テレワークの危険性。「テレワークは地方・中小企業・個人の救世主かと思いきや、意外と危険であった!」

どうも、武信です。(No936) 

 

以下の記事で、テレワークこそが地方・中小企業を救う!と書きましたが、懸念点がありました。

 

人類共存・多様性の意味とは?「人類、皆が分かり合うことはない。だが、頷くことはできる」

 

それはセキュリティです。

「サイバーセキュリティ入門」を参考にして、まとめます。

興味がある人は続きをお読みください。

 

1 前回の記事から、引用。

前回の記事から、引用します。

 

3 テレワークこそが、地方と中小企業を救う!(補足)

僕はそもそも地方というのは、「東京と比べたら、生産性が格段に落ちる」と思っています。

中小企業もそうですし、人材の質的にもです。

 

また、地方は観光産業や農業などに頼っている部分もありますし、東京や首都圏みたいに大企業が集積しているわけでもありません。

交通インフラの面でも、東京は電車で効率よく人が動くのに対し(今はコロナで人が少ないですが)、地方は車社会であり、移動の効率が悪いのです。

 

そういう側面を考えると、まさに地方や中小企業こそ、「デジタル化を強烈に推し進めるのが生産性を上げる最善策なのでは?」と思えてきます。

 

観光は当分、壊滅的であり、Go toキャンペーンが展開されていますが、不透明です。(海外からの顧客は当分、見込めません)

で、地方でも、テレワークを強烈に推進し、「地方の車移動という弱点を逆手に取り、働き方改革を進めればいいのでは?」と思うのです。

 

また、テレワークを強烈に進めれば、地方に住んでいても、首都圏の人と仕事ができます。

もちろん、対面じゃないと難しい仕事はありますが、テレワークが地方や中小企業にとっては救世主になる印象を持っています。

 

また、役所の事務手続きなども、電子化を強烈に進めれば、わざわざ出向く必要もなくなり、これも生産性をあげます。(地方移住者は特に)

 

テレワークにもいろいろな弊害があるのは知っています。

孤独時間管理の難しさコミュニケーションの難しさ(Zoom飲み会疲れ、チャットが面倒くさい、リアルならすぐ横の人に聞けるけどできないなど)などありますが、それを補う良さもテレワークにあると感じます。

 

地方や中小企業こそ、テレワークが効くのでは?という仮説です。

東京にある大企業やベンチャーは、移動の効率も良く、人材の質も高く、テレワークの効果もある程度あるにせよ、劇的なのかどうかは不明です。

ですが、コロナ下においては、首都圏でも通勤電車の人数を減らすため、テレワークが推進されました。

効果のほどはどうだったのでしょうかね?

 

以上、ここまで。

 

2 テレワークはセキュリティ上の問題がある。

「サイバーセキュリティ入門」という本を参考にしてまとめます。(僕の意見も追加します)

 

まず、ハッカーのうちの「ブラックハット」と呼ばれる、「悪意を持ってコンピュータやネットワークを攻撃する人達」がいます。

数十から数百のグループが存在していると言われています。

 

アノニマスのように「国家が関与しない集団」もあれば、「国家が直接関与している集団」もいます。

 

もう少し具体的に分類すると、中国の場合は以下の5つのタイプがあると思われます。

 

1 社会に不満を持つ若者たち。

中国政府を直接狙うと厳罰を受ける恐れがあるので、その矛先は外国政府や外国企業となります。

 

2 経済的な利得を求める人達。

中国国内でも多数の攻撃が発生しており、お金がある組織はどこでも狙われます。

 

3 政治的な目的でスパイ活動をやっている人達。

 

4 軍の関係者。

中国で言えば、人民解放軍です。

 

5 請負で何でもやる人達。

軍の中にも企業の中にもいます。

 

中国を例に取りましたが、他国でも基本的な構造は変わりません。

ただ、傾向は国によって少し異なります。

中国の場合は、民間であろうと政府関係であろうと、ひたすら出所を隠しながら攻撃します

 

ロシアは、自分たちの力を誇示するためにサイバー攻撃を使うケースが多く、出所がロシアだと匂わせる傾向があります。(もちろん、決定的な証拠は握らせません)

 

北朝鮮は、以前は政治的なアピールが強かったのですが、核実験やミサイル実験によって海外から経済制裁が強められた時期から、金儲けのためのサイバー攻撃が増えてきました。

他国の中央銀行、仮想通貨などをターゲットにするケースがよく見られます。

 

このように、国の特定を仮にできても、攻撃者は誰なのか特定するのは非常に困難です。

 

ハッカーはこのような集団だと、まず認識しておきましょう。

 

そして、ハッカーが狙うのは防御が固い中枢より、その周りにあるシンクタンクや大学、地方自治体などになり、そこを突破口として、中枢機関に侵入していきます。

中枢ではなく、周辺が狙われるということは、企業は取引先や子会社なども警戒しないといけません。

 

多くの大企業はすでに強固な対策をとっていますが、そこに納入している下請けの中小企業の多くは対策が不十分なのです。

なので、僕は「テレワークが中小企業を救う?」というのは言い過ぎだったかもしれないと思いました。

 

さらに、地方も、政府側なら、地方自治体などはやはり防御が手薄であり、地方も危ういのです。

 

2019年のサイバー攻撃で、特に目立った攻撃は以下です。

 

1 マルウェア「Emotet」(エモテット)の感染。

2 SSLVPN製品(暗号化したインターネット通信を仮想ネットワークで接続する機器)の脆弱性を狙った攻撃。

 

「Emotet」の感染の詳しい説明は本をお読みください。

 

「Emotet」に限らず、サイバー攻撃を行う犯罪組織は「ウィルスをコントロールするグループ」、「ばらまくグループ等」といった役割分担があります。

それぞれは別の組織であり、必要に応じて統合したり連携したりして攻撃を広げています。

 

さらにグループ間では、「さまざまな企業の情報を売買している」と言われています。

一度被害にあった企業は攻撃に対する守備力が低いとみなされ、「情報が共有されていること」も十分考えられます。

 

次に、SSLVPN製品の脆弱性を狙った攻撃について触れます。

 

ここで言うSSLVPN製品とは、「外出先から自社のシステムを利用するなど、外部から組織内のネットワークにリモートアクセスする際、最初に接続する機器のこと」です。

 

近年、働き方改革によってテレワークを導入する企業が増え、SSLVPN機器が急速に普及しています。

SSLVPN製品への攻撃はこういった背景からも増加傾向にあります。

 

さて、ユーザー企業は緊急度の高い脆弱性対応が遅れました。

理由は、普段使用しているPCなどのOSは定期的に更新プログラムがリリースされますが、インストールするためにはPCを一度止めたり、再起動したりする必要があるからです。

 

しかも、これと同様に、SSLVPN製品に修正プログラムを運用する際も当該ネットワーク機器を止めなければならないのです。

法人向けのシステムやネットワーク機器では、修正プログラムの追加により予期せぬ不具合が発生しないように、事前の適用テストを行うことも必要で、手間がかかります。

結果これらの理由で、ユーザー企業側が対応を先延ばしにしている間に被害を受けてしまうといったケースが複数見られました。

 

被害拡大の背景の1つは、リモートワークの拡大です。

 

以下、著者の推測です。

 

リモートワークを推進する企業が増えてきました。

しかし、リモートアクセスに必要なSSLVPN機器を止めてしまうと、リモートワークが一切できなくなってしまいます。

ユーザー企業の多くは「サイバー攻撃のリスクよりも、リモートワークによる業務継続ができなくなるリスクのほうが大きい」と考え、対応が先延ばしになってしまったのではないか?と。

 

また、リモートワーカーのセキュリティ対策として一般的なVPN(仮想プライベートネットワーク)も、オンにしたままではカフェなどのフリーWiFiに接続できない上、いったんオフにすると、再びオンにするのを忘れやすい欠点があります。

どんなに優れたセキュリティも、使われなければ無いのと同じです。

 

以上、ここまで。

 

セキュリティ上のいろいろな欠点が、見えてきましたね。

リモートワークに必須なVPNも、脆弱性使い勝手(操作)に問題があります。

 

さらに、地方や中小企業だと、人材の質が落ちる上に、セキュリティ上の意識も弱く、さらにそういう所こそ狙われます。

だからこそ、地方や中小企業にまでテレワークを推進、広げるのはかなり要注意になるのです。

 

セキュリティ意識と対策をしっかりと施した上で、地方や中小企業に拡大させないと、ハッカーの侵入の手助けをすることになります。

 

ではこの辺で。(3898文字)

 

このブログは個人的見解が多いですが、本・記事・Youtube動画などを基にしつつ、僕の感性も加えて、なるべく役立つ・正しいと思われる記事を書いています。

あくまで読者がさらに深く考えるきっかけとなればいいなぁという思いですので、その辺は了解ください。

参考・引用文献。

「サイバーセキュリティ入門」

最新情報をチェックしよう!