2020,08,26, Wednesday
26日の日経新聞によると、テレワークに『落とし穴』が出てきたと報じられている。小欄でも、過去に心配を書いた。なにも今出たと言うのではなく、『リスク』は以前から言われていたのだが、実際『テレワーク』を利用するケースが多くなり、リスクが顕在化したと言うべきだろう。発表分だけでも38社が不正アクセを受け、遠隔勤務に欠かせないVPN(仮想私設通信網)の認証情報が流失したという。
この結果は従業員など関係者以外が、その会社のネットワークシステムに入り込めることを意味する。VPN接続とは、インターネット上に仮想の専用線を設定し、特定の人のみが利用できる専用ネットワーク。接続したい拠点(支社)に専用のルーターを設置し、相互通信をおこなうことができます。 情報が流出した企業は、米専門企業パルスセキュアのVPN機器を使っていたという。同社はこの機器について2019年4月に脆弱性を公表し、修正プログラムも公開。日本でも民間団体が注意喚起していたが、一部企業は修正を反映せず、VPN情報をとられる原因となった。被害の背景に浮かんでくるのは、情報セキュリティーに対する日本企業の『脇の甘さ』だ。 私も含めて、『脇の甘さ』は痛感する。各種団体から『パスワード』を変えなさいと何度も言われるが、記憶できないこともあって、長く同じモノを使っている。そのため『マイナンバーカード』の利用などは、覚えているモノだからすらすら出てきて支障はない。新型コロナウィルス対策と同じで、私から感染するとまずい。そう考えると、IDとパスワードはアトランダムなモノで毎月新しくして、どこかに記載して保管するか。 対策として注目されているのが、『ゼロトラスト(信用しない)』ネットワークと呼ばれるサイバー防衛の発想だ。誰でも社内ネットワークに遠隔では入れる半面、どの情報にアクセスできるかを細かく分けて設定。パスワードだけでなく、指紋や顔認証といった多要素認証を様々なアクセス制御で組み合わせるモノ。 侵入そのものを入口から防ぐ従来の仕組みと異なり、不正アクセスがあっても内部で様々な認証の壁に阻まれ、個人情報全体などを盗むことが難しいとされる。米グーグルが今春に提供を開始したことで、新たなリスク管理の取り組みとして広く知られるようになったという。このあたりはもっぱらパソコンの世界だが、今後スマートフォン(スマホ)全盛時代になると、これらは一体どうなるのだろうか。 |