脅威
大企業では一般に、社内にあるすべてのコンピューターに業務用ソフトウェアをインストールして構成する作業を、IT部門が一手に引き受けています。しかし、小規模な企業では、専任のIT担当者を1人置くことさえ、とんでもない贅沢です。多くの中小企業は、臨時のシステム管理者にその都度来てもらってなんとか間に合わせていますが、必要なときにいつも手を貸してもらえるわけではありません。そのため、従業員は自分の仕事に必要なソフトウェアを自分で設定しなければならないこともあります。
しかし、複雑なソリューションのセットアップは、マニュアルがあったとしても、誰にでもできるものではありません。トラブルが発生したとき、管理者が不在または連絡が取れないとき、問題に対応できる人が社内にいないとき、誰かが「コンピューターに詳しい知り合いがいるから電話してみよう!」と言い出すかもしれません。
専任のサポート担当がいない企業の中には、これを普通のことだと考えているところもあります。従業員が代金を立て替えておいて、あとで精算すれば事は収まるという感じで。普通かどうかはさておき、このようなときには対応してくれる外部の人にリモートアクセス権を与えることになるものですが、ここにリスクが潜んでいます。
リモートアクセスの脅威とは
そもそも、この請負IT業者、または従業員の友達の友達が、どのくらい適任であるのか、彼らが自身のセキュリティを、ましてやあなたの会社のセキュリティをどのくらい深刻にとらえているのか、またはどのくらい信用できるのか、まったく見当がつきません。思いつきで選んだ部外者に社内コンピューターの管理を委託することで、会社のネットワーク全体が危険にさらされる可能性があります。
この人は、業務上の通信記録や契約書のドラフトのような機密文書を偶然見つけるかもしれません。また、その人自身のコンピューターが何かに感染している可能性もあります。会社のコンピューターの認証情報を安全に取り扱ってくれるのか、この情報にアクセスする人がほかにもいるか、それも分かりません。もしも誠実さに欠ける人だったら、重要なデータをコピーしたり、システムを故意にマルウェア感染させたりするかもしれません。
解決方法を探していた従業員が、偽のテクニカルサポート(英語記事)を提供するようなWebサイトに行き当たる可能性もあります。
こうしたことを通じて会社が重大な財務的損失をこうむり、会社の評判に傷が付く可能性があります。データが盗まれた、破損した、というだけでもかなりの損失になりかねません。また、軽視できないのは、個人情報保護に関する法律に抵触するような事態です。
このほか気をつけなければならないのは、問題が解決された後もリモートアクセスが切断されないままになっている場合です。外部からアクセスできる状態になっていると、後で再び(今度は社内の誰も気づかない中で)そのコンピューターへのアクセスが試みられるかもしれません。このような「外部専門家」が以前に対応した顧客のコンピューターにダメージを与え、再び自分のところへ助けを求めてくるように仕向けた例がいくつかあります。
よく知らない人にリモートアクセス権を与えてはならない
人的リソースの関係上、外部からのリモート管理に頼らざるを得ない企業もあるでしょう。そこで、サイバーインシデントのリスクを軽減するために、信頼性のあるプロだけが自社のコンピューターにアクセスできるようなルールを徹底することをお勧めします。
- 必ず、信頼できるITサービスプロバイダーを選びましょう。よく知らない個人ではなく、マネージドサービスプロバイダー(MSP)に任せるのをお勧めします。
- 会社の許可を受けていない人に社内コンピューターへのリモートアクセス権を与えてはならない、ということを従業員に徹底しましょう。
- 問題が解決されたら速やかにリモートアクセスを切断するように、従業員に周知しましょう。
- アプリケーションを安全な方法で管理し、悪意あるWebサイトをブロックし、オンラインの脅威を検知するような、信頼できるセキュリティ製品を使いましょう。
ヒント