはリモートワーカーを雇用する場合)、次の潜在的なサイバーセキュリティの問題に注意してください。

1. フィッシング攻撃と詐欺

フィッシングユーザーをだまして電子メールまたはテキスト メッセージ内の悪意のあるリンクをクリックさせることを目的としたソーシャル エンジニアリング手法です。そしてここ数年、リモートワーカーに対するフィッシング攻撃の数が増加しました。最大61%2021 年から 2022 年の間）。

どのように機能するのでしょうか?在宅勤務している従業員が、会社の管理者や IT 部門などから送信されたふりをした電子メールを受信したと想像してください。ハッカーが電子メール フィルターをうまく騙し、被害者のメインの受信トレイに通知を送信できた場合、一見したところ、それは完全に合法であるように見えます。その結果、従業員がフィッシングの罠に陥り、企業の機密情報を共有したり、怪しい Web サイトや感染した Web サイトにつながるリンクをクリックしたりする可能性があります。

2. ブルートフォース攻撃と DDoS 攻撃

ブルートフォースハッキングそして分散型サービス拒否 (DDoS) 攻撃ソーシャル エンジニアリングのトリックよりも実行が難しく、検出が容易な場合があります。しかし、だからといって危険が軽減されるわけではありません。特に、サイバー犯罪者は、リモート ワーカーの保護されていないデバイスや侵害されたアカウントを通じて、企業ソフトウェアの脆弱性を悪用する可能性があります。 DDoS 攻撃に関しては、多くの場合、オンライン サービスに過負荷がかかり、従業員が内部システムやデータベースにアクセスできなくなります。

3. 公衆 Wi-Fi の脅威

リモート従業員のホーム ネットワークが十分に保護されていない場合、企業の機密情報が危険にさらされます。ただし、従業員が外出先 (カフェ、ジム、図書館、ホテルなど) で企業システムにアクセスする場合、潜在的な危険を防ぐのははるかに困難です。問題は、公共の Wi-Fi ホットスポットは非常に安全性が低く、さまざまなサイバー脅威に対して脆弱であるということです。特に、ハッカーは次のことを実行する可能性があります。中間者 (MITM) 攻撃、デバイスと接続しているパブリック ネットワークの間に自分自身を置きます。その結果、会社のシステムに不正にアクセスされたり、資格情報が盗まれたりする可能性があります。

4. セキュリティ管理の欠如

オフィスで働いている場合、従業員とその業務は複数のセキュリティ対策によって保護されていますが、在宅勤務では維持するのがはるかに困難です。特に、主な課題は次のとおりです。

• ホーム Wi-Fi はオフィス ネットワークに比べて保護が不十分です。
• セキュリティ チームが監視および制御できるエンドポイントが多すぎます。
• リモートワーカーの多くは、仕事用コンピューターの代わりに個人用デバイスを使用しています。

後者の問題は、いわゆる自分のデバイスを持ち込む(「BYOD」) ポリシーは、現在多くの企業が適用しています。実際には、ほぼ45%現代の企業の多くは、従業員に個人用デバイスを仕事に使用させています。大したことは何ですか？この慣行が引き起こす可能性のある最も明白なセキュリティ問題を 3 つ挙げます。

1. 従業員は機密ファイルを自分のパソコンに保存しているため、データ侵害につながることがよくあります。
2. 多くの従業員はソフトウェアや OS をアップデートしないため、デバイスがハッカーに攻撃されたり、マルウェアに感染したりする可能性が高くなります。
3. 同社はエンドポイントに対する制御が不十分であり、セキュリティを継続的に向上させることができません。

5. 弱いパスワード

リモート ワーカーが強力で安全なパスワードでアカウントを保護しない場合、高度なサイバーセキュリティ ツールは時折発生するサイバー攻撃に対して役立ちません。これは人的エラーの一般的な例ですが、すべての組織がこの問題に対処できるわけではありません。脆弱なパスワードが原因で発生する最も広範な問題には、次のようなものがあります。パスワードの人員配置(複数のアカウントに同じ認証情報を使用) および頻繁にパスワードクラック（サイバー犯罪者が、保護が不十分なアカウントに直接アクセスした場合）。

6. 非暗号化通信

企業は、オンラインに保存されている情報の保護に特別な注意を払う傾向があります。しかし、リモートの従業員間の通信を保護することにはそれほど重点を置いていない可能性があります。毎日大量の機密情報が Web 経由で送信されており、使用されるアプリやサービスに信頼性の高い暗号化が備わっていない場合、特に脆弱になります。この問題は次のような問題につながる可能性がありますデータの盗難,ランサムウェア攻撃、その他の悲惨な結果。

7. クラウドストレージのリスク

完全または部分的にリモートのワークフロー、クラウドベースのテクノロジーを扱う企業向け避けられなくなったその機敏性と柔軟性によるものです。ただし、このようなソリューションには特定のサイバーセキュリティ リスクも伴います。まず、パブリック クラウド サービスを使用すると、データ漏洩のリスクが高まります。 2 番目に、クラウドの構成ミスの問題。これは、一部の従業員が実際には必要のない特定のデータにアクセスする可能性があることを意味し、組織の権限制御が弱体化します。

8. ウェブカメラのハッキング

ウェブカメラは、在宅勤務時に Zoom や Google Meet を介したビデオ会議によく使用されます。そして、これはもう 1 つの潜在的なセキュリティ上の落とし穴です。残念なことに、ウェブカメラのハイジャックは、ほとんどの人が考えているよりも一般的です。 CamPatch の調査によると、半分以上のアメリカ人は、ハッカーがリモートから Web カメラにアクセスして侵害できることを知りません。

9. 共有スペース

実際、上で述べたパブリック ネットワークのリスクは憂慮すべきもの以上のものです。ただし、比較的安全な Wi-Fi 接続を備えたコワーキング スペースであっても、不注意な従業員が現れる可能性があります。クラッチの研究によると、23%の人が共有ワークスペースで作業する場合、DDoS 攻撃からキーロギングやフィッシング攻撃まで、特定のセキュリティ上の課題に直面しました。

在宅勤務の最も重大なサイバーセキュリティ リスクについては理解できたので、それらを無視した場合に何が起こるかを見てみましょう。リモートワークの脆弱性が原因で発生した大規模なデータ侵害やハッキングの例をいくつか紹介します。

リモートワークのセキュリティ侵害の実例

• Mailchimp に対する複数の攻撃。2022 年から 2023 年にかけて、人気のマーケティング オートメーション プラットフォームである Mailchimp はいくつかのソーシャル エンジニアリング攻撃を受けました。そのうちの 1 つは、データ侵害を引き起こし、100のユーザーアカウント。同社によると、従業員の1人が詐欺行為に気付かず、データ漏洩につながったという。

• マリオットのデータ流出。2020年、ハッカーは不正アクセスを受けたホテルおよびリゾートサービスであるマリオットの 520 万人の顧客記録に。この攻撃は約 3 億 3,000 万人のユーザーに影響を与え、同社に 1,800 万ドル以上の損害を与えました。その後、この攻撃はサードパーティのアプリケーションを通じて実行されたことが明らかになりました。サイバー犯罪者は、マリオット従業員の資格情報を侵害した後、それにログインしました。
• 大規模なツイッター詐欺。2020 年 7 月、悪意のある攻撃者が Twitter 従業員をだましてスピア フィッシングの罠に陥りました。彼らはリモートワーカーのアカウントに侵入し、管理者ツールにアクセスし、ジョー・バイデン、イーロン・マスク、ビル・ゲイツ、ジェフ・ベゾスなどの有名ユーザーのアカウントをハッキングすることに成功しました。その後、ハッカーはそれらのアカウントを通じて暗号通貨詐欺を宣伝しました。結果的にユーザーは損をした180,000ドル以上ビットコインで（さらに28万ドルがCoinbaseによってブロックされました）。

ご覧のとおり、リモート従業員のちょっとした見落としやサイバーセキュリティ意識の欠如が、企業とその顧客に恐ろしい結果をもたらす可能性があります。 NASA でさえ、従業員が基本的なサイバーセキュリティ慣行に従わなかったため、ハッキングに遭いました。さて、そのような結果を回避することは可能でしょうか？幸いなことに、それらを防ぐためにできることはたくさんあります。検討すべき最も効率的なリモートワークのセキュリティ ソリューションを見てみましょう。

リモートワークのセキュリティに関するヒント

次の対策とツールは、デバイス、ストレージ、機密データを不正アクセス、ウイルス、ソーシャル エンジニアリングのトリックから保護するのに役立ちます。

リモートワークのサイバーセキュリティに対する意識を高める

リモートまたはハイブリッドの作業モデルを採用している企業では、従業員に適切なトレーニングを提供し、潜在的なセキュリティ リスクについて教育することが不可欠です。セキュリティ意識向上プログラムが、インターネット安全ツールやソフトウェア更新の重要性から、パスワードやデバイスの衛生状態に至るまで、すべての重要事項を網羅していることを確認してください。

厳格なアクセス制御と管理ポリシーに従ってください

組織は、明確かつ効率的なリモートワークのセキュリティ ポリシーを確立し、維持する必要があります。特に、暗号化されたチャネルとアプリのみを介したアクセス制御管理と通信に関するものです。この点に関して、リモート ワーカー向けの便利なヒントをいくつか紹介します。

• 自分の権限レベルを必ず理解してください。追加のドキュメントやその他のデータにアクセスする必要がある場合は、マネージャーまたはシステム管理者に相談してください。
• 保護されていないアプリを介してファイルを共有することは避けてください。これらの目的には企業アカウントを優先して使用してください。
• 会社の電子メールは仕事の場合にのみ使用してください。
• 機密性の高いファイルを個人のデバイスに保存しないでください。

保護された Wi-Fi ネットワークを使用する

ホーム ネットワークは 100% 安全ではないかもしれませんが、強力なパスワードとカスタム Wi-Fi 認証情報を使用すると、解読がはるかに困難になります。公共のWi-Fiスポットについては、可能な限り避けてください。ただし、公共ネットワーク経由で仕事用ファイルやシステムにアクセスすることを避けられない場合 (旅行中など)、デバイスに信頼できる VPN をセットアップする(これについては後ほど詳しく説明します)。

強力なパスワードを作成し、安全に保管する

強力なパスワードを使用することは、リモートで作業するときに扱う機密データはもちろんのこと、個人的な目的であっても必須です。これらの簡単なパスワード衛生ルールに従って、サイバー犯罪者があなたの資格情報を簡単に推測できないようにしてください。

1. パスワードは10文字以上（大文字、小文字、数字、記号）を使用してください。
2. 異なるアカウントに同じパスワードを使用しないでください。
3. パスワードを定期的に更新してください。
4. 資格情報を安全な場所に保管してください。信頼できるものを使用できますパスワード管理ツール1Password、Keeper、LastPass など。

二要素認証を採用

2 要素認証 (2FA または多要素認証とも呼ばれる) は、リモート ワーカーのアカウントが、侵害されたデバイスや盗難されたデバイスを介して不正にアクセスされるのを防ぐ技術です。電話番号、電子メール、または別のアプリを介してシステム、アカウント、またはアプリケーションへの正当なアクセスを確認することを要求することで、追加のセキュリティ層を提供します。

ファイアウォールを使用する

ホーム ネットワークを潜在的なサイバー攻撃から保護する場合、ファイアウォール重要なセキュリティ対策の 1 つです。ネットワーク トラフィックを監視し、不審なアクティビティや未検証のリクエストを防ぎます。ルーターの設定でユニバーサル プラグ アンド プレイ (UPnP) プロトコルを有効にしている場合、またはポートを手動で開いている場合、ファイアウォールによって悪意のあるトラフィックが通過する可能性があることに注意してください。詳細については、このトピックに関する最近のブログ投稿をご覧ください。

一元化されたデータストレージを優先する

サイバーセキュリティを真剣に受け止めている企業は、単一の集中管理型システムを導入する必要があります。クラウドまたはサーバーストレージソリューションすべての従業員（オフィス内とリモートの従業員の両方）に。ファイルをローカルに保存すると、多くの場合予期せぬ結果が発生し、会社が制御することはできません。しかし、従業員がそのようなシステムに慣れておらず、無視していることがよくあります。したがって、遠方で勤務している場合は、会社のデータ ストレージ ポリシーに特に注意を払い、それに厳密に従ってください。組織に関しては、このポリシーに関する適切なガイドラインをオンボーディングおよびトレーニング資料に含めることが不可欠です。

デバイスのセキュリティを強化する

在宅勤務する場合 (特にパーソナル コンピューターまたはラップトップを使用する場合)、信頼できるサイバーセキュリティ ツールキットを使用して防御を強化する必要があります。必需品には次のようなものがあります。

• プレミアムウイルス対策ソフトウェアマルウェア、スパイウェア、トロイの木馬、ウイルスからデバイスを保護します。
• パスワードマネージャー強力なパスワードを作成し、デバイスに安全に保存します。
• チームと共有するメッセージやファイルを暗号化する安全なコミュニケーション ツール (ただし、TeamViewer などの最も安全なアプリケーションにも脆弱性があることに注意してください)。

ただし、リモート ワーカーのセキュリティ ツールボックスは、別の重要なソリューションである仮想プライベート ネットワーク (VPN) がなければ不完全になります。

関連している：内部者と外部者によるデータ セキュリティの脅威

VPNを使用する

VPN は、上記のセキュリティ リスクの多くを防ぐ、堅牢なオンライン セキュリティおよびプライバシー ツールです。このソリューションの最も魅力的な利点は次のとおりです。

• トラフィックを暗号化します。VPN は暗号化されたトンネルを介してデータを実行するため、クラックすることはほぼ不可能になります。そのため、共有するファイルや送信するメッセージを含むすべてのコミュニケーションは、ハッカーや覗き見者の目から隠された意味不明なものに変換されます。
• フィッシング攻撃や怪しい Web サイトからあなたを守ります。VPN は、悪意のあるリンク、なりすましメール、機密情報を狙う危険な Web サイトを回避するのに役立ちます。これは、VeePN の NetGuard のような強力な追跡防止機能のおかげで可能になり、マルウェア、スパイウェア、ウイルスに感染している可能性のあるサイトも除外します。
• 公衆 Wi-Fi のリスクからあなたを守ります。VPN は、MITM 攻撃などのパブリック ネットワークの危険に対する効果的な対策です。データは暗号化されているため、サイバー犯罪者が接続を中断して、職場アカウントの資格情報や機密ファイルなどの個人データを侵害することはありません。

VeePN でリモート ワーク セキュリティ ツールキットを強化する

リモートで作業する場合は、オンラインの安全性を優先し、サイバー衛生規則を遵守して、会社の機密データを危険にさらすさまざまなリスクを回避する必要があります。ネットワークとデバイスを保護するための信頼できるソリューションをお探しですか? VeePN を検討してください。これは、NetGuard、Kill Switch、Double VPN など、複数の堅牢なセキュリティ機能を提供する評判の高い VPN サービスです。さらに、VeePN は、これまでで最も強力なソリューションである AES-256 暗号化でトラフィックをカバーします。