緊急事態宣言発令に伴うテレワーク対応ソリューションについて

新型コロナウイルスの感染拡大を防ぐために、テレワークを導入する企業が増えています。

ですが、突然の緊急事態宣言発令に戸惑っている中小企業の経営者や担当者は多いと思います。
非常時とも言える状況で、テレワークをいかに導入するのかは、労務面やコスト面からも普段から対応を徐々に進めていない企業には判断が難しいことが多々あります。

テレワークは「制度の導入」だけでなく「業務の見直し」「システムの導入」「意識改革」など、今までとは働き方が全く異なってしまうため、時間をかけてしっかり取り組む必要があります。
しかし、非常事態宣言となった今、事業継続対策(BCP対策)のためには社員の感染リスクを最小限に抑える必要があり、悠長に議論している時間もありません。
『テレワークなど導入できない』と言ってしまっては、社員の感染リスクを減らすことはできませんし、事業を継続することもできなくなってしまいます。

テレワークというと「セキュリティーをどう確保するか」が一般的に議論されがちです。
確かに個人情報が流出するとお客様にご迷惑をかけるだけではなく、企業は大きなダメージを受けます。

ただ、今は非常時ですので『すべての情報を守ること』ではなく、『漏えいすると問題が発生する情報』をテレワークで共有させることなく『どのようにテレワークで情報を共有することができるか』を考えなくてはいけません。

キャスト・ワークスではこれらの現状を鑑み、皆さま各社の状況にフィットしたテレワークを素早く開始していただけるよう、以下のソリューションをご用意させていただいております。
ご興味がございましたら、是非お問い合わせください。
 

お客様からの会社にかかってきた電話を、社員が自宅に居ながらBYODのスマホで取ることができ、会社の電話番号で発信することもできる
① クラウドPBX(クラウド型ビジネスフォン)「INNOVERA PBX」

INNOVERA PBX

BYODのスマホでも問題はないけれど、使い慣れたビジネスホンの利便性を求めるなら固定機型IP電話機
② (SIP電話機)Yealink

(SIP電話機)Yealink

在宅勤務時には社員間で疎になりがちなコミュニケーションを密にしたいが、何かと脆弱性の問題が出ているzoomのような無償のテレビ会議システムは社員に使わせたくない
③ Yealink 「ビデオ会議システム」

Yealink ビデオ会議システム

コンピュータウイルスやハッキング・フィッシングなどの脅威から社内ネットワークを効率的かつ包括的に保護。情報漏えいのリスク対策とネットワークの可視化します
④ Check Point UTM(統合脅威管理)

UTM(統合脅威管理)

リモートワークでも社員に貸与したPC端末の集中管理が可能
未知のウイルス・マルウェアに特化、振る舞い検知・EDR機能搭載純国産アンチウイルスソフト
⑤ FFRI yarai(アンチウイルス)

FFRI yarai(アンチウイルス)

会社のリソースを社員個人のDropboxのようなオンラインストレージに保存させたくない
社員間のチャットコミュニケーションを会社の管理下で実現したい
⑥ Nextcloud(オープンソースファイルホスティングサービス)導入支援

オンラインストレージまでは必要無いけれど、自社のチャットツールを構築し社内リソースの拡散・漏えいを防ぎたい
⑦ Mattermost(オープンソースチャットホスティングサービス)導入支援

 

STOP! パスワード使い回し!キャンペーン2019

複数のインターネットサービスで同じアカウント ID、パスワードを使い回していることが原因で生じてしまう、インターネットサービスへの不正なログイン、いわゆる「パスワードリスト攻撃」による被害を防ぐ啓蒙活動のため、2019年の今年もJPCERT/CC(一般社団法人 JPCERTコーディネーションセンター)さまによるキャンペーン
STOP! パスワード使い回し!キャンペーン2019が開始されました。

どうしてパスワードの使い回しがいけないのか
攻撃者がパスワードをどこから盗み出し、どのように悪用するのか、まずは情報漏えいのしくみを知っておきましょう。

どうすれば情報は悪用されないのか
安全なパスワードの設定条件を知っておきましょう。

パスワードを忘れたらどうしよう…
パスワードの適切な管理方法を知っておきましょう。

安心して利用できる方法は他にどんなものがあるの?
インターネットサービスによっては、安全に利用するために役立つさまざまなセキュリティ機能が提供されています。積極的に活用しましょう。

弊社も当キャンペーンへの2017年より当該キャンペーンに賛同しております。
STOP!!パスワード使い回し!!(2017)
STOP!!パスワード使い回し!!(2018)

STOP!!パスワード使い回し!!2018

STOP!!パスワード使い回し!!(2018)

複数の(インターネット上の)サービスで同じログインIDとパスワードを使い回しすると、どこかのサイトから流出した可能性のあるログインID・パスワードを用いた「パスワードリスト攻撃」(または「リスト型アカウントハッキング攻撃」)などと呼ばれる方法によって、第三者に不正にログインされる恐れがあります。

近年この方法によるアカウントの乗っ取りや、不正課金利用などの被害者が増加傾向にあります。

ID・パスワードをしっかり管理しましょう

(1) 名前などの個人情報からは推測できないこと
(2) 英単語などをそのまま使用していないこと
(3) アルファベットと数字が混在していること
(4) 適切な長さの文字列であること
(5) 類推しやすい並び方やその安易な組合せにしないこと
などの方法が有効です。
 
必ずしも定期的に変更する必要はないとの認識が総務省より示されました

パスワード「頻繁に変更はNG」総務省が方針転換
 定期的に変えるのはかえって危険――。総務省がインターネット利用時のパスワードについて、従来の“常識”を覆すような注意喚起を始めた。(頻繁な変更は)「推測しやすい文字列になって不正アクセスのリスクが増す」というのが理由で、それよりも十分な長さかつ複雑なパスワードを使い続けるよう呼びかけ。
国民のための情報セキュリティサイト(総務省)
社員・職員全般の情報セキュリティ対策(PDF)

 

弊社おすすめのパスワード生成方法(2018年版)

※使い回さず、忘れにくいパスワードの特定のルールに従って生成することをおすすめします。以下に生成例を提示します。
(1) 記号を二つ決める
  たいていのサービスで !$/%@# あたりの記号が使えるようになっています。
  この中から二つ。
  例えば「$」と「@」
(2) 覚えやすい英単語を二つ思い浮かべる(3文字~4文字程度が良い)
  例えば「hand」と「foot」
(3) (0~9のうちから)数字を一つ思い浮かべる
  例えば「4」
(4) サイト固有の英単語を含める
  例えば弊社サイトであれば「works」
(5) 特定の順番に組み立てる
  →「hand$foot@4works」
これでサイト毎に違う16文字(ベースが必ず11文字)のパスワードが出来上がり!
 

【資料】できるだけ長いパスワードを利用することの計算的根拠

使用する文字の種類 最大解読時間
入力桁数
6桁 8桁 10桁 12桁
英小文字(例abc + 123) 1秒以下 8秒 59分 4週間
英大文字のみ 又は 英小文字のみ + 数字(例ABC 又は abc + 123) 1秒以下 1分 1日 4年
英大文字 + 英小文字 + 数字(例ABC + abc + 123) 1秒 2時間 4日 3000年
英大文字 + 英小文字 + 数字 + 記号(例ABC + abc + 123 + #$%) 5秒 9時間 6年 34000年

※すべての組み合わせを試すために必要な時間を試算した結果のおおよその値。計算するシステムの能力にもよる。

 

「STOP!!パスワード使い回し!!」キャンペーン

当社は一般社団法人 JPCERT/CC(JPCERTコーディネーションセンター)の「STOP!!パスワード使い回し!!」キャンペーンに賛同しています。
具体的な予防方法の詳細がJPCERT/CCのキャンペーンページにて掲載されていますので、是非ご覧下さい。

STOP!!パスワード使い回し!!キャンペーン2018(JPCERT/CC PC版)
STOP!!パスワード使い回し!!キャンペーン2018(JPCERT/CC mobile版)
STOP!!パスワード使い回し!!2018

STOP!!パスワード使い回し!!(2017)

複数の(インターネット上の)サービスで同じログインIDとパスワードを使い回しすると、どこかのサイトから流出した可能性のあるログインID・パスワードを用いた「パスワードリスト攻撃」(または「リスト型アカウントハッキング攻撃」)などと呼ばれる方法によって、第三者に不正にログインされる恐れがあります。

近年この方法によるアカウントの乗っ取りや、不正課金利用などの被害者が増加傾向にあります。

ID・パスワードをしっかり管理しましょう
・複数のサービスで同一のID、パスワードの組み合わせを使用しない
・定期的にパスワードを変更する
・文字・数字・記号の混在した推測されにくい羅列にする
などの方法が有効です。

「STOP!!パスワード使い回し!!」キャンペーン
当社は一般社団法人 JPCERT/CC(JPCERTコーディネーションセンター)の「STOP!!パスワード使い回し!!」キャンペーンに賛同しています。
具体的な予防方法の詳細がJPCERT/CCのキャンペーンページにて掲載されていますので、是非ご覧下さい。

STOP!!パスワード使い回し!!キャンペーン2017 https://www.jpcert.or.jp/pr/2017/pr170002.html(外部サイト)
STOP!!パスワード使い回し!!

SNSを媒介としてランサムウェアを拡散する「ImageGate」

弊社取り扱いのUTM(統合脅威管理)機器メーカーである、Check Point Software Technologies が発見し「ImageGate」と命名されたこの手法は、画像ファイルに悪質なコードを埋め込み、ソーシャルメディア(SNS)経由でマルウェアに感染させるという手法です。

【感染手順】

  • 悪質なコードが埋め込まれた画像を攻撃者がSNSサイトにアップロード
  • SNSサイトの設定を利用してユーザーに画像ファイルをダウンロードさせる
  • ユーザーがファイルをクリックした瞬間にマルウェアが実行される
  • 感染すると、ファイルが暗号化され脅迫文が出現する

 

https://www.youtube.com/watch?v=sGlrLFo43pY
Check Point Software Technologies 「ImageGate」解説動画(YouTube)

 

SNSから悪質な画像ファイルをダウンロードさせる(YouTube動画より)【図1】SNSから悪質な画像ファイルをダウンロードさせる(YouTube動画より)

感染したランサムウェアがファイルを暗号化する様子(YouTube動画より)【図2】感染したランサムウェアがファイルを暗号化する様子(YouTube動画より)

Check Pointでは9月上旬以降、FacebookやLinkedInを含む主要なSNSサイトでこの攻撃が使われているのを確認しているとのことです。

Check Point機器で動作しているアンチボット アンチウイルス機能の定義ファイルが
 トロイの木馬、ランサムウェア Locky
 トロイの木馬、ダウンローダー Nemucod
に対して最新の状態で対応済みというアナウンスがされています。

Check Point機器をご利用ではない場合、
 画像をクリックしてファイルのダウンロードが開始された場合、
 ファイルを絶対に開かないでください。
 SNSサイト利用時は画像を表示だけにとどめること、
 特にSVGやJS、HTAなどの特殊な拡張子の画像ファイルは
 絶対に開いてはいけません。

Check Point社では『多くのユーザーがSNSに時間を費やすようになり、攻撃者もそうした動きに注目して攻撃手法を開発している』と注意喚起しており、今後ますます注意が必要です。